我不清楚如何正确说出我们的安全状态。 我们托pipe的IFD CRM实例运行的数据中心没有支付这些审计费用。 但是,微软文献表明CRM Online(托pipe在MS服务器上)具有这些authentication,并且随着每个服务更新,authentication也在不断增长。
如果我们的CRM预置软件是最新的,那么可以肯定地说,CRM预置软件本身符合这里所描述的标准,但是数据中心还没有被审计人员“authentication”?
这是一个棘手的问题,并不总是被许多供应商认为是理所当然的(有时是在自己的危险之中)。
列出的许多审计都是针对pipe理实践和控制进行validation的。 具体而言,ISO 27001,SAS70 / SSAE16,SOX 404和HIPAA比基于技术的(即FIPS 140-2,CC EAL,ICSA Labs产品authentication)更多的控制。 从根本上说,当你拿一块软件并把它移到另一个环境时,你必须重新审核整个环境,才能断言你已经有了控制,并且按照可接受的做法来实践pipe理。
有了这个说法,我build议你咨询律师/认可的审计师,以确定你可以做出什么索赔相对于标准。 我认为“认可的审计师”是因为许多合规性计划要求审计师保持特定的资格(即ISO审计师必须是“authentication注册商”,SOX审计师往往是会计师事务所)。