Pubblicazione 1075 degli Stati Uniti Internal Revenue ServiceUS Internal Revenue Service Publication 1075

Pubblicazione del servizio ricavo interno US 1075 PanoramicaUS Internal Revenue Service Publication 1075 overview

Internal Revenue Service Publication 1075 (IRS 1075) fornisce indicazioni per le agenzie governative degli Stati Uniti e i loro agenti che accedono a Federal Tax Information (FTI) per garantire che utilizzino criteri, procedure e controlli per proteggerne la riservatezza.Internal Revenue Service Publication 1075 (IRS 1075) provides guidance for US government agencies and their agents that access federal tax information (FTI) to ensure that they use policies, practices, and controls to protect its confidentiality. IRS 1075 mira a minimizzare il rischio di perdita, violazione o abuso di FTI detenuti da enti governativi esterni.IRS 1075 aims to minimize the risk of loss, breach, or misuse of FTI held by external government agencies. Ad esempio, un dipartimento di stato delle entrate che elabora FTI in dichiarazioni fiscali per i suoi residenti, o agenzie di servizi sanitari che accedono a FTI, deve disporre di programmi in grado di salvaguardare tali informazioni.For example, a state Department of Revenue that processes FTI in tax returns for its residents, or health services agencies that access FTI, must have programs in place to safeguard that information.

Per proteggere FTI, l'IRS 1075 prescrive i controlli di sicurezza e privacy per i servizi di applicazioni, piattaforme e Datacenter.To protect FTI, IRS 1075 prescribes security and privacy controls for application, platform, and datacenter services. Ad esempio, la priorità è la sicurezza delle attività del datacenter, ad esempio la gestione corretta di FTI, e la supervisione dei contraenti del centro dati per limitare l'accesso.For instance, it prioritizes the security of datacenter activities, such as the proper handling of FTI, and the oversight of datacenter contractors to limit entry. Per garantire che le agenzie governative che ricevono FTI applichino tali controlli, l'IRS ha stabilito il programma di salvaguardia, che include recensioni periodiche su queste agenzie e sui loro contraenti.To ensure that government agencies receiving FTI apply those controls, the IRS established the Safeguards Program, which includes periodic reviews of these agencies and their contractors.

Pubblicazione del servizio ricavo interno Microsoft e US 1075Microsoft and US Internal Revenue Service Publication 1075

Microsoft Azure Government e Microsoft Office 365 US Government Cloud Services forniscono un impegno contrattuale che dispongano dei controlli adeguati e le funzionalità di sicurezza necessarie per i clienti di Microsoft Agency per soddisfare i requisiti sostanziali dell'IRS 1075.Microsoft Azure Government and Microsoft Office 365 U.S. Government cloud services provide a contractual commitment that they have the appropriate controls in place, and the security capabilities necessary for Microsoft agency customers to meet the substantive requirements of IRS 1075.

Questi servizi cloud Microsoft per il governo forniscono una piattaforma in cui i clienti possono creare e gestire le proprie soluzioni, ma i clienti devono decidere se tali soluzioni specifiche siano gestite in conformità con l'IRS 1075 e siano pertanto soggette alla revisione dell'IRS.These Microsoft cloud services for government provide a platform on which customers can build and operate their solutions, but customers must determine for themselves whether those specific solutions are operated in accordance with IRS 1075 and are, therefore, subject to IRS audit.

Per aiutare gli enti governativi nelle loro attività di conformità, Microsoft:To help government agencies in their compliance efforts, Microsoft:

  • Offre indicazioni dettagliate per aiutare le agenzie a comprendere le proprie responsabilità e il modo in cui vari controlli IRS sono mappati alle funzionalità di Azure Government e Office 365 US Government.Offers detailed guidance to help agencies understand their responsibilities and how various IRS controls map to capabilities in Azure Government and Office 365 U.S. Government. L'IRS 1075 SafeGuard Security report (SSR) documenta accuratamente in che modo i servizi Microsoft implementano i controlli IRS applicabili e si basano sui pacchetti di FedRAMP di Azure Government e Office 365 US Government.The IRS 1075 Safeguard Security Report (SSR) thoroughly documents how Microsoft services implement the applicable IRS controls, and is based on the FedRAMP packages of Azure Government and Office 365 U.S. Government. Poiché sia IRS 1075 che FedRAMP sono basati su NIST 800-53, il limite di conformità per l'IRS 1075 è lo stesso dell'autorizzazione FedRAMP.Because both IRS 1075 and FedRAMP are based on NIST 800-53, the compliance boundary for IRS 1075 is the same as the FedRAMP authorization.
  • L'IRS deve approvare esplicitamente il rilascio di qualsiasi documento di salvaguardia dell'IRS, in modo che solo i clienti governativi di NDA possano rivedere la SSR.The IRS must explicitly approve the release of any IRS Safeguards document, so only government customers under NDA can review the SSR.
  • Rende disponibili i report di controllo e le informazioni di monitoraggio prodotte da valutatori indipendenti per i servizi cloud.Makes available audit reports and monitoring information produced by independent assessors for its cloud services.
  • Fornisce le considerazioni sulla conformità al fisco di Azure Government e le considerazioni sulla conformità del governo degli Stati Uniti di Office 365, che delineano come un'agenzia può utilizzare Microsoft Cloud per i servizi governativi in modo che sia conforme all'IRS 1075.Provides to the IRS Azure Government Compliance Considerations and Office 365 U.S. Government Compliance Considerations, which outline how an agency can use Microsoft Cloud for Government services in a way that complies with IRS 1075. I clienti governativi di NDA possono richiedere questi documenti.Government customers under NDA can request these documents.
  • Offre ai clienti la possibilità, a loro spese, di comunicare con esperti o revisori esterni Microsoft, se necessario.Offers customers the opportunity (at their expense) to communicate with Microsoft subject matter experts or outside auditors if needed.

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Le autorizzazioni di FedRAMP sono concesse a tre livelli di impatto in base alle linee guida del NIST: basso, medio e alto.FedRAMP authorizations are granted at three impact levels based on NIST guidelines — low, medium, and high. Tali livelli incidono sull'impatto che la perdita di riservatezza, integrità o disponibilità può avere su un'organizzazione, a bassa (effetto limitato), a livello medio (effetto avverso grave) e alta (effetto grave o catastrofico).These rank the impact that the loss of confidentiality, integrity, or availability could have on an organization — low (limited effect), medium (serious adverse effect), and high (severe or catastrophic effect).

Controlli, report e certificatiAudits, reports, and certificates

La conformità con i requisiti sostanziali dell'IRS 1075 è soggetta all'audit FedRAMP ogni anno.Compliance with the substantive requirements of IRS 1075 is covered under the FedRAMP audit every year.

Domande frequentiFrequently asked questions

In che modo Microsoft affronta i requisiti dell'IRS 1075?How does Microsoft address the requirements of IRS 1075?

Microsoft monitora periodicamente la sicurezza, la privacy e i controlli operativi e i controlli NIST 800-53 Rev. 4 richiesti dalla linea di base FedRAMP per i sistemi informativi di impatto moderato.Microsoft regularly monitors its security, privacy, and operational controls and NIST 800-53 rev. 4 controls required by the FedRAMP baseline for Moderate Impact information systems. Fornisce l'accesso trimestrale a queste informazioni mediante rapporti di monitoraggio continuo.It provides quarterly access to this information through continuous monitoring reports. Azure Government e Office 365 gli utenti del governo degli Stati Uniti possono accedere a queste informazioni di conformità sensibili tramite il Service Trust Portal.Azure Government and Office 365 U.S. Government customers can access this sensitive compliance information through the Service Trust Portal.

Inoltre, Microsoft si è impegnata a includere i controlli IRS 1075 nel suo set di controlli master per Azure Government e Office 365 US Government e a controllare annualmente il controllo nei suoi confronti.In addition, Microsoft has committed to including IRS 1075 controls in its master control set for Azure Government and Office 365 U.S. Government, and to auditing against them annually.

È possibile esaminare i pacchetti di FedRAMP o il piano di sicurezza del sistema?Can I review the FedRAMP packages or the System Security Plan?

Sì, se l'organizzazione soddisfa i requisiti di idoneità per Azure Government e Office 365 US Government.Yes, if your organization meets the eligibility requirements for Azure Government and Office 365 U.S. Government. Contattare direttamente il rappresentante dell'account Microsoft per esaminare questi documenti.Contact your Microsoft account representative directly to review these documents. È inoltre possibile fare riferimento all'elenco FedRAMP dei provider di servizi cloud conformi.You can also refer to the FedRAMP list of compliant cloud service providers.

È possibile utilizzare l'ambiente cloud pubblico di Azure o Office 365 ed essere ancora conforme all'IRS 1075?Can I use the Azure or Office 365 public cloud environments and still be compliant with IRS 1075?

No.No. Gli unici ambienti in cui è possibile archiviare ed elaborare FTI sono Azure Government o Office 365 US Government.The only environments where FTI can be stored and processed are Azure Government or Office 365 U.S. Government. I clienti governativi devono soddisfare i requisiti di idoneità per l'utilizzo di tali ambienti.Government customers must meet the eligibility requirements to use these environments.

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources