Publication 1075 du service du revenu interne des États-Unis

Vue d’ensemble de la publication 1075 du service du revenu interne des États-Unis

La publication 1075 du service du revenu interne (IRS 1075) fournit des conseils aux agences gouvernementales des États-Unis et à leurs agents qui accèdent aux informations fiscales fédérales (FTI) afin de s’assurer qu’ils utilisent des stratégies, des pratiques et des contrôles pour protéger leur confidentialité. L’IRS 1075 vise à minimiser les risques de perte, de violation ou d’utilisation abusive de FTI détenus par des agences gouvernementales externes. Par exemple, un département du Revenu d’État qui traite l’information FTI dans les déclarations fiscales de ses résidents, ou les agences de services de santé qui accèdent à FTI, doit avoir des programmes en place pour protéger ces informations.

Pour protéger FTI, l’IRS 1075 prescrit des contrôles de sécurité et de confidentialité pour les services d’application, de plateforme et de centre de données. Par exemple, il hiérarchise la sécurité des activités des centres de données, telles que la gestion appropriée de FTI et la supervision des sous-traitants du centre de données pour limiter l’entrée. Pour s’assurer que les agences gouvernementales qui reçoivent LTI appliquent ces contrôles, l’IRS a mis en place le programme de protection, qui inclut des examens périodiques de ces agences et de leurs sous-traitants.

Publication microsoft et us internal revenue service 1075

Microsoft Azure Les services cloud du gouvernement et du Microsoft Office 365 pour le gouvernement américain fournissent un engagement contractuel à ce qu’ils ont les contrôles appropriés en place, ainsi que les fonctionnalités de sécurité nécessaires pour que les clients de l’agence Microsoft répondent aux exigences matérielles de l’IRS 1075.

Ces services de cloud computing Microsoft pour le gouvernement fournissent une plateforme sur laquelle les clients peuvent créer et exploiter leurs solutions, mais les clients doivent déterminer par eux-mêmes si ces solutions spécifiques sont gérées conformément à l’IRS 1075 et sont, par conséquent, soumises à un audit de l’IRS.

Pour aider les agences gouvernementales dans leurs efforts de conformité, Microsoft :

  • Fournit des conseils détaillés pour aider les agences à comprendre leurs responsabilités et la façon dont les différents contrôles de l’IRS sont mapés aux fonctionnalités dans Azure Government et Office 365 gouvernement américain. Le rapport de sécurité de protection (SSR) de l’IRS 1075 documente minutieusement la façon dont services Microsoft implémente les contrôles IRS applicables et est basé sur les packages FedRAMP d’Azure Government et Office 365 U.S. Government. Étant donné que l’IRS 1075 et fedRAMP sont basés sur NIST 800-53, la limite de conformité pour l’IRS 1075 est identique à l’autorisation FedRAMP.
  • L’IRS doit approuver explicitement la publication d’un document de garanties de l’IRS, afin que seuls les clients du gouvernement sous NDA peuvent examiner la demande de garantie de l’IRS.
  • Met à disposition des rapports d’audit et des informations de surveillance produits par des évaluateurs indépendants pour ses services cloud.
  • Présente les considérations de conformité pour le gouvernement azure de l’IRS et les considérations de conformité du gouvernement américain Office 365, qui décrivent comment une agence peut utiliser Microsoft Cloud pour les services du gouvernement d’une manière conforme à l’IRS 1075. Les clients du gouvernement sous NDA peuvent demander ces documents.
  • Offre aux clients la possibilité (à leurs frais) de communiquer avec des experts microsoft ou des auditeurs externes si nécessaire.

Plateformes cloud et services Microsoft dans l’étendue

Les autorisations FedRAMP sont accordées à trois niveaux d’impact basés sur les directives NIST : faible, moyen et élevé. Ceux-ci classent l’impact de la perte de confidentialité, d’intégrité ou de disponibilité sur une organisation : faible (effet limité), moyen (effet gravement négatif) et élevé (impact grave ou catastrophique).

  • Azure et Azure Government
  • Dynamics 365 U.S. Government
  • Office 365, Office 365 gouvernement américain
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365

Azure, Dynamics 365 et IRS 1075

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne, voir l’offre Azure IRS 1075.

Office 365 et IRS 1075

Office 365 dans l’environnement cloud

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Service Informations sur les activités, services Bing, Delve, Exchange Online Protection, Exchange Online, Services intelligents, Microsoft Teams, portail client Office 365, Office Online, infrastructure de service Office, rapports d’utilisation Office, OneDrive Entreprise, carte de visite, SharePoint Online, Skype Entreprise, Windows Ink

Audits, rapports et certificats Office 365

La conformité aux exigences matérielles de l’IRS 1075 est couverte par l’audit FedRAMP chaque année.

Questions fréquemment posées

Comment Microsoft doit-il répondre aux exigences de l’IRS 1075 ?

Microsoft surveille régulièrement ses contrôles opérationnels, de sécurité et de confidentialité, ainsi que les contrôles NIST 800-53 rev. 4 contrôles requis par la ligne de base FedRAMP pour les systèmes d’information à impact modéré. Il fournit un accès trimestrielle à ces informations par le biais de rapports de surveillance continus. Les clients Azure Government et Office 365 gouvernement américain peuvent accéder à ces informations de conformité sensibles via le portail d’confiance du service.

En outre, Microsoft s’est engagé à inclure des contrôles IRS 1075 dans son jeu de contrôles maître pour Azure Government et Office 365 U.S. Government, et à les auditer annuellement.

Puis-je passer en revue les packages FedRAMP ou le plan de sécurité du système ?

Oui, si votre organisation répond aux conditions d’éligibilité pour Azure Government et Office 365 gouvernement américain. Contactez directement votre représentant de compte Microsoft pour consulter ces documents. Vous pouvez également consulter la liste FedRAMP des fournisseurs de services cloud conformes.

Puis-je utiliser azure ou Office 365 environnements cloud publics tout en respectant la norme IRS 1075 ?

Non. Les seuls environnements où FTI peut être stocké et traitée sont Azure Government ou Office 365 U.S. Government. Les clients du gouvernement doivent respecter les conditions d’éligibilité pour utiliser ces environnements.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources