Compartilhar via


Conselho de Exame das Instituições Financeiras Federais (FFIEC)

Visão geral do FFIEC

O Conselho Federal de Exame de Instituições Financeiras (FFIEC) é um órgão interagências formal composto por cinco reguladores bancários responsáveis pelos exames do governo federal dos EUA sobre instituições financeiras no Estados Unidos. O Escritório de Educação do Examinador do FFIEC publica Manuales de Exame de TI destinados a examinadores de campo de agências membros do FFIEC.

O Manual de Exame de TI da Auditoria FFIEC contém diretrizes para que esses examinadores avaliem a qualidade e a eficácia dos programas de auditoria de TI de instituições financeiras e TSPs. Especificamente, ele inclui menção de relatórios de atestado SOC 1, SOC 2 e SOC 3 do American Institute of Certified Public Accountants (AICPA) como exemplos de relatórios de auditoria independentes. No entanto, o FFIEC recomenda que as instituições financeiras não dependam apenas das informações contidas nesses relatórios, mas também usem procedimentos de verificação e monitoramento discutidos detalhadamente no Manual de Exame de TI dos Serviços de Tecnologia de Terceirização da FFIEC.

Microsoft e FFIEC

Microsoft Azure, Microsoft Power BI e Microsoft Office 365 são criados para atender aos requisitos rigorosos de fornecimento de serviços de nuvem para instituições de serviços financeiros. O Azure fornece às instituições financeiras relatórios de atestado SOC 1 Tipo 2, SOC 2 e SOC 3 produzidos por uma empresa de auditoria independente para ajudar os clientes a cumprir suas próprias obrigações de conformidade com o FFIEC. Por exemplo, o atestado SOC 1 Tipo 2 é executado em:

  • SSAE nº 18, Padrões de Atestado: Esclarecimento e Recodificação, que inclui a seção AT-C 320, Relatórios sobre um exame de controles em uma organização de serviço relevante para o controle interno das entidades de usuário sobre relatórios financeiros (AICPA, padrões profissionais).
  • Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).

O padrão AICPA SSAE 18 substituiu o SAS 70 e é apropriado para relatórios sobre controles em uma organização de serviço relevante para entidades de usuário controles internos sobre relatórios financeiros. Essa é a auditoria formal que as instituições financeiras podem aproveitar para revisões de terceiros de provedores de serviços de tecnologia ao perseguir suas próprias obrigações de conformidade específicas do FFIEC para ativos implantados no Azure. Ele inclui a opinião do auditor sobre a eficácia do controle para alcançar os objetivos de controle relacionados durante o período de monitoramento especificado.

Além disso, o Azure desenvolveu uma ferramenta de diagnóstico de segurança de nuvem baseada no Excel destinada a agilizar uma avaliação de risco que uma instituição financeira pode querer realizar em relação aos serviços do Azure. A ferramenta é baseada em uma planilha com 19 domínios separados que identificam os requisitos estabelecidos em padrões relevantes e regulamentos relacionados a serviços financeiros, incluindo os Manuales de Exame de TI do FFIEC. A ferramenta de avaliação de risco é prepovoada com explicações sobre como o Azure atende aos requisitos aplicáveis aos provedores de serviços de nuvem e pode ajudar os clientes a atender aos seus próprios requisitos de conformidade do FFIEC.

Também está disponível para os clientes o acompanhante da pasta de trabalho de diagnóstico de segurança na nuvem do Azure FFIEC, que oferece diretrizes sobre o uso de serviços do Azure e considerações sobre a conformidade do cliente com os requisitos do FFIEC

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Intune
  • Office 365, Office 365 governo dos EUA
  • Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)

Documentos de diretriz do Azure

Para ajudar as instituições financeiras sujeitas à supervisão do FFIEC com a adoção da nuvem, a Microsoft publicou os seguintes documentos de diretrizes que podem ser baixados na seção Service Trust Portal Data Protection Resources – Guias de Conformidade :

  • Azure – Ferramenta de diagnóstico de segurança na nuvem
  • Azure – acompanhante da pasta de trabalho de diagnóstico de segurança na nuvem do FFIEC

Office 365 e FFIEC

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Microsoft Entra ID, Azure Proteção de Informações, Bookings, Compliance Manager, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Cloud App Security, Office 365 Grupos, Office 365 Centro de Conformidade & segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Auditorias Office 365, relatórios e certificados

Consulte os relatórios de atestado do SOC Office 365.

Perguntas frequentes

Posso usar a conformidade da Microsoft com as normas SOC para atender às obrigações de conformidade do FFIEC para minha instituição?

Para ajudá-lo a cumprir essas obrigações, a Microsoft fornece as especificações sobre nossa conformidade com os padrões SOC, conforme descrito anteriormente. No entanto, em última análise, cabe a você determinar se nossos serviços estão em conformidade com as leis e regulamentos específicos aplicáveis à sua instituição. O FFIEC também aconselha que "os usuários de relatórios de auditoria ou revisões não devem confiar apenas nas informações contidas no relatório para verificar o ambiente de controle interno do TSP. Eles devem usar outros procedimentos de verificação e monitoramento, conforme discutido mais plenamente no Manual de Tecnologia de Terceirização do Manual de Exame de TI do FFIEC.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos

Outros recursos da Microsoft para serviços financeiros