Consejo Federal de Examen de Instituciones Financieras (FFIEC)

Article
01/31/2024

Introducción a FFIEC

El Consejo Federal de Examen de Instituciones Financieras (FFIEC) es un organismo interagencial formal compuesto por cinco reguladores bancarios responsables de los exámenes de instituciones financieras del gobierno federal de los Estados Unidos en el Estados Unidos. La Oficina de Educación del Examinador de FFIEC publica manuales de examen de TI destinados a examinadores de campo de agencias miembro de FFIEC.

El Manual de examen de TI de auditoría de FFIEC contiene instrucciones para que estos examinadores evalúen la calidad y la eficacia de los programas de auditoría de TI tanto de las instituciones financieras como de los TSP. En concreto, incluye la mención de los informes de atestación SOC 1, SOC 2 y SOC 3 del Instituto Americano de Contadores Públicos Certificados (AICPA) como ejemplos de informes de auditoría independientes. Sin embargo, la FFIEC recomienda que las instituciones financieras no dependan únicamente de la información contenida en estos informes, sino que también utilicen los procedimientos de verificación y supervisión descritos en detalle en el Manual de examen de TI de servicios de tecnología de subcontratación de FFIEC.

Microsoft y FFIEC

Microsoft Azure, Microsoft Power BI y Microsoft Office 365 se crean para cumplir los estrictos requisitos de la prestación de servicios en la nube para las instituciones de servicios financieros. Azure proporciona a las instituciones financieras informes de atestación de SOC 1 tipo 2, SOC 2 y SOC 3 producidos por una empresa de auditoría independiente para ayudar a los clientes a cumplir sus propias obligaciones de cumplimiento de FFIEC. Por ejemplo, la atestación soc 1 de tipo 2 se realiza en:

SSAE No. 18, Attestation Standards: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control over Financial Reporting (AICPA, Professional Standards).
SOC 1 Informes sobre un examen de controles en una organización de servicio relevante para el control interno de las entidades de usuario sobre los informes financieros (Guía de AICPA).

El estándar AICPA SSAE 18 reemplazó a SAS 70 y es adecuado para informar sobre los controles en una organización de servicio pertinentes para los controles internos de las entidades de usuario sobre la creación de informes financieros. Esta es la auditoría formal que las instituciones financieras pueden aprovechar para las revisiones de terceros de los proveedores de servicios tecnológicos al cumplir sus propias obligaciones de cumplimiento específicas de FFIEC para los activos implementados en Azure. Incluye el dictamen del auditor sobre la eficacia del control para lograr los objetivos de control relacionados durante el período de supervisión especificado.

Además, Azure ha desarrollado una herramienta de diagnóstico de seguridad en la nube basada en Excel destinada a acelerar una evaluación de riesgos que una institución financiera puede querer realizar en relación con los servicios de Azure. La herramienta se basa en una hoja de cálculo con 19 dominios independientes que identifican los requisitos establecidos en los estándares pertinentes y las regulaciones relacionadas con los servicios financieros, incluidos los Manuales de examen de TI de FFIEC. La herramienta de evaluación de riesgos está rellenada previamente con explicaciones sobre cómo Azure cumple con los requisitos aplicables a los proveedores de servicios en la nube y puede ayudar a los clientes a cumplir sus propios requisitos de cumplimiento de FFIEC.

También está disponible para los clientes el libro complementario de diagnóstico de seguridad en la nube de Azure FFIEC, que ofrece instrucciones sobre el uso de los servicios de Azure y las consideraciones para el cumplimiento por parte del cliente de los requisitos de FFIEC.

Servicios y plataformas en la nube dentro de Microsoft

Azure
Intune
Office 365, Office 365 gobierno de EE. UU.
El servicio de nube de Power BI (como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365)

Documentos de guía de Azure

Para ayudar a las instituciones financieras sujetas a la supervisión de FFIEC con la adopción de la nube, Microsoft ha publicado los siguientes documentos de guía que se pueden descargar de la sección Recursos de protección de datos del Portal de confianza de servicios : Guías de cumplimiento :

Azure: herramienta de diagnóstico de seguridad en la nube
Complemento del libro de diagnóstico de seguridad en la nube de FFIEC en Azure

Office 365 y FFIEC

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad	Servicios incluidos
Comercial	Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage
GCC	Microsoft Entra ID, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento Cumplimiento avanzado de Office 365, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Aplicabilidad

Servicios incluidos

Comercial

Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage

GCC

Microsoft Entra ID, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento Cumplimiento avanzado de Office 365, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Auditorías, informes y certificados de Office 365

Consulte los informes de atestación de SOC Office 365.

Preguntas más frecuentes

¿Puedo usar el cumplimiento de Microsoft con los estándares soc para cumplir con las obligaciones de cumplimiento de FFIEC para mi institución?

Para ayudarle a cumplir estas obligaciones, Microsoft proporciona los detalles sobre el cumplimiento de los estándares de SOC, tal como se describió anteriormente. Sin embargo, en última instancia, depende de usted determinar si nuestros servicios cumplen con las leyes y regulaciones específicas aplicables a su institución. La FFIEC también aconseja que "los usuarios de informes de auditoría o revisiones no deben basarse únicamente en la información contenida en el informe para comprobar el entorno de control interno del TSP. Deberían utilizar otros procedimientos de verificación y supervisión, tal como se describe más plenamente en el Folleto de Tecnología de Subcontratación del Manual de examen de TI de FFIEC."

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.