Spørsmålsliste til Microsoft og Office 365

Transkript

1 Spørsmålsliste til Microsoft og Office 365 Spørsmål fra Moss kommune Kommentar fra DNV Svar fra Microsoft Office 365 Svar fra Microsoft Sikkerhetsdokumentasjon og beskrivelser av løsningen, for å tilfredsstille personopplysningsloven. På og office365. (Vi har fått en del på den versjonen som finnes, men ikke for 365). Nøyaktig hvilken dokumentasjon vil komme frem fra risikovurderingen, som det arbeides med i samarbeid med DnV. Kan Microsoft oversende rapport fra revisjon i forbindelse med sertifisering i hht. ISO 27001, SAS 70 og Safe Harbor? Ja. Via Deloitte &Touche Ellers alle sertifiseringer dokumentert på m DnV har mottatt SAS 70 auditrapport på BPOS (Office 365 skal etter plan sertifiseres til SSAE 16 snarest etter lansering). DnV har mottatt auditrapport ISO for BPOS. MK har mottatt EAS avtale, Databehandleravtalen for EAS, Online Amendment (som omtaler Safe harbour) og SLA. Ift håndtering av personopplysninger møter Microsoft kravene fra EU direktiv 95/46/EC omtales i dataprosessoravtalen. Moss kommune har mottatt Dataprosessoravtale for Live@edu som omtaler de gitte sertifiseringene. Ift håndtering av personopplysninger møter Microsoft kravene fra EU direktiv 95/46/EC omtales i dataprosessoravtalen.

2 Segmentering - Datatilsynet har uttalt at en behandlingsansvarliges personopplysninger ikke skal sammenblandes med en annen behandlingsansvarliges Hvilke mekanismer benytter Microsoft for å skille data fra ulike kunder i online services? Hvilke ressurser deles? Eksempelvis: personopplysninger. Hvordan blir dette håndtert i denne løsningen. Er det dedikerte virtuelle maskiner til hver kunde? Speiling eller utlevering av opplysninger til 3.land (for eksempel backup til 3.land) Finnes det tredje parter, eventuelle hvilke kontrakter og avtaler finnes her Hvordan skilles kunder i AD? I MS O365 Security and Continuity Service Description p. 5 beskrives det at OU benyttes til dette. Hvordan benyttes separasjon av forest mellom ulike kunder? Deles databaser? I hvilken grad speiles data fra Moss kommune til land utenfor EU/EØS? Hva kreves for utlevering av data til tredjeland som USA? Hvilke rutiner og prosedyrer følger Microsoft Irland i forhold til dette? Skillet mellom kunder er basert på logisk sikkerhet, det vil si at kundens data er beskyttet gjennom rettigheter og tilgang til data. Det vil ikke være dedikerte virtuelle maskiner for hver kunde, og vi kan heller ikke garantere egne databaser for hver kunde. Hver tjeneste lagrer data på forskjellig vis. Avtalen må være basert på at kunder er ok med Microsoft sin sikkerhetspolicy og ikke en spesifikk fysisk struktur, ettersom fremtidige versjoner av tjenesten kan benytte andre lagringsstrukturer en dagens. SafeHarbor (som er beskrevet i Online Amendment). Se Dataprosessoravtale side 2 pkt E. Potensielle 3 dje parter må overholde de samme standardene som Microsoft. Beskrevet i Dataprosessoravtalen under pkt 11. Skillet mellom kunder er basert på logisk sikkerhet, det vil si at kundens data er beskyttet gjennom rettigheter og tilgang til data. Det vil ikke være dedikerte virtuelle maskiner for hver kunde, og vi kan heller ikke garantere egne databaser for hver kunde. Hver tjeneste lagrer data på forskjellig vis. Avtalen må være basert på at kunder er ok med Microsoft sin sikkerhetspolicy og ikke en spesifikk fysisk struktur, ettersom fremtidige versjoner av tjenesten kan benytte andre lagringsstrukturer en dagens. SafeHarbor (som er beskrevet i Online Amendment side 1 pkt 3) Potensielle 3 dje partner må overholde de samme standardene som Microsoft. Beskrevet i Dataprosessoravtalen under pkt 11.

3 Tilgangsstyring Hvem hos Microsoft har tilgang til våre data. Er tilgangsstyring i henhold til lovpålagte krav, egen internkontroll eller andre aktuelle forhold. Hvilke roller i Microsoft har tilgang til Moss kommunes data? Hvor mange personer er tildelt slike roller/autorisasjon? Microsoft er ikke datakontroller, men dataprosessor. Våre driftsteam er delt på prosessering og datalagring. Kun kundens admin + MS support Microsoft er ikke datakontroller, men dataprosessor. Våre driftsteam er delt på prosessering og datalagring. Kun kundens admin + MS Innsyn fra brukere til gammel e-post, brukere som har sluttet. Så lenge e- posten finnes hos Microsoft kan eier når som helst kreve innsyn, dette gjelder også tidligere ansatte. Og ved slik innsyns begjæring skal slik tilgang skje uten grunnet opphold. Har Microsoft rutiner for dette. Finnes slette-, backup- og recovery rutiner, disse må dokumenteres. Er en e-postkonto som slettes av administrator i Moss kommune tilgjengelig for restore? I så fall, hvor lenge etter sletting er dette mulig? Kan Moss kommune foreta dette selv? Vi har foreløpig ikke mottatt avtaletekstene og vi antar at det er beskrevet noe rundt slette-, backkup og recovery rutiner. Kan dere oversende teksten til dette i avtaleutkastet? Områder av interesse: Hvor lang tidsperiode med data kan gå tapt? Hvor lenge er en backup tilgjengelig? o Både for eksisterende kontoer og avsluttede kan få tilgang til data. Det er mulig å gjenopprette en slettet e-post inntil XX dager etter sletting. Microsoft supporterer ikke gjenoppretting av slettede e- postkonti. Det er kun hver enkelt bruker som har innsyn i sine e- poster, og har denne retten så lenge brukernavn og passord er gyldig. Dette beskrives i Office 365 Sercurity Description fra side support kan få tilgang data. Det er mulig å gjenopprette en slettet e-post inntil 10 dager etter sletting. Microsoft supporterer ikke gjenoppretting av slettede e-postkonti. Det er kun hver enkelt bruker som har innsyn i sine e-poster, og har denne retten så lenge brukernavn og passord er gyldig. Det finne stil en hver tid 3 kopier av mailboksen som finnes i datasenteret og det alternative datasenteret i Nederland.

4 Tilgang til elektronisk bevis i tvistesaker, straffesaker m.m. hvordan håndteres dette. Se Dataprosessoravtale side 9/10. Terms of Use er underlagt amerikansk rett (Washington State) med King County som tvisteløsningsmekanisme, ref TOU punkt 12 (g). Avtalen (TOU + databehandlervedlegg) inngås med Microsoft i USA. Hva gjelder personopplysninger så forplikter Microsoft seg til ovennevnte TOU punkt 4 siste avsnitt. Safe Harbour er et akseptert grunnlag for flytting av personopplysninger iht EU direktivet som er implementert i norsk rett gjennom personopplysningsloven. Videre påtar Microsoft seg i live@edu databehandleravtale-vedlegget å prosessere personopplysninger iht personopplysningsloven, se SLA mellom Microsoft og Moss kommune må utarbeides. Microsoft har en finansielt backet SLA, dvs. at man får redusert pris ved SLAbrudd. Hvor står dette i avtaletekstene, må oversendes til DNV/Moss kommune. Se SLA, tilbakebetaling etter ulike grader av tjenesteavbrudd er beskrevet per tjeneste. dets punkt 3 annet avsnitt. Finnes ikke for Live@edu Tilbakelevering av våre data ved avslutning av kontraktsforhold, finnes det rutiner for dette. Er det regulert hvilket format/hvilke web services/apier som støttes for en migrering bort fra tjenesten? Hva er regulert? Det er ingen sperrer for utlevering av data. I service description for hver enkelt tjeneste finnes det beskrivelser av hvilke webservices som benyttes Se Dataprosessoravtale side 1 punkt 3

5 Vi må ha fysisk adgang til kontroll, revisjon og innsyn for å kunne forsikre oss om at lovens krav følges, Individuelle avtaler bør være på plass, innhold eks. Hvilket lands lovgivning gjelder, hvor skal eventuelle saker føres, finnes det avtaler om gjensidig anerkjennelser av dommer i sivile saker Hvordan rapporteres sikkerhetsbrister hos Microsoft til Moss kommune. Rutine for avviksrapportering, må vises Moss kommune. Postkasse full hva gjøres da? (kan jo skje selv ved 25 GB) Hvordan er det sikret at man innsynsrett i forhold til lovens krav? Hva sier avtalene om dette punktet? Det må være tilgang på revisjonsrapporter ifbm sertifisering når disse foreligger. Hvilken jurisdiksjon ligger avtalepartneren inn under? Avtaler som regulerer dette må oversendes DNV/Moss kommune Det er ikke adgang for Microsofts kunder til å fysisk kontrollere våre datasentre. Kunde kan når som helst be om revisjonsrapport fra 3 dje parts revisjonsselskap. Microsoft skriver ikke individuelle avtaler med kunder, og Dataprosessoravtalen (side 9/10) regulerer rettigheter og plikter for Data exporter og Data importer Moss Kommune har gjennom sitt Service Health dashboard tilgang til de ulike tjenestenes status. Ellers vil kundesenteret være tilgjengelig for Ad Hoc henvendelser Iht til ISO sertifiseringer Som ved Exchange On Premises. Varsel ved nesten full mailboks. Read only når grensen nærmer seg. Ved kontakt med kundesenter Iht til ISO sertifiseringer Som ved Exchange On Premises. Varsel ved nesten full mailboks. Read only når grensen nærmer seg.

6 Finnes rutine for rapportering om endringer av avtaler, sikkerhetstiltak? Og hvordan skal slike endringer godtas av Moss kommune. Avtalen bør inneholde regulering av hva som kan endres uten å endre avtalen. Hvordan håndteres endringer? Avtaler inngår med Moss kommune vil gjelde for hele avtaleperioden og iht til avtaletekst. Våre patche- /oppgraderingsrutiner dokumenteres og sendes kunde til info. Ingen mulighet for reservasjon fra kundens side. Ved versjonsoppgraderinger gis 12 mnd. oppgraderingsvindu for Avtaler inngår med Moss kommune vil gjelde for hele avtaleperioden og iht til avtaletekst. Hva med logging Autorisert og uautorisert bruk: Se 2-14 og 2-16 siste ledd i personopplysningsforskriften. Hindre uautorisert bruk, registrere det. Samt tiltakene ikke skal kunne omgås. Opplysningen må lagres i minst 3 måneder, dette gjelder også andre hendelser med betydning for informasjonssikkerheten. Vil sky -kalenderen bli synkronisert med Trio (sentralbordet) Eventuelle vedlegg i e-post, hvordan behandles disse og hvor lagres disse Hvilken informasjon logges? Hvilken logginformasjon vil være tilgjengelig for Moss (online og på forespørsel)? Hvordan håndteres dette hos Microsoft? kunden. Logging av hendelser og endringer ift ISO (Microsoft Solution Framework). For hvilke data som logges se Security Service Description side 9 Se Security Service description. Dette er summen av tiltak Microsoft følger for å sikre kundens data. Gjennom Dataprosessoravtalen sikres det at Microsoft behandler data iht EU 95/46/EC mtp personopplysningsloven Kan gjøres ved integrasjon (ikke som standard). Lagres i mail-store. Logging av hendelser og endringer ift ISO (Microsoft Solution Framework). Kan gjøres ved integrasjon (ikke som standard). Lagres i mail-store.

7 En tegning og forklaring av sikkerhet i løsningen om Det er et behov for en overordnet beskrivelse og illustrasjon av sikkerhetsløsningene i løsningen. For eksempel hvordan Forefrontløsninger spiller inn (er disse også plassert i Irland?). I hvilken grad er Forefront inkludert eller en tilleggsopsjon? AV/AS er inkludert i tjenesten. Se m