Consiglio d'esame delle istituzioni finanziarie federali (FFIEC)

  • Articolo

Panoramica di FFIEC

Il Federal Financial Institutions Examination Council (FFIEC) è un organismo interagenzia formale che comprende cinque autorità di regolamentazione bancaria responsabili degli esami degli istituti finanziari da parte del governo federale degli Stati Uniti nel Stati Uniti. Il FFIEC Examiner Education Office pubblica manuali di esame IT destinati agli esaminatori sul campo di agenzie membro FFIEC.

Il manuale FFIEC Audit IT Examination Handbook contiene indicazioni per questi esaminatori per valutare la qualità e l'efficacia dei programmi di controllo IT sia degli istituti finanziari che dei PROVIDER. In particolare, include la menzione dei rapporti di attestazione SOC 1, SOC 2 e SOC 3 dell'American Institute of Certified Public Accountants (AICPA) come esempi di rapporti di controllo indipendenti. Tuttavia, la FFIEC raccomanda che gli istituti finanziari non si basino esclusivamente sulle informazioni contenute in queste relazioni, ma usino anche procedure di verifica e monitoraggio discusse in dettaglio nel manuale di esame IT di FFIEC Outsourcing Technology Services.

Microsoft e FFIEC

Microsoft Azure, Microsoft Power BI e Microsoft Office 365 sono creati per soddisfare i rigorosi requisiti di fornitura di servizi cloud per gli istituti di servizi finanziari. Azure fornisce agli istituti finanziari i report di attestazione SOC 1 tipo 2, SOC 2 di tipo 2 e SOC 3 prodotti da una società di controllo indipendente per aiutare i clienti a soddisfare i propri obblighi di conformità FFIEC. Ad esempio, l'attestazione SOC 1 Type 2 viene eseguita in:

  • SSAE n. 18, Attestation Standards: Clarification and Recodification, che include la sezione AT-C 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA, Professional Standards).
  • Report SOC 1 sull'esame dei controlli in un'organizzazione di servizi rilevante per il controllo interno delle entità utente sui report finanziari (Guida AICPA).

Lo standard AICPA SSAE 18 ha sostituito SAS 70 ed è appropriato per la creazione di report sui controlli in un'organizzazione di servizi rilevanti per i controlli interni delle entità utente sui report finanziari. Questo è il controllo formale che gli istituti finanziari possono sfruttare per le verifiche di terze parti dei provider di servizi tecnologici quando perseguono i propri obblighi di conformità specifici FFIEC per gli asset distribuiti in Azure. Include il parere del revisore sull'efficacia del controllo per raggiungere gli obiettivi di controllo correlati durante il periodo di monitoraggio specificato.

Inoltre, Azure ha sviluppato uno strumento di diagnostica della sicurezza cloud basato su Excel destinato ad accelerare una valutazione dei rischi che un istituto finanziario potrebbe voler condurre rispetto ai servizi di Azure. Lo strumento si basa su un foglio di calcolo con 19 domini separati che identificano i requisiti stabiliti negli standard pertinenti e nelle normative relative ai servizi finanziari, tra cui i manuali di esame IT FFIEC. Lo strumento di valutazione dei rischi è prepopolato con spiegazioni su come Azure è conforme ai requisiti applicabili ai provider di servizi cloud e può aiutare i clienti a soddisfare i propri requisiti di conformità FFIEC.

Disponibile anche per i clienti è il complementare della cartella di lavoro di diagnostica per la sicurezza cloud di Azure FFIEC, che offre indicazioni sull'uso dei servizi di Azure e considerazioni sulla conformità dei clienti ai requisiti FFIEC

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure
  • Intune
  • Office 365, Office 365 governo degli Stati Uniti
  • Servizio cloud Power BI, servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365

Documenti di guida di Azure

Per assistere gli istituti finanziari soggetti alla supervisione FFIEC con l'adozione del cloud, Microsoft ha pubblicato i documenti di indicazioni seguenti che possono essere scaricati dalla sezione Risorse di protezione dei dati del portale di trust dei servizi - Guide alla conformità:

  • Azure - Strumento di diagnostica per la sicurezza cloud
  • Azure - Complementare alla cartella di lavoro di diagnostica per la sicurezza cloud FFIEC

Office 365 e FFIEC

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender per Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do per il Web, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Cloud App Security, gruppi di Office 365, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Controlli, report e certificati di Office 365

Vedere i report di attestazione soc Office 365.

Domande frequenti

È possibile usare la conformità Microsoft con gli standard SOC per soddisfare gli obblighi di conformità FFIEC per il mio istituto?

Per soddisfare questi obblighi, Microsoft fornisce le specifiche relative alla conformità agli standard SOC, come descritto in precedenza. Tuttavia, in definitiva, spetta all'utente determinare se i nostri servizi sono conformi alle leggi e alle normative specifiche applicabili all'istituto. La FFIEC consiglia inoltre che "gli utenti di report o revisioni di controllo non dovrebbero basarsi esclusivamente sulle informazioni contenute nel report per verificare l'ambiente di controllo interno del TSP. Dovrebbero usare altre procedure di verifica e monitoraggio, come illustrato in modo più completo nell'opuscolo sulla tecnologia di esternalizzazione del manuale di esame IT FFIEC."

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse

Ulteriori risorse Microsoft per i servizi finanziari