Security
Dynamics CRM 2011 內部部署和安全認證(ISO 27001、SAS70 等)
我不清楚如何正確表述我們的安全狀況。執行我們託管的 IFD CRM 實例的數據中心尚未支付這些審計費用。但是,Microsoft 文獻表明 CRM Online(託管在 MS 伺服器上)具有這些認證,並且認證隨著每次服務更新而增長。
如果我們的 CRM 內部部署軟體是最新的,是否可以肯定地說 CRM 內部部署軟體本身符合此處列出的標準,但數據中心尚未經過審核員“認證”?
- ISO 27001
- SAS70 II 型
- 薩班斯-奧克斯利法案
- Microsoft Dynamics CRM 線上服務安全港
- ISO 27001
- SSAE 16 SOC1(II 型)
- 數據處理協議 (DPA)
- 歐盟示範條款
- 商業夥伴協議 - 使公司能夠符合健康保險流通與責任法案 (HIPAA)
這是一個棘手的問題,許多供應商並不總是認為這是理所當然的(有時後果自負)。
列出的許多審計都是針對管理實踐和控制的驗證。具體來說,ISO 27001、SAS70/SSAE16、SOX 404 和 HIPAA 更多地基於控製而不是基於技術(即 FIPS 140-2、CC EAL、ICSA 實驗室產品認證)。從根本上說,當您將一個軟體轉移到另一個環境時,您必須重新審核整個環境,以便能夠斷言您擁有適當的控制措施並按照可接受的做法進行管理。
話雖如此,我建議您諮詢律師/認可的審計師,以確定您可以根據標準提出哪些主張。我說“認可審計員”是因為許多合規計劃要求審計員保持特定的資格(即 ISO 審計員必須是“認可註冊商”,SOX 審計員通常是會計師事務所)。