Partager via


Us Internal Revenue Service Publication 1075

Vue d’ensemble de la publication 1075 du service de revenu interne des États-Unis

Internal Revenue Service Publication 1075 (IRS 1075) fournit des conseils aux agences gouvernementales américaines et à leurs agents qui accèdent aux informations fiscales fédérales (FTI) afin de s’assurer qu’ils utilisent des stratégies, des pratiques et des contrôles pour protéger leur confidentialité. IRS 1075 vise à réduire le risque de perte, de violation ou d’utilisation abusive de FTI détenue par des organismes gouvernementaux externes. Par exemple, un ministère du Revenu d’État qui traite la FTI dans les déclarations fiscales de ses résidents, ou les organismes de services de santé qui accèdent à l’RTC, doivent avoir mis en place des programmes pour protéger ces renseignements.

Pour protéger la FTI, IRS 1075 impose des contrôles de sécurité et de confidentialité pour les services d’application, de plateforme et de centre de données. Par instance, il hiérarchise la sécurité des activités du centre de données, telles que la gestion appropriée de la FTI, et la supervision des sous-traitants du centre de données pour limiter l’entrée. Pour s’assurer que les organismes gouvernementaux bénéficiaires de la FTI appliquent ces contrôles, le SEI a établi le Programme de protection, qui comprend des examens périodiques de ces organismes et de leurs sous-traitants.

Publication 1075 du service de revenu interne de Microsoft et des États-Unis

Microsoft Azure Government et Microsoft Office 365 services cloud du gouvernement des États-Unis fournissent un engagement contractuel de disposer des contrôles appropriés en place et des fonctionnalités de sécurité nécessaires pour permettre aux clients des agences Microsoft de répondre aux exigences substantielles de l’IRS 1075.

Ces services cloud Microsoft pour le secteur public fournissent une plateforme sur laquelle les clients peuvent créer et exploiter leurs solutions, mais les clients doivent déterminer eux-mêmes si ces solutions spécifiques sont exploitées conformément à l’IRS 1075 et sont donc soumises à un audit IRS.

Pour aider les agences gouvernementales dans leurs efforts de conformité, Microsoft :

  • Fournit des conseils détaillés pour aider les agences à comprendre leurs responsabilités et comment les différents contrôles IRS correspondent aux fonctionnalités de Azure Government et Office 365 gouvernement des États-Unis. Le rapport irs 1075 sur la sécurité de la protection (SSR) documente en détail la façon dont les services Microsoft implémentent les contrôles IRS applicables, et est basé sur les packages FedRAMP de Azure Government et Office 365 gouvernement des États-Unis. Étant donné que IRS 1075 et FedRAMP sont tous deux basés sur NIST 800-53, la limite de conformité pour IRS 1075 est identique à l’autorisation FedRAMP.
  • L’IRS doit approuver explicitement la publication de tout document sur les protections irs, de sorte que seuls les clients du secteur public dans le cadre de la NDA puissent examiner le SSR.
  • Met à disposition des rapports d’audit et des informations de surveillance produits par des évaluateurs indépendants pour ses services cloud.
  • Fournit à l’IRS Azure Government considérations de conformité et Office 365 considérations de conformité du gouvernement des États-Unis, qui décrivent comment une agence peut utiliser les services Microsoft Cloud for Government d’une manière conforme à IRS 1075. Les clients du secteur public sous NDA peuvent demander ces documents.
  • Offre aux clients la possibilité (à leurs frais) de communiquer avec des experts microsoft en la matière ou des auditeurs externes si nécessaire.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Les autorisations FedRAMP sont accordées à trois niveaux d’impact basés sur les recommandations du NIST : faible, moyen et élevé. Ceux-ci classent l’impact que la perte de confidentialité, d’intégrité ou de disponibilité pourrait avoir sur un organization : faible (effet limité), moyen (effet négatif grave) et élevé (effet grave ou catastrophique).

  • Azure et Azure Government
  • Dynamics 365 gouvernement des États-Unis
  • Office 365, Office 365 gouvernement des États-Unis
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365
  • Windows 365 (gouvernement des États-Unis)

Azure, Dynamics 365 et IRS 1075

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure IRS 1075.

Office 365 et IRS 1075

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Service de flux d’activité, Services Bing, Delve, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, rapports d’utilisation d’Office, OneDrive Entreprise, Personnes Carte, SharePoint Online, Skype Entreprise, Windows Ink

Audits, rapports et certificats Office 365

La conformité aux exigences de fond de l’IRS 1075 est couverte par l’audit FedRAMP chaque année.

Foire aux questions

Comment Microsoft répond-il aux exigences d’IRS 1075 ?

Microsoft surveille régulièrement ses contrôles de sécurité, de confidentialité et d’exploitation, ainsi que les contrôles NIST 800-53 rev. 4 requis par la base de référence FedRAMP pour les systèmes d’information à impact modéré. Il fournit un accès trimestriel à ces informations par le biais de rapports de surveillance continue. Azure Government et Office 365 clients du gouvernement des États-Unis peuvent accéder à ces informations de conformité sensibles via le portail d’approbation de service.

En outre, Microsoft s’est engagé à inclure les contrôles IRS 1075 dans son jeu de contrôle master pour Azure Government et Office 365 gouvernement des États-Unis, et à effectuer des audits sur ces contrôles chaque année.

Puis-je consulter les packages FedRAMP ou le plan de sécurité du système ?

Oui, si votre organization répond aux conditions d’éligibilité pour Azure Government et Office 365 gouvernement des États-Unis. Contactez directement votre représentant de compte Microsoft pour consulter ces documents. Vous pouvez également vous référer à la liste FedRAMP des fournisseurs de services cloud conformes.

Puis-je utiliser azure ou Office 365 environnements de cloud public tout en restant conforme à IRS 1075 ?

Les clients qui répondent aux conditions d’éligibilité peuvent stocker et/ou traiter les informations fiscales fédérales dans Azure Government ou Office 365 Secteur Public Community Cloud. Ces clients peuvent également stocker et/ou traiter des informations fiscales fédérales dans Azure Commercial s’ils gèrent deux contrôles ; limitez le stockage des données au États-Unis et implémentez le chiffrement cmk (Customer Managed Key) via des modules de sécurité matériels (HSM) validés FIPS 140 sous leur contrôle.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources