Pubblicazione us Internal Revenue Service 1075
Panoramica della pubblicazione 1075 del servizio ricavi interno degli Stati Uniti
Internal Revenue Service Publication 1075 (IRS 1075) fornisce indicazioni per le agenzie governative degli Stati Uniti e i loro agenti che accedono alle informazioni fiscali federali (FTI) per garantire che usino criteri, pratiche e controlli per proteggere la riservatezza. L'IRS 1075 mira a ridurre al minimo il rischio di perdita, violazione o uso improprio di FTI detenuto da agenzie governative esterne. Ad esempio, un Dipartimento delle entrate dello stato che elabora FTI nelle dichiarazioni dei redditi per i suoi residenti o agenzie di servizi sanitari che accedono a FTI, deve avere programmi in atto per proteggere tali informazioni.
Per proteggere FTI, IRS 1075 prevede controlli di sicurezza e privacy per i servizi di applicazione, piattaforma e data center. Ad esempio, assegna priorità alla sicurezza delle attività dei data center, ad esempio la corretta gestione dell'FTI e la supervisione degli appaltatori del data center per limitare l'ingresso. Per garantire che le agenzie governative che ricevono L'ITI applichino tali controlli, l'IRS ha istituito il programma di misure di sicurezza, che include revisioni periodiche di tali agenzie e dei loro appaltatori.
Pubblicazione 1075 di Microsoft e US Internal Revenue Service
Microsoft Azure per enti pubblici e Microsoft Office 365 i servizi cloud del governo degli Stati Uniti forniscono un impegno contrattuale a disporre dei controlli appropriati e delle funzionalità di sicurezza necessarie per i clienti delle agenzie Microsoft per soddisfare i requisiti sostanziali di IRS 1075.
Questi servizi cloud Microsoft per enti pubblici forniscono una piattaforma su cui i clienti possono creare e gestire le proprie soluzioni, ma i clienti devono determinare autonomamente se tali soluzioni specifiche sono gestite in conformità con IRS 1075 e sono quindi soggette a controllo IRS.
Per aiutare le agenzie governative nelle loro attività di conformità, Microsoft:
- Offre indicazioni dettagliate per aiutare le agenzie a comprendere le proprie responsabilità e il modo in cui i vari controlli IRS sono mappati alle funzionalità in Azure per enti pubblici e Office 365 governo degli Stati Uniti. L'IRS 1075 Safeguard Security Report (SSR) documenta accuratamente il modo in cui i servizi Microsoft implementano i controlli IRS applicabili e si basa sui pacchetti FedRAMP di Azure per enti pubblici e Office 365 governo degli Stati Uniti. Poiché sia IRS 1075 che FedRAMP sono basati su NIST 800-53, il limite di conformità per IRS 1075 è lo stesso dell'autorizzazione FedRAMP.
- L'IRS deve approvare in modo esplicito il rilascio di qualsiasi documento di misure di sicurezza IRS, in modo che solo i clienti pubblici sotto NDA possano esaminare il SSR.
- Rende disponibili report di controllo e informazioni di monitoraggio prodotte da valutatori indipendenti per i servizi cloud.
- Fornisce all'IRS Azure per enti pubblici Compliance Considerations e Office 365 U.S. Government Compliance Considerations, che descrivono come un'agenzia può usare Microsoft Cloud per i servizi per enti pubblici in modo conforme a IRS 1075. I clienti governativi in base a NDA possono richiedere questi documenti.
- Offre ai clienti l'opportunità (a loro spese) di comunicare con esperti di materia Microsoft o revisori esterni, se necessario.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Le autorizzazioni FedRAMP vengono concesse a tre livelli di impatto in base alle linee guida NIST: bassa, media e alta. Queste classificano l'impatto che la perdita di riservatezza, integrità o disponibilità potrebbe avere su un'organizzazione: basso (effetto limitato), medio (grave effetto negativo) e alto (effetto grave o catastrofico).
- Azure e Azure per enti pubblici
- Dynamics 365 governo degli Stati Uniti
- Office 365, Office 365 governo degli Stati Uniti
- Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
- Windows 365 (Governo degli Stati Uniti)
Azure, Dynamics 365 e IRS 1075
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure IRS 1075.
Office 365 e IRS 1075
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | Servizio Feed attività, Servizi Bing, Delve, Exchange Online Protection, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura del servizio Office, Report sull'utilizzo di Office, OneDrive for Business, Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
Controlli, report e certificati di Office 365
La conformità ai requisiti sostanziali dell'IRS 1075 è coperta dal controllo FedRAMP ogni anno.
Domande frequenti
In che modo Microsoft soddisfa i requisiti di IRS 1075?
Microsoft monitora regolarmente i controlli di sicurezza, privacy e operativi e i controlli NIST 800-53 rev. 4 richiesti dalla baseline FedRAMP per i sistemi informativi a impatto moderato. Fornisce l'accesso trimestrale a queste informazioni tramite report di monitoraggio continuo. Azure per enti pubblici e Office 365 clienti del governo degli Stati Uniti possono accedere a queste informazioni sensibili sulla conformità tramite il portale di trust dei servizi.
Microsoft si è inoltre impegnata a includere i controlli IRS 1075 nel suo set di controlli master per Azure per enti pubblici e Office 365 governo degli Stati Uniti e a controllarli ogni anno.
È possibile esaminare i pacchetti FedRAMP o il piano di sicurezza del sistema?
Sì, se l'organizzazione soddisfa i requisiti di idoneità per Azure per enti pubblici e Office 365 governo degli Stati Uniti. Per esaminare questi documenti, contattare direttamente il rappresentante dell'account Microsoft. È anche possibile fare riferimento all'elenco FedRAMP dei provider di servizi cloud conformi.
È possibile usare gli ambienti cloud pubblici di Azure o Office 365 e comunque essere conformi a IRS 1075?
I clienti che soddisfano i requisiti di idoneità possono archiviare e/o elaborare informazioni fiscali federali in Azure per enti pubblici o Office 365 Government Community Cloud. Questi clienti possono anche archiviare e/o elaborare informazioni fiscali federali in Azure Commercial se gestiscono due controlli; limitare l'archiviazione dei dati al Stati Uniti e implementare la crittografia cmk (Customer Managed Key) tramite moduli di sicurezza hardware convalidati FIPS 140 sotto il loro controllo.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.