Publicación 1075 del servicio de ingresos internos de EE. UU.
Introducción a la publicación 1075 del servicio de ingresos internos de EE. UU.
La publicación 1075 del Servicio de Ingresos Internos (IRS 1075) proporciona orientación para las agencias gubernamentales de EE. UU. y sus agentes que acceden a la información fiscal federal (FTI) para asegurarse de que usan directivas, prácticas y controles para proteger su confidencialidad. IRS 1075 tiene como objetivo minimizar el riesgo de pérdida, violación o uso indebido de FTI en poder de agencias gubernamentales externas. Por ejemplo, un Departamento de Ingresos del estado que procesa FTI en declaraciones de impuestos para sus residentes, o agencias de servicios de salud que acceden a FTI, debe tener programas implementados para proteger esa información.
Para proteger FTI, IRS 1075 prescribe controles de seguridad y privacidad para los servicios de aplicación, plataforma y centro de datos. Por ejemplo, prioriza la seguridad de las actividades del centro de datos, como el control adecuado de FTI y la supervisión de los contratistas del centro de datos para limitar la entrada. Para asegurarse de que las agencias gubernamentales que reciben FTI aplican esos controles, el IRS estableció el Programa de Salvaguardias, que incluye revisiones periódicas de estas agencias y sus contratistas.
Publicación 1075 del Servicio de ingresos internos de Microsoft y EE. UU.
Microsoft Azure Government y Microsoft Office 365 los servicios en la nube del Gobierno de Ee. UU. proporcionan un compromiso contractual de que tienen los controles adecuados y las capacidades de seguridad necesarias para que los clientes de la agencia de Microsoft cumplan los requisitos sustantivos de IRS 1075.
Estos servicios en la nube de Microsoft para la administración pública proporcionan una plataforma en la que los clientes pueden crear y operar sus soluciones, pero los clientes deben determinar por sí mismos si esas soluciones específicas se operan de acuerdo con IRS 1075 y, por lo tanto, están sujetas a la auditoría del IRS.
Para ayudar a las agencias gubernamentales en sus esfuerzos de cumplimiento, Microsoft:
- Ofrece instrucciones detalladas para ayudar a las agencias a comprender sus responsabilidades y cómo los distintos controles del IRS se asignan a las capacidades de Azure Government y Office 365 gobierno de ee. UU. El Informe de Seguridad de Seguridad (SSR) del IRS 1075 documenta exhaustivamente cómo los servicios de Microsoft implementan los controles del IRS aplicables y se basa en los paquetes de FedRAMP de Azure Government y Office 365 gobierno de ee. UU. Dado que IRS 1075 y FedRAMP se basan en NIST 800-53, el límite de cumplimiento para IRS 1075 es el mismo que la autorización de FedRAMP.
- El IRS debe aprobar explícitamente la publicación de cualquier documento de medidas de seguridad del IRS, por lo que solo los clientes gubernamentales bajo NDA pueden revisar el SSR.
- Pone a disposición informes de auditoría e información de supervisión generada por evaluadores independientes para sus servicios en la nube.
- Proporciona al IRS Azure Government Consideraciones de cumplimiento y Office 365 Consideraciones de cumplimiento gubernamental de EE. UU., que describen cómo una agencia puede usar los servicios de Microsoft Cloud for Government de una manera que cumpla con IRS 1075. Los clientes gubernamentales en NDA pueden solicitar estos documentos.
- Ofrece a los clientes la oportunidad (a su cargo) de comunicarse con expertos en la materia de Microsoft o con auditores externos si es necesario.
Servicios y plataformas en la nube dentro de Microsoft
Las autorizaciones de FedRAMP se conceden en tres niveles de impacto basados en las directrices de NIST: bajo, medio y alto. Estos clasifican el impacto que la pérdida de confidencialidad, integridad o disponibilidad podría tener en una organización: bajo (efecto limitado), medio (efecto adverso grave) y alto (efecto grave o catastrófico).
- Azure y Azure Government
- Dynamics 365 gobierno de EE. UU.
- Office 365, Office 365 gobierno de EE. UU.
- El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
- Windows 365 (Gobierno de EE. UU.)
Azure, Dynamics 365 e IRS 1075
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure IRS 1075.
Office 365 e IRS 1075
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
GCC | Servicio de fuente de actividad, Bing Services, Delve, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
Auditorías, informes y certificados de Office 365
El cumplimiento de los requisitos sustantivos del IRS 1075 se cubre en la auditoría de FedRAMP cada año.
Preguntas frecuentes
¿Cómo aborda Microsoft los requisitos de IRS 1075?
Microsoft supervisa periódicamente sus controles operativos, de seguridad y privacidad, y los controles NIST 800-53 rev. 4 requeridos por la línea base de FedRAMP para los sistemas de información de impacto moderado. Proporciona acceso trimestral a esta información a través de informes de supervisión continua. Azure Government y Office 365 los clientes del gobierno de EE. UU. pueden acceder a esta información confidencial de cumplimiento a través del Portal de confianza de servicios.
Además, Microsoft se ha comprometido a incluir los controles del IRS 1075 en su conjunto de controles maestros para Azure Government y Office 365 gobierno de EE. UU., y a realizar auditorías anualmente en su contra.
¿Puedo revisar los paquetes de FedRAMP o el plan de seguridad del sistema?
Sí, si su organización cumple los requisitos de elegibilidad para Azure Government y Office 365 gobierno de EE. UU. Póngase en contacto directamente con el representante de su cuenta de Microsoft para revisar estos documentos. También puede hacer referencia a la lista de FedRAMP de proveedores de servicios en la nube compatibles.
¿Puedo usar Azure o Office 365 entornos de nube pública y seguir siendo compatible con IRS 1075?
Los clientes que cumplan los requisitos de idoneidad pueden almacenar o procesar información fiscal federal en Azure Government o Office 365 Administración Pública Community Cloud. Estos clientes también pueden almacenar o procesar información fiscal federal en Azure Commercial si administran dos controles; restringir el almacenamiento de datos a los Estados Unidos e implementar el cifrado de clave administrada por el cliente (CMK) a través de módulos de seguridad de hardware (HSM) validados por FIPS 140 bajo su control.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.