Publicação 1075 da Receita Federal dos EUA
Visão geral da Publicação 1075 da Receita Federal dos EUA
A Publicação 1075 da Receita Federal (IRS 1075) fornece diretrizes para agências governamentais dos EUA e seus agentes que acessam informações fiscais federais (FTI) para garantir que eles usem políticas, práticas e controles para proteger sua confidencialidade. O IRS 1075 visa minimizar o risco de perda, violação ou uso indevido de FTI detido por agências governamentais externas. Por exemplo, um Departamento de Receita do estado que processa o FTI em declarações fiscais para seus residentes, ou agências de serviços de saúde que acessam o FTI, deve ter programas em vigor para proteger essas informações.
Para proteger o FTI, o IRS 1075 prescreve controles de segurança e privacidade para serviços de aplicativo, plataforma e datacenter. Por exemplo, ele prioriza a segurança das atividades do datacenter, como o tratamento adequado do FTI e a supervisão de empreiteiros do datacenter para limitar a entrada. Para garantir que as agências governamentais que recebem FTI apliquem esses controles, a Receita Federal estabeleceu o Programa de Salvaguardas, que inclui revisões periódicas dessas agências e de seus contratados.
Publicação 1075 da Microsoft e da Receita Federal dos EUA
A Microsoft Azure Governamental e Microsoft Office 365 serviços de nuvem do governo dos EUA fornecem um compromisso contratual de que eles têm os controles apropriados em vigor e os recursos de segurança necessários para que os clientes de agências da Microsoft atendam aos requisitos substantivos da Receita Federal 1075.
Esses serviços de nuvem da Microsoft para governo fornecem uma plataforma na qual os clientes podem criar e operar suas soluções, mas os clientes devem determinar por si mesmos se essas soluções específicas são operadas de acordo com o IRS 1075 e, portanto, estão sujeitas à auditoria da Receita Federal.
Para ajudar as agências governamentais em seus esforços de conformidade, Microsoft:
- Oferece diretrizes detalhadas para ajudar as agências a entender suas responsabilidades e como vários controles da Receita Federal mapeiam para recursos no Azure Governamental e Office 365 governo dos EUA. O SSR (Relatório de Segurança de Salvaguarda) do IRS 1075 documenta minuciosamente como os serviços da Microsoft implementam os controles irs aplicáveis e se baseia nos pacotes FedRAMP de Azure Governamental e Office 365 governo dos EUA. Como o IRS 1075 e o FedRAMP se baseiam no NIST 800-53, o limite de conformidade para IRS 1075 é o mesmo que a autorização fedRAMP.
- A Receita Federal deve aprovar explicitamente a liberação de qualquer documento de Salvaguardas da Receita Federal, para que apenas clientes governamentais em NDA possam examinar o SSR.
- Disponibiliza relatórios de auditoria e informações de monitoramento produzidos por assessores independentes para seus serviços de nuvem.
- Fornece à Receita Federal Azure Governamental Considerações de Conformidade e Office 365 Considerações de Conformidade do Governo dos EUA, que descrevem como uma agência pode usar o Microsoft Cloud para serviços governamentais de uma maneira que esteja em conformidade com a Receita Federal 1075. Os clientes do governo em NDA podem solicitar esses documentos.
- Oferece aos clientes a oportunidade (às suas custas) de se comunicar com especialistas em assuntos da Microsoft ou auditores externos, se necessário.
Plataformas e serviços em nuvem no escopo da Microsoft
As autorizações fedRAMP são concedidas em três níveis de impacto com base em diretrizes NIST – baixa, média e alta. Elas classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter em uma organização – baixo (efeito limitado), médio (efeito adverso grave) e alto (efeito severo ou catastrófico).
- Azure e Azure Governamental
- Dynamics 365 governo dos EUA
- Office 365, Office 365 governo dos EUA
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
- Windows 365 (governo dos EUA)
Azure, Dynamics 365 e IRS 1075
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do Azure IRS 1075.
Office 365 e IRS 1075
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Serviço de Feed de Atividades, Serviços de Bing, Delve, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Pessoas Cartão, SharePoint Online, Skype for Business, Windows Ink |
Auditorias Office 365, relatórios e certificados
A conformidade com os requisitos substantivos do IRS 1075 é coberta pela auditoria FedRAMP todos os anos.
Perguntas frequentes
Como a Microsoft atende aos requisitos do IRS 1075?
A Microsoft monitora regularmente sua segurança, privacidade e controles operacionais e controles NIST 800-53 rev. 4 exigidos pela linha de base FedRAMP para sistemas de informações de Impacto Moderado. Ele fornece acesso trimestral a essas informações por meio de relatórios de monitoramento contínuos. Azure Governamental e Office 365 clientes do governo dos EUA podem acessar essas informações confidenciais de conformidade por meio do Portal de Confiança do Serviço.
Além disso, a Microsoft se comprometeu a incluir controles do IRS 1075 em seu conjunto de controle master para Azure Governamental e Office 365 governo dos EUA e auditá-los anualmente.
Posso examinar os pacotes FedRAMP ou o Plano de Segurança do Sistema?
Sim, se sua organização atender aos requisitos de elegibilidade para Azure Governamental e Office 365 governo dos EUA. Entre em contato diretamente com seu representante da conta microsoft para examinar esses documentos. Você também pode consultar a lista FedRAMP de provedores de serviços de nuvem compatíveis.
Posso usar o Azure ou Office 365 ambientes de nuvem pública e ainda estar em conformidade com o IRS 1075?
Não. Os únicos ambientes em que o FTI pode ser armazenado e processado são Azure Governamental ou Office 365 governo dos EUA. Os clientes governamentais devem atender aos requisitos de elegibilidade para usar esses ambientes.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários