Sarbanes-Oxley Act de 2002 (SOX)
Visão geral do SOX
O Sarbanes-Oxley Act de 2002 (SOX) é uma lei federal dos EUA administrada pela Comissão de Valores Mobiliários (SEC). Entre outras coisas, o SOX exige que as empresas de comércio público tenham estruturas de controle internas adequadas para validar que suas demonstrações financeiras refletem seus resultados financeiros com precisão. O SOX é fortemente influenciado pelos processos internos do cliente, especialmente quando se trata de controles para relatórios financeiros. Por exemplo, os requisitos sox envolvem controles internos do cliente para a preparação e revisão de demonstrações financeiras e, especialmente, controles que afetam a precisão, a integridade, a eficácia e a divulgação pública de alterações materiais relacionadas ao relatório financeiro.
A SEC não define nem impõe um processo de certificação SOX. Em vez disso, fornece diretrizes amplas para empresas de comércio público determinarem como cumprir os requisitos de relatório sox.
Microsoft e SOX
Os clientes de serviços de nuvem da Microsoft sujeitos à conformidade com o SOX (Sarbanes-Oxley Act) podem usar o atestado SOC 1 Tipo 2 que a Microsoft recebeu de uma empresa de auditoria independente ao lidar com suas próprias obrigações de conformidade sox. Esse atestado é apropriado para relatórios sobre controles internos sobre relatórios financeiros.
Embora não haja certificação ou validação sox para provedores de serviços de nuvem, a Microsoft pode ajudar os clientes a cumprir suas obrigações sox. Por exemplo, o SOX requer controles internos para a preparação e revisão de demonstrações financeiras, especialmente controles que afetam a precisão, a integridade, a eficácia e a divulgação pública de alterações materiais relacionadas ao relatório financeiro. Para ajudar as empresas, a Microsoft mantém um atestado SOC 1 Tipo 2 apropriado para relatórios sobre esses controles em um amplo portfólio de serviços que podem ser usados para criar uma ampla gama de aplicativos. Baseia-se na Instrução do American Institute of Certified Public Accountants (AICPA) sobre Standards for Attestation Engagements 18 (SSAE 18) e no International Standard on Assurance Engagements No. 3402 (ISAE 3402). (Esse atestado substituiu o SAS 70.)
O relatório de auditoria, produzido por uma empresa de auditoria de terceiros, atesta que os controles da Microsoft foram projetados adequadamente, em operação em uma data especificada e operando efetivamente durante um período de tempo especificado. Os clientes podem examinar os relatórios para saber mais sobre os objetivos de controle da Microsoft e a eficácia de seus controles e obter acesso a controles complementares.
Na Microsoft, compartilhamos a responsabilidade de conformidade com nossos clientes. Fornecemos as especificações sobre nossos programas de conformidade, que você pode verificar solicitando resultados detalhados de auditoria dos terceiros certificados. Em última análise, no entanto, cabe a você determinar se nossos serviços estão em conformidade com as leis e regulamentos específicos aplicáveis à sua empresa. Por exemplo, há controles de segurança relacionados ao SOX, como o acesso do usuário a recursos de nuvem, que são de sua responsabilidade: sua organização deve desenvolver uma auditoria apropriada desses controles como parte da conformidade com o SOX.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Intune
- Office 365
- Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)
Azure, Dynamics 365 e SOX
À medida que a adoção da nuvem ganha impulso, cada vez mais clientes estão explorando como migrar aplicativos e cargas de trabalho sujeitos a obrigações de conformidade sox para a nuvem. Mesmo que não haja certificação ou validação sox para provedores de serviços de nuvem, o Azure pode ajudá-lo a cumprir suas obrigações sox.
Se você estiver sujeito a obrigações de conformidade do SOX, deverá examinar o atestado do Azure SOC 1 Tipo 2, que é executado de acordo com:
- SSAE nº 18, Padrões de Atestado: Esclarecimento e Recodificação, que inclui a seção AT-C 320, Relatórios sobre um exame de controles em uma organização de serviço relevante para o controle interno das entidades de usuário sobre relatórios financeiros (AICPA, padrões profissionais).
- Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).
O padrão AICPA SSAE 18 substituiu o SAS 70 e é apropriado para relatórios sobre controles em uma organização de serviço relevante para entidades de usuário controles internos sobre relatórios financeiros. Essa é a auditoria formal na qual você pode confiar para revisões de terceiros de provedores de serviços de tecnologia ao perseguir suas próprias obrigações de conformidade específicas do setor para ativos implantados no Azure. Ele inclui a opinião do auditor sobre a eficácia do controle para alcançar os objetivos de controle relacionados durante o período de monitoramento especificado.
Office 365 e SOX
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Loop de Aumento, Texto Alt Automático, Proteção de Informações do Azure, Serviços de Conversão Binária, Bookings, Delve, Item de Documento, Editor, Exchange Online, Forms, Inserir Mídia Online, Insights, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, grupos de Office 365, OneDrive for Business, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online Document Service, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, To-Do, Serviço de Renderização Web, Viva Engage |
Auditorias, relatórios e certificados
RELATÓRIOS SOC 1 Tipo 2 para:
- Azure e Power BI
- Dynamics 365
- Office 365
Perguntas frequentes
Como posso usar a conformidade do Microsoft SOX para facilitar o processo de conformidade da minha organização?
Ao migrar seus aplicativos e dados para serviços de nuvem da Microsoft cobertos, você pode criar nos atestados e certificações que a Microsoft contém. Relatórios de auditor independentes atestam a eficácia dos controles que a Microsoft implementou para ajudar a manter a segurança e a privacidade de seus dados. No entanto, você é totalmente responsável por garantir a conformidade da sua organização com todas as leis e regulamentos aplicáveis.
Recursos
- Documentação de conformidade do Azure
- Ofertas de conformidade da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft
- Ato Sarbanes-Oxley de 2002 (SOX)
- Comissão de Valores Mobiliários (SEC)
- Recursos de serviços financeiros do Microsoft Cloud
- Programa de conformidade dos serviços financeiros do Microsoft Cloud
- Mapa de conformidade dos princípios regulatórios de computação em nuvem e do Microsoft serviços online
- Casos de uso do setor de Serviços Financeiros