Centro de Sistemas de Informação da Indústria Financeira (FISC)
Visão geral do FISC
O Center for Financial Industry Information Systems (FISC) é uma organização sem fins lucrativos criada pelo Ministério da Fazenda do Japão em 1984 para promover a segurança em sistemas de computador bancários no Japão. No Japão, em torno de 700 corporações são membros que apoiam o centro, incluindo instituições financeiras importantes, seguradoras e empresas de crédito, empresas de títulos mobiliários, fabricantes de computadores e empresas de telecomunicações.
Em colaboração com as instituições membros, o Banco do Japão e a Agência de Serviços Financeiros (uma organização governamental responsável pela supervisão de serviços bancários, valores mobiliários e seguros no Japão), o FISC criou diretrizes para a segurança dos sistemas de informação bancários. Essas diretrizes incluem padrões básicos de auditoria para controles de sistema de computador, planejamento de contingência em caso de desastre e desenvolvimento de políticas e padrões de segurança contidos em mais de 300 controles.
Embora a aplicação dessas diretrizes em um ambiente de computação em nuvem não seja exigida pela regulamentação, a maioria das instituições financeiras no Japão que implementaram serviços de nuvem criaram sistemas de informação que atendem a esses padrões de segurança, e pode ser difícil justificar uma divergência quanto a isso. (As diretrizes mais recentes, Versão 8 Suplementar Revisada, com publicação em 2015, acrescentaram duas revisões relacionadas ao uso de serviços de nuvem por instituições financeiras e medidas defensivas contra ataques cibernéticos.)
A conformidade com essa estrutura não é exigida por regulamentação e não é auditada nem validada de outra forma pelo FISC.
Microsoft e FISC
A Microsoft contratou um avaliador externo para validar se o Microsoft Azure, Dynamics 365 e Microsoft Office 365 atendem aos requisitos de Diretrizes de Segurança do FISC para Sistemas de Computador para Instituições Financeiras, 9ª edição Revisada. A Microsoft forneceu evidências de conformidade em cada uma das áreas a seguir:
- As diretrizes de datacenter para monitoramento de prédios e salas de computação, energia, ar-condicionado, datacenter e instalações.
- Diretrizes operacionais para organizações, treinamento, controle de acesso, desenvolvimento de sistemas e auditoria.
- Diretrizes técnicas para medidas de melhoria da confiabilidade de hardware e software e medidas defensivas contra riscos de segurança, incluindo proteção de dados, prevenção contra uso não autorizado, detecção de ameaças e recuperação de desastres.
As instituições financeiras podem contar com essa avaliação da conformidade dessas três áreas para os serviços de infraestrutura e plataforma no escopo do Azure, Dynamics 365, Office 365 e Microsoft Defender para Aplicativos de Nuvem.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)
Office 365 e FISC
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Access Online, Microsoft Entra ID, Delve, Exchange Online, Proteção do Exchange Online, Microsoft Teams, Office 365 ProPlus, Office Online, OneDrive for Business, Power BI para Office 365, Project Online, SharePoint Online, Skype for Business |
Perguntas frequentes
A quem as diretrizes do FISC se aplicam?
Os bancos e outras instituições financeiras no Japão que desejam validar sua abordagem de sistema de segurança, confiabilidade e auditoria e aderir a práticas recomendadas já estabelecidas no Japão seguem as diretrizes do FISC.
Onde posso obter mais informações sobre os requisitos da Versão 8 do FISC?
O FISC publicou dois relatórios de seu Conselho de Especialistas:
- Uso da Computação em Nuvem por Instituições Financeiras:
- Medidas Defensivas contra Ataques Cibernéticos em Instituições Financeiras
Onde posso obter detalhes das respostas da Microsoft à estrutura do FISC?
Quanto a referências de segurança de terceiros que tenham avaliado a conformidade FISC dos serviços em nuvem da Microsoft, contacte o representante da sua conta Microsoft.
Posso usar as respostas da Microsoft para essa estrutura no processo de qualificação da minha organização?
Sim. Entretanto, embora a conformidade das respostas da Microsoft a essa estrutura sejam confirmadas por terceiros, os clientes são responsáveis por validar a conformidade das soluções que eles implementarem no Azure ou Office 365.
Recursos
- Termos do Microsoft Online Services
- Diretrizes de Segurança/Padrões de Segurança do FISC
- Relatório do FISC sobre Computação em Nuvem
- Conformidade no Microsoft Trust Center