Sarbanes-Oxley Act del 2002 (SOX)

Panoramica di SOX

Il Sarbanes-Oxley Act del 2002 (SOX) è una legge federale statunitense amministrata dalla Securities and Exchange Commission (SEC). Tra le altre cose, SOX richiede alle società quotate in borsa di avere adeguate strutture di controllo interno per verificare che i loro rendiconti finanziari riflettano accuratamente i loro risultati finanziari. SOX è fortemente influenzato dai processi interni del cliente, soprattutto quando si tratta di controlli per la creazione di report finanziari. Ad esempio, i requisiti SOX prevedono controlli interni dei clienti per la preparazione e la revisione dei rendiconti finanziari e, in particolare, controlli che influiscono sull'accuratezza, la completezza, l'efficacia e la divulgazione pubblica delle modifiche materiali correlate alla rendicontazione finanziaria.

Sec non definisce né impone un processo di certificazione SOX. Fornisce invece linee guida generali per le società quotate in borsa per determinare come rispettare i requisiti di reporting SOX.

Microsoft e SOX

I clienti dei servizi cloud Microsoft soggetti alla conformità all'Sarbanes-Oxley Act (SOX) possono usare l'attestazione SOC 1 Di tipo 2 ricevuta da una società di controllo indipendente per far fronte ai propri obblighi di conformità SOX. Questa attestazione è appropriata per la creazione di report sui controlli interni sulla rendicontazione finanziaria.

Anche se non esiste alcuna certificazione SOX o convalida per i provider di servizi cloud, Microsoft può aiutare i clienti a rispettare i propri obblighi SOX. Ad esempio, SOX richiede controlli interni per la preparazione e la revisione dei rendiconti finanziari, in particolare i controlli che influiscono sull'accuratezza, la completezza, l'efficacia e la divulgazione pubblica delle modifiche materiali correlate alla rendicontazione finanziaria. Per aiutare le aziende, Microsoft mantiene un'attestazione SOC 1 di tipo 2 appropriata per la creazione di report su tali controlli in un ampio portafoglio di servizi che possono essere usati per compilare un'ampia gamma di applicazioni. Si basa sulla dichiarazione dell'American Institute of Certified Public Accountants (AICPA) sugli standard per attestazioni 18 (SSAE 18) e sull'International Standard on Assurance Engagements n. 3402 (ISAE 3402). Questa attestazione ha sostituito sas 70.

Il report di controllo, prodotto da una società di controllo di terze parti, attesta che i controlli Microsoft sono stati progettati in modo appropriato, in esecuzione in una data specificata e funzionano in modo efficace in un periodo di tempo specificato. I clienti possono esaminare i report per informazioni sugli obiettivi di controllo Microsoft e sull'efficacia dei controlli e ottenere l'accesso a controlli complementari.

Microsoft condivide la responsabilità della conformità con i clienti. Vengono fornite le specifiche relative ai programmi di conformità, che è possibile verificare richiedendo risultati di controllo dettagliati alle terze parti di certificazione. In definitiva, tuttavia, spetta all'utente determinare se i nostri servizi sono conformi alle leggi e alle normative specifiche applicabili alla propria azienda. Ad esempio, esistono controlli di sicurezza correlati a SOX, ad esempio l'accesso degli utenti alle risorse cloud, che sono responsabilità dell'utente: l'organizzazione deve sviluppare un controllo appropriato di questi controlli nell'ambito della conformità SOX.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

• Azure
• Dynamics 365
• Intune
• Office 365
• Servizio cloud Power BI, servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365

Azure, Dynamics 365 e SOX

Man mano che l'adozione del cloud acquisisce slancio, sempre più clienti stanno esplorando come eseguire la migrazione di applicazioni e carichi di lavoro soggetti agli obblighi di conformità SOX al cloud. Anche se non è disponibile alcuna certificazione SOX o convalida per i provider di servizi cloud, Azure può essere utile per soddisfare gli obblighi SOX.

Se si è soggetti agli obblighi di conformità SOX, è consigliabile esaminare l'attestazione SOC 1 di tipo 2 di Azure, eseguita in base a:

• SSAE n. 18, Attestation Standards: Clarification and Recodification, che include la sezione AT-C 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA, Professional Standards).
• Report SOC 1 sull'esame dei controlli in un'organizzazione di servizi rilevante per il controllo interno delle entità utente sui report finanziari (Guida AICPA).

Lo standard AICPA SSAE 18 ha sostituito SAS 70 ed è appropriato per la creazione di report sui controlli in un'organizzazione di servizi rilevanti per i controlli interni delle entità utente sui report finanziari. Si tratta del controllo formale su cui è possibile fare affidamento per le verifiche di terze parti dei provider di servizi tecnologici quando si perseguono obblighi di conformità specifici del settore per gli asset distribuiti in Azure. Include il parere del revisore sull'efficacia del controllo per raggiungere gli obiettivi di controllo correlati durante il periodo di monitoraggio specificato.

Office 365 e SOX

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

• Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
• Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
• Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
• Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
• Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità

Servizi inclusi nell'ambito

Commerciale

Ciclo di aumento, testo alternativo automatico, azure Information Protection, servizi di conversione binaria, Bookings, Delve, elemento documento, editor, Exchange Online, moduli, inserimento di supporti online, informazioni dettagliate, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, gruppi di Office 365, OneDrive for Business, Planner, Power Apps, PowerApps, Power Automate, Power BI, powerpoint Designer, servizio documenti di PowerPoint Online, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, To-Do, Servizio rendering Web, Viva Engage

Controlli, report e certificati

Report SOC 1 di tipo 2 per:

• Azure e Power BI
• Dynamics 365
• Office 365

Domande frequenti

Come è possibile usare la conformità SOX Microsoft per facilitare il processo di conformità dell'organizzazione?

Quando si esegue la migrazione delle applicazioni e dei dati ai servizi cloud Microsoft coperti, è possibile basarsi sulle attestazioni e le certificazioni in possesso di Microsoft. I report dei revisori indipendenti attestano l'efficacia dei controlli implementati da Microsoft per mantenere la sicurezza e la privacy dei dati. Tuttavia, l'utente è interamente responsabile di garantire la conformità dell'organizzazione a tutte le leggi e le normative applicabili.

Risorse

• Documentazione sulla conformità di Azure
• Offerte per la conformità Microsoft
• Conformità nel Centro protezione Microsoft
• Sarbanes-Oxley Act of 2002 (SOX)
• Securities and Exchange Commission (SEC)
• Risorse dei servizi finanziari di Microsoft Cloud
• Programma di conformità dei servizi finanziari Microsoft Cloud
• Mappa di conformità dei principi normativi del cloud computing e microsoft Servizi online
• Casi d'uso del settore dei servizi finanziari