Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição geral do FFIEC
O Federal Financial Institutions Examination Council (FFIEC) é um órgão inter-agências formal que inclui cinco reguladores bancários. Estes reguladores são responsáveis pelos exames do governo federal dos EUA às instituições financeiras no Estados Unidos. O Gabinete de Educação do FFIEC Examiner publica Manuais de Exames de TI para examinadores de campo de agências membros da FFIEC.
O Manual de Exame de TI de Auditoria FFIEC fornece orientações para os examinadores avaliarem a qualidade e eficácia dos programas de auditoria de TI em instituições financeiras e TSPs. Menciona especificamente os relatórios de atestado SOC 1, SOC 2 e SOC 3 do American Institute of Certified Public Accountants (AICPA) como exemplos de relatórios de auditoria independentes. No entanto, o FFIEC recomenda que as instituições financeiras não dependam exclusivamente das informações nestes relatórios. Em vez disso, devem também utilizar os procedimentos de verificação e monitorização abordados detalhadamente no Manual de Exame de TI dos Serviços de Tecnologia de Outsourcing da FFIEC.
Microsoft e FFIEC
A Microsoft Azure, Microsoft Power BI e Microsoft Office 365 foram criadas para cumprir os requisitos rigorosos de prestação de serviços cloud a instituições de serviços financeiros. Azure fornece às instituições financeiras relatórios de atestado SOC 1 Tipo 2, SOC 2 e SOC 3 de uma empresa de auditoria independente para ajudar os clientes a cumprir as suas próprias obrigações de conformidade FFIEC. Por exemplo, o atestado SOC 1 Tipo 2 é executado em:
- SSAE N.º 18, Normas de Atestado: Esclarecimento e Recodificação, que inclui a secção AT-C 320, Relatórios sobre um Exame de Controlos numa Organização de Serviço Relevante para o Controlo Interno sobre Relatórios Financeiros das Entidades de Utilizador (AICPA, Normas Profissionais).
- Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).
A norma AICPA SSAE 18 substituiu o SAS 70. É adequado para comunicar controlos numa organização de serviço que são relevantes para os controlos internos das entidades de utilizador sobre relatórios financeiros. Estas instituições financeiras de auditoria formais podem tirar partido das revisões de terceiros dos fornecedores de serviços tecnológicos ao cumprirem as suas próprias obrigações de conformidade específicas da FFIEC para os activos implementados no Azure. Inclui a opinião do auditor sobre a eficácia do controlo para atingir os objetivos de controlo relacionados durante o período de monitorização especificado.
Além disso, o Azure tem uma ferramenta de diagnóstico de segurança na cloud baseada no Excel que acelera uma avaliação de risco que uma instituição financeira pode querer realizar em relação aos serviços Azure. A ferramenta baseia-se numa folha de cálculo com 19 domínios separados que identificam requisitos de normas relevantes e regulamentos relacionados com serviços financeiros, incluindo os Manuais de Exame de TI da FFIEC. A ferramenta de avaliação de riscos é pré-preenchida com explicações sobre como Azure cumpre os requisitos aplicáveis aos fornecedores de serviços cloud e pode ajudar os clientes a cumprir os seus próprios requisitos de conformidade FFIEC.
Também disponível para os clientes está o Azure complemento de diagnóstico de segurança na cloud FFIEC, que oferece orientações sobre a utilização de serviços Azure e considerações para a conformidade do cliente com os requisitos da FFIEC.
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure
- Intune
- Office 365, Office 365 Governo dos E.U.A.
- Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)
Azure documentos de orientação
Para ajudar as instituições financeiras sujeitas à supervisão da FFIEC com a adoção da cloud, a Microsoft publicou os seguintes documentos de orientação. Pode transferir estes documentos a partir da secção Recursos de Proteção de Dados do Portal de Confiança do Serviço – Guias de Conformidade :
- Azure - Ferramenta de diagnóstico de segurança da cloud
- Azure - Complemento de livro de diagnóstico de segurança na cloud FFIEC
Office 365 e FFIEC
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Microsoft Entra ID, Azure Proteção de Informações, Bookings, Gestor de Conformidade, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do para Web, MyAnalytics, suplemento Conformidade Avançada do Office 365, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
| GCC | Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business Stream |
Auditorias Office 365, relatórios e certificados
Veja os Office 365 relatórios de atestado SOC.
Perguntas frequentes
Posso utilizar a conformidade da Microsoft com as normas SOC para cumprir as obrigações de conformidade da FFIEC para a minha instituição?
Para o ajudar a cumprir estas obrigações, a Microsoft fornece as especificações sobre a nossa conformidade com as normas SOC, conforme descrito anteriormente. No entanto, tem de determinar se os nossos serviços estão em conformidade com as leis e regulamentos específicos aplicáveis à sua instituição. A FFIEC também aconselha que "os utilizadores de relatórios de auditoria ou revisões não devem depender apenas das informações contidas no relatório para verificar o ambiente de controlo interno da TSP. Devem utilizar outros procedimentos de verificação e monitorização, conforme abordado mais detalhadamente no Folheto de Tecnologia de Outsourcing do Manual de Exame de TI da FFIEC."
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Federal Financial Institutions Examination Council (FFIEC)
- Mapa de Conformidade da Computação na Cloud e Princípios Regulamentares nos EUA
- Manual de Exame de TI de Auditoria FFIEC
- Manual de Exame de TI dos Serviços de Tecnologia de Outsourcing da FFIEC