Center for Financial Industry Information Systems (FISC)
Présentation du FISC
Le FISC (Center for Financial Industry Information Systems) est une organisation à but non lucratif établie par le ministère japonais des finances en 1984 afin de promouvoir la sécurité des systèmes informatiques bancaires au Japon. Quelques 700 sociétés au Japon sont des membres bienfaiteurs, notamment d'importantes institutions financières, des compagnies d'assurance et de crédit, des courtiers en valeurs mobilières, des fabricants d'ordinateurs et des entreprises de télécommunications.
En collaboration avec ses institutions membres, la banque du Japon et l'agence des services financiers (une organisation gouvernementale responsable de la supervision des banques, des valeurs mobilières, du change et des assurances au Japon), le FISC a créé des directives pour la sécurité des systèmes d'informations bancaires. Elles incluent des normes d'audit de base pour les contrôles de systèmes informatiques, la planification des impondérables dans l'éventualité d'un sinistre et le développement de normes et de stratégies de sécurité englobées dans plus de 300 contrôles.
Bien que l'application de ces directives dans un environnement de cloud computing ne soit pas requise par la réglementation, la plupart des institutions financières au Japon qui mettent en œuvre des services Cloud ont développé des systèmes d'information qui respectent ces normes de sécurité et il peut s'avérer très difficile de justifier tout écart. (les directives les plus récentes, supplément Version 8 révisé, publiées en 2015, ont ajouté deux révisions relatives à l’utilisation de services Cloud par des institutions financières et aux contre-mesures à l’égard des cyberattaques.)
La conformité à ce dispositif n’est pas requise par la réglementation et n’est pas auditée ni validée d’aucune autre manière par le FISC.
Microsoft et le FISC
Microsoft a engagé des évaluateurs extérieurs pour confirmer que Microsoft Azure, Dynamics 365 et Microsoft Office 365 répondent aux exigences des directives de sécurité du FISC sur les systèmes informatiques pour les établissements financiers 9e édition révisé. Microsoft a fourni des preuves de conformité dans chacun des secteurs suivants :
- Directives du centre de données pour la sécurité des bâtiments et des salles informatiques, de l'alimentation électrique, la climatisation, des centres de données et des installations.
- Directives opérationnelles pour les organisations, la formation, le contrôle d'accès, le développement du système et l'audit.
- Directives techniques pour les mesures afin d'améliorer la fiabilité du matériel et des logiciels, et pour les contre-mesures à l'égard des risques de sécurité, dont la protection des données, la prévention contre une utilisation non autorisée, la détection des menaces et la récupération d'urgence.
Les institutions financières peuvent s’appuyer sur cette évaluation de la conformité de ces trois domaines pour l’infrastructure et les services de plateforme dans le cadre d’Azure, Dynamics 365, Office 365 et Microsoft Defender for Cloud Apps.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Le service Cloud Power BI (en tant que service autonome, ou inclus dans un plan ou une suite Office 365).
Office 365 et FISC
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Access Online, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 ProPlus, Office Online, OneDrive Entreprise, Power BI pour Office 365, Project Online, SharePoint Online, Skype Entreprise |
Foire aux questions
À qui s'appliquent les conseils FISC ?
Les banques et autres institutions financières au Japon qui souhaitent valider leur approche de l’audit, de la fiabilité et de la sécurité des systèmes et s’aligner sur les meilleures pratiques établies au Japon suivent les directives du FISC.
Où puis-je obtenir davantage d'informations sur la version 8 des exigences FISC ?
Le FISC a publié deux rapports de son Conseil d’experts :
- Utilisation du Cloud Computing par les institutions financières
- Contre-mesures à l'égard des cyberattaques visant les institutions financières
Où puis-je obtenir les informations sur les réponses Microsoft à l'infrastructure FISC ?
Pour des références de sécurité de la part de tiers qui ont évalué la conformité FISC des services cloud computing Microsoft, contactez le gestionnaire de votre compte Microsoft.
Puis-je utiliser les réponses de Microsoft à cette infrastructure dans le processus de qualification de mon organisation ?
Oui. Cependant, bien que les réponses de Microsoft à cette infrastructure soient confirmées comme étant conformes par des tiers, les clients sont responsables de la validation de la conformité de solutions qu’ils ont implémentées sur Azure ou Office 365.
Ressources
- Conditions de Microsoft Online Services
- Normes/Directives de sécurité du FISC
- Rapport du FISC sur l’utilisation du Cloud Computing
- Conformité sur le site Microsoft Trust Center
Ressources en japonais
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour