我不清楚如何正确表述我们的安全状态。我们托管的 IFD CRM 实例运行的数据中心尚未支付这些审计费用。然而,Microsoft 文献表明 CRM Online(托管在 MS 服务器上)具有这些认证,并且认证随着每次服务更新而增加。
如果我们的 CRM 内部部署软件是最新的,是否可以肯定地说 CRM 内部部署软件本身符合此处概述的标准,但数据中心尚未经过审计员“认证”?
- 国际标准化组织 27001
- SAS70 II 型
- 萨班斯-奥克斯利法案
- Microsoft Dynamics CRM 在线服务安全港
- 国际标准化组织 27001
- SSAE 16 SOC1(II 型)
- 数据处理协议 (DPA)
- 欧盟示范条款
- 业务伙伴协议 - 使公司能够符合健康保险流通与责任法案 (HIPAA)
这是一个棘手的问题,许多供应商并不总是认为这是理所当然的(有时后果自负)。
列出的许多审计都是针对管理实践和控制的验证。具体而言,ISO 27001、SAS70/SSAE16、SOX 404 和 HIPAA 更多地是基于控制而不是基于技术(即 FIPS 140-2、CC EAL、ICSA Labs 产品认证)。从根本上说,当您使用一个软件并将其移动到另一个环境时,您必须对整个环境进行重新审核,才能断言您已实施控制并按照可接受的做法进行管理。
话虽如此,我建议您咨询律师/认可的审计师,以确定您可以根据标准提出什么要求。我说“认可的审计师”是因为许多合规计划要求审计师保持特定的资格(即 ISO 审计师必须是“认可的注册商”,SOX 审计师通常是会计师事务所)。