Conformité à Microsoft Cloud for Financial Services
Il vous incombe d‘assurer votre propre conformité à toutes les lois et réglementations applicables. Pour vous aider à respecter vos propres obligations de conformité dans les secteurs et les marchés réglementés du monde entier, Microsoft gère le plus grand portefeuille de conformité du secteur. Les offres de conformité sont regroupées en quatre segments : applicable à l‘échelle mondiale, au secteur public des États-Unis, spécifique au secteur et spécifique à la région/au pays.
Les offres de conformité sont basées sur divers types d‘assurances, notamment des certifications formelles, des attestations, des validations, des autorisations et des évaluations produites par des cabinets d‘audit tiers indépendants, ainsi que des modifications contractuelles, des auto-évaluations et des documents d‘orientation client produits par Microsoft. Pour obtenir des pointeurs sur le portefeuille de conformité Microsoft, consultez les Offres de conformité Microsoft.
Chaque description d‘offre de conformité fournit des liens vers des ressources téléchargeables pour vous aider avec vos propres obligations de conformité. Pour la couverture actuelle des États-Unis (É.-U.) et du Royaume-Uni (R.-U.), consultez les offres de conformité des services financiers dans le tableau suivant, où ✅ indique conforme, et ❌ indique non conforme :
| Norme, réglementation ou certification | Microsoft Dataverse | Dynamics 365 AI Customer Insights | Dynamics 365 Customer Service Insights | Microsoft Graph | Microsoft Power Platform | Microsoft Teams |
|---|---|---|---|---|---|---|
| 23 NYCRR Part 500 (É.-U.) | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| FCA + PRA (Royaume-Uni) | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| RGPD | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| GLBA (États-Unis) | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 22301 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 27001 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 27017 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| ISO 27018 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| SOC 1 Type 2 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| SOC 2 Type 2 | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
*Microsoft Dynamics 365 Customer Service Insights n’a pas atteint le NIST CSF ou NIST SP 800-171
Des informations complémentaires sont disponibles sur la page d‘arrivée des services financiers du portail Service Trust.
Gestionnaire de conformité Microsoft Purview est un outil que vous pouvez utiliser pour évaluer la conformité des deux côtés du modèle de responsabilité partagée. Il peut vous assister les utilisateurs tout au long de votre parcours de conformité, de l’inventaire des risques liés à la protection de vos données jusqu’à la gestion des complexités liées à l’implémentation de contrôles, en passant par se tenir informé des réglementations et des certifications, et générer des rapports à destination des auditeurs. Il vous permet également de gérer les exigences de conformité de votre organisation en vous donnant un score basé sur les risques mesurant vos progrès dans la réalisation des actions recommandées qui aident à réduire les risques en fonction des normes réglementaires et de notre base de référence en matière de protection des données. Il fournit des fonctionnalités de workflow et une cartographie de contrôle intégrée pour vous aider à mener efficacement des actions d’amélioration. Pourvu que vous ayez le bon niveau d’accès, vous pouvez vous connecter au Gestionnaire de la conformité Microsoft Purview pour voir votre score de conformité et commencer à gérer la conformité pour votre organisation.
Stockage de données
Les solutions dans Microsoft Cloud for Financial Services ne sont pas multi-régionales par conception. Si les lois sur le traitement des données exigent que les données soient conservées dans le pays ou la région, un locataire de déploiement doit être créé dans la zone géographique pour garantir que les données stockées dans les services restent dans la région.
Microsoft propose actuellement les déploiements dans les pays suivants :
| Pays/région | Langues disponibles |
|---|---|
| Australie | Anglais |
| Brésil | Portugais (brésilien) |
| Canada | Anglais, français |
| France | Français |
| Allemagne | Allemand |
| Hong Kong R.A.S. | Chinois (traditionnel) |
| Inde | Anglais |
| Irlande | Anglais |
| Italie | Italien |
| Mexique | Espagnol |
| Pays-Bas | Néerlandais |
| Nouvelle-Zélande | Anglais |
| Singapour | Anglais |
| Suisse | Allemand, italien et français |
| Royaume-Uni | Anglais |
| États-Unis | Anglais |
Vous pouvez trouver des informations sur comment et où les données sont stockées dans les articles suivants :
- Microsoft 365 : Où vos données client Microsoft 365 sont stockées
- Azure : Résidence des données dans Azure
- Dynamics 365 et Power Platform : Disponibilité internationale de Dynamics 365
Microsoft Cloud for Financial Services et certifications et normes spécifiques
Contrôles d’organisation et de Système (SOC) 2
La portée de la certification SOC 2 actuelle de Microsoft comprend Microsoft Cloud for Financial Services et ses capacités actuelles qui incluent Profil client unifié, Intégration des clients et le gestionnaire de collaboration. Ces capacités déploient les services Microsoft des offres Azure, Dynamics 365 et Microsoft 365 sur le cloud public, notamment :
- Microsoft Power BI
- Microsoft Dynamics 365 Customer Service Insights
- Microsoft Dynamics 365 AI Customer Insights
- Microsoft Power Automate
- Microsoft Dataverse
- Microsoft Power Apps
- Microsoft Graph
Consultez les ressources suivantes pour plus d’informations sur le SOC et les services Microsoft : Contrôles du système et de l’organisation (SOC) 2 Type 2 – Conformité Microsoft
Règlement général sur la protection des données (RGPD)
Microsoft s’engage à se conformer au RGPD, ainsi qu’à fournir une gamme de produits, de fonctionnalités, de documentation et de ressources pour aider nos clients à respecter leurs obligations de conformité en vertu du RGPD. Voici une description des engagements contractuels de Microsoft envers ses clients concernant les données personnelles collectées à partir des logiciels d’entreprise :
Microsoft Cloud for Financial Services est conforme à toutes les considérations relatives aux évaluations d’impact sur la protection des données (DPIA). Les directives de la DPIA s’appliquent à Office 365, Azure, Dynamics 365 et le Support Microsoft et les Services professionnels. Des détails supplémentaires sur l’évaluation d’impact du RGPD sont disponibles dans Évaluations d’impact sur la protection des données : Guide pour les contrôleurs de données utilisant Dynamics 365, Azure et Office 365.
Note
Pour les logiciels sous licence des programmes de licence commerciale Microsoft, reportez-vous directement à l’addendum sur la protection des données (DPA) des produits et services Microsoft, à l’adresse aka.ms/dpa.
Ressources sur la conformité
- Documentation relative à la conformité Microsoft
- Gestionnaire de conformité Microsoft Purview
- Portail de conformité Microsoft Purview
- Confidentialité dans le Centre de gestion de la confidentialité
- Confidentialité Azure
- Conformité et protection des données personnelles Dynamics 365 et Power Platform
- Gestion de la confidentialité Microsoft 365
- Services financiers dans le portail Service Trust
- Ressources de Software Assurance
- Parcours d‘apprentissage : réduire les risques avec les Gestionnaire de conformité Microsoft Purview