Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A submissão inicial do documento faz parte da fase de pré-avaliação da certificação. As informações fornecidas darão aos analistas de certificação o fundo necessário para identificar quais os controlos e componentes do sistema que estarão no âmbito da sua avaliação. Este documento destina-se a servir apenas como um exemplo do que se espera da submissão inicial do documento. A documentação que fornecer irá variar consoante a forma como a sua solução é arquitetizada, implementada e gerida.
A funcionalidade de clonagem do Centro de Parceiros permite que os programadores copiem provas de outra aplicação/agente durante a fase inicial de submissão do documento.
Qual é o ambiente de alojamento ou o modelo de serviço utilizado para executar a sua aplicação/agente?
O software como um serviço (SaaS) é um modelo de entrega de software baseado na cloud onde os utilizadores acedem a aplicações através da Internet em vez de as instalarem e manterem localmente. O ISV aloja e gere a aplicação/agente, infraestrutura, segurança e atualizações, enquanto os clientes normalmente pagam através de um modelo de subscrição.
A Plataforma como Serviço (PaaS) é um modelo de serviço cloud em que os componentes de infraestrutura são geridos pelo fornecedor de serviços cloud. Os ISVs só são responsáveis pela implementação das suas próprias aplicações e serviços. Alguns exemplos são Azure App Services, Azure Functions e CDN do Azure.
A Infraestrutura como Um Serviço (IaaS) é um modelo de serviço cloud onde o seu fornecedor de serviços cloud aloja os seus componentes de infraestrutura, mas os ISVs continuam a ser responsáveis pela implementação e gestão dos componentes individualmente, como sistemas Máquinas Virtuais/operativos, arquivos de dados e componentes de rede. Exemplos disso são a Máquina Virtual do Azure e o Armazenamento de Discos do Azure.
ISV Alojado neste contexto significa que não é utilizado nenhum fornecedor de serviços cloud. O ISV gere fisicamente os seus próprios Servidores, Discos, Redes independentemente no local.
Neste contexto, híbrido significa que um dos modelos acima é utilizado. Por exemplo, alguns ISVs podem optar por utilizar uma mistura de Serviços IaaS e serviços PaaS para suportar a respetiva aplicação ou podem ter alguns componentes alojados isv no local e subcontratar outros a um fornecedor de serviços cloud. Se utilizar um de mais modelos de serviço, selecione híbrido.
Relatório de Teste de Penetração
Inclua o relatório completo de testes de penetração com datas em que foi concluído nos últimos 12 meses.
- Este relatório tem de ser produzido a partir de testes de penetração manuais, não pode ser a saída de uma ferramenta de análise/teste automatizada.
- Este relatório tem de incluir o ambiente que suporta a implementação da aplicação/agente, juntamente com qualquer ambiente adicional que suporte o funcionamento da aplicação/suplementos/agente.
Inventário de Componentes do Sistema
Um inventário atualizado de todos os componentes do sistema utilizados pela infraestrutura de suporte. Isto será utilizado para ajudar na amostragem ao realizar a fase de avaliação. Se o seu ambiente incluir PaaS, será útil se puder fornecer detalhes sobre todos os serviços PaaS consumidos.
Nota: IaaS/PaaS não teria qualquer hardware que estivesse sob o controlo ISVs. Neste caso, forneça uma lista ou captura de ecrã de todos os recursos visuais.
Exemplo:
| Nome do Recurso | Tipo de Ativo | Descrição | Fabricante | Modelo |
|---|---|---|---|---|
| D212 | Computador Windows | Máquina Virtual | N/D | N/D |
| LT101 | Laptop | Estação de trabalho | Microsoft | Surface 3 |
| C2938 | Alternar | Alternar | N/D | N/D |
| LXM2 | Computador Linux | Máquina de Teste | N/D | N/D |
Inventário de software
Um inventário atualizado de todos os recursos de software, incluindo todo o software utilizado no ambiente no âmbito, juntamente com as versões.
Exemplo:
| Software | Publisher | Versão | Objetivo |
|---|---|---|---|
| Windows Server | Microsoft 2016 | Build 14393 | Sistema operativo do servidor para o ambiente de produção |
| Linux Ubuntu | N/D | 16.04 (Xenial) | Sistema operativo do servidor em utilização no DMZ. |
| ESXi | VMware | 6.5.0 (Compilação 13004031) | Utilizado para suportar os servidores virtuais. |
| Mysql (Windows) | N/D | 8.0.2.1 | Servidor de bases de dados para armazenar o histórico de conversas. |
| Tomcat | Apache | 7.0.92 | Portal do cliente. |
| IIS | Microsoft | 10.0 | Suporta as APIs. |
Dependências de Terceiros
Documentação que lista todas as dependências utilizadas pela aplicação/suplemento/agente com as versões atuais em execução.
Exemplo:
| Dependências Web | Versão Atual em Utilização |
|---|---|
| JQuery | 3.5.1 |
| Reagir | 16.13.1 |
| Bootstrap | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
Endereços IP Públicos
Detalhar todos os ENDEREÇOS IP públicos e URLs utilizados pela infraestrutura de suporte. Isto tem de incluir o intervalo de IP encaminhável completo alocado ao ambiente, a menos que tenha sido implementada uma segmentação adequada para dividir o intervalo em utilização (serão necessárias provas adequadas de segmentação).
Exemplo:
| URLs | Endereço IP |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| N/D (Jump Server) | 40.113.200.200 |
Pontos Finais de Recursos
Endereço de Ponto Final de Nome da API API Contoso Customer API https://customerapi.contoso.com Contoso Serviço de Bot https://bot.contoso.com API de Ficheiros Contosohttps://filesapi.contoso.com
Uma lista completa de todos os Pontos Finais da API utilizados pela sua aplicação/agente, incluindo pontos finais de recursos externos e desenvolvidos internamente. Para ajudar a compreender o âmbito do ambiente, forneça localizações do ponto final da API no seu ambiente.
Exemplo:
| Nome da API | Endpoint Address |
|---|---|
| API de Cliente da Contoso | https://customerapi.contoso.com |
| Serviço de Bot da Contoso | https://bot.contoso.com |
| API de Ficheiros da Contoso | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
Diagrama de Arquitetura
Um diagrama de arquitetura lógica que representa uma descrição geral de alto nível da infraestrutura de suporte de agentes/suplementos da sua aplicação. Isto tem de incluir todos os ambientes de alojamento e a infraestrutura de suporte que suporte a aplicação/suplemento/agente. Este diagrama TEM de ilustrar todos os diferentes componentes do sistema de suporte no ambiente para ajudar os analistas de certificação a compreender os sistemas no âmbito e a ajudar a determinar a amostragem. Indique também que tipo de ambiente de alojamento é utilizado; SaaS, ISV Alojado, IaaS, PaaS ou Híbrido. Quando a PaaS for utilizada, indique os vários serviços PaaS que são utilizados para fornecer os serviços de suporte no ambiente. Certifique-se de que todas as integrações de IA estão incluídas.
Diagrama de Fluxo de Dados
Diagramas de fluxo que detalham o seguinte:
Os dados fluem de e para a Aplicação/Suplemento/Agente (incluindo dados do cliente).
Fluxos de dados na infraestrutura de suporte (quando aplicável)
Diagramas que realçam onde e que dados são armazenados, como os dados são transmitidos a terceiros externos (incluindo detalhes sobre que terceiros) e como os dados são protegidos em trânsito através de redes abertas/públicas e inativos.
Certificações Externas (SOC2, PCI DSS, FedRamp, ISO27001) – OPCIONAL
Se já tiver obtido uma certificação SOC2, PCI DSS, FedRamp ou ISO27001 e tiver um relatório emitido nos últimos 12 meses que inclua o âmbito completo da certificação da aplicação, bem como o ambiente de suporte, pode submetê-lo durante a submissão inicial do documento. Tentaremos utilizá-lo para satisfazer um subconjunto de controlos e agilizar a sua avaliação. No entanto, isto não é necessário para obter uma Certificação do Microsoft 365.