Publicação 1075 do Serviço de Receita Interna dos EUA
Descrição geral da Publicação 1075 do Serviço de Receitas Internas dos EUA
A Publicação 1075 (IRS 1075) do Serviço de Receitas Internas fornece orientações para as agências governamentais dos EUA e os seus agentes que acedem a informações fiscais federais (FTI) para garantir que utilizam políticas, práticas e controlos para proteger a sua confidencialidade. O IRS 1075 visa minimizar o risco de perda, violação ou utilização indevida da FTI detida por agências governamentais externas. Por exemplo, um Departamento de Receita do Estado que processa o FTI em declarações fiscais para os seus residentes, ou agências de serviços de saúde que acedem à FTI, deve ter programas implementados para salvaguardar essa informação.
Para proteger o FTI, o IRS 1075 prescreve controlos de segurança e privacidade para serviços de aplicação, plataforma e datacenter. Por exemplo, prioriza a segurança das atividades do datacenter, como o processamento adequado do FTI, e a supervisão dos contratantes do datacenter para limitar a entrada. Para garantir que as agências governamentais que recebem o FTI apliquem esses controlos, o IRS estabeleceu o Programa de Salvaguardas, que inclui revisões periódicas destas agências e dos seus empreiteiros.
Publicação 1075 do Serviço de Receita Interna da Microsoft e dos EUA
A Microsoft Azure Governamental e Microsoft Office 365 serviços cloud do Governo dos E.U.A. fornecem um compromisso contratual de que dispõem dos controlos adequados e das capacidades de segurança necessárias para que os clientes da agência Microsoft cumpram os requisitos substantivos do IRS 1075.
Estes serviços cloud da Microsoft para administração pública fornecem uma plataforma na qual os clientes podem criar e operar as suas soluções, mas os clientes têm de determinar por si próprios se essas soluções específicas são operadas de acordo com o IRS 1075 e estão, portanto, sujeitos à auditoria do IRS.
Para ajudar as agências governamentais nos seus esforços de conformidade, Microsoft:
- Oferece orientações detalhadas para ajudar as agências a compreender as suas responsabilidades e como vários controlos de IRS mapeiam para capacidades em Azure Governamental e Office 365 Governo dos EUA. O Relatório de Segurança de Salvaguarda (SSR) do IRS 1075 documenta exaustivamente a forma como os serviços Microsoft implementam os controlos de IRS aplicáveis e baseia-se nos pacotes FedRAMP de Azure Governamental e Office 365 Governo dos EUA. Uma vez que tanto o IRS 1075 como o FedRAMP se baseiam no NIST 800-53, o limite de conformidade do IRS 1075 é o mesmo que a autorização do FedRAMP.
- O IRS tem de aprovar explicitamente a divulgação de qualquer documento de Salvaguardas do IRS, para que apenas os clientes governamentais ao abrigo da NDA possam rever o SSR.
- Disponibiliza relatórios de auditoria e informações de monitorização produzidos por avaliadores independentes para os seus serviços cloud.
- Fornece ao IRS Azure Governamental Considerações de Conformidade e Office 365 Considerações de Conformidade do Governo dos E.U.A., que descrevem como uma agência pode utilizar os serviços da Microsoft Cloud para Administração Pública de uma forma que esteja em conformidade com o IRS 1075. Os clientes governamentais ao abrigo da NDA podem pedir estes documentos.
- Oferece aos clientes a oportunidade (às suas custas) de comunicar com especialistas em assuntos da Microsoft ou auditores externos, se necessário.
Plataformas e serviços em nuvem no escopo da Microsoft
As autorizações fedRAMP são concedidas em três níveis de impacto com base nas diretrizes NIST, baixas, médias e altas. Classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter numa organização — baixo (efeito limitado), médio (efeito adverso grave) e elevado (efeito severo ou catastrófico).
- Azure e Azure Governamental
- Dynamics 365 Governo dos E.U.A.
- Office 365, Office 365 Governo dos E.U.A.
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
- Windows 365 (Governo dos E.U.A.)
Azure, Dynamics 365 e IRS 1075
Para obter mais informações sobre o Azure, Dynamics 365 e outros serviços online conformidade, veja a oferta do Azure IRS 1075.
Office 365 e IRS 1075
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
GCC | Serviço de Feed de Atividades, Serviços Bing, Delve, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive for Business, Pessoas Cartão, SharePoint Online, Skype for Business, Windows Ink |
Auditorias Office 365, relatórios e certificados
O cumprimento dos requisitos substantivos do IRS 1075 é abrangido pela auditoria fedRAMP todos os anos.
Perguntas frequentes
Como é que a Microsoft cumpre os requisitos do IRS 1075?
A Microsoft monitoriza regularmente os controlos de segurança, privacidade e operacional e controlos NIST 800-53 rev. 4 exigidos pela linha de base fedRAMP para sistemas de informação de Impacto Moderado. Fornece acesso trimestral a estas informações através de relatórios de monitorização contínua. Azure Governamental e Office 365 clientes do Governo dos E.U.A. podem aceder a estas informações confidenciais de conformidade através do Portal de Confiança do Serviço.
Além disso, a Microsoft comprometeu-se a incluir controlos irs 1075 no seu master conjunto de controlo para Azure Governamental e Office 365 Governo dos EUA, e a auditar os mesmos anualmente.
Posso rever os pacotes FedRAMP ou o Plano de Segurança do Sistema?
Sim, se a sua organização cumprir os requisitos de elegibilidade para Azure Governamental e Office 365 Governo dos E.U.A. Contacte diretamente o representante da sua conta Microsoft para rever estes documentos. Também pode consultar a lista fedRAMP de fornecedores de serviços cloud conformes.
Posso utilizar o Azure ou Office 365 ambientes de cloud pública e continuar em conformidade com o IRS 1075?
Os clientes que cumpram os requisitos de elegibilidade podem armazenar e/ou processar Informações Fiscais Federais no Azure Governamental ou Office 365 Government Cloud da Comunidade. Estes clientes também podem armazenar e/ou processar Informações Fiscais Federais no Azure Commercial se gerirem dois controlos; restringir o armazenamento de dados à Estados Unidos e implementar a encriptação de Chave Gerida pelo Cliente (CMK) através de módulos de segurança de hardware (HSMs) validados FIPS 140 sob o seu controlo.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.