Center for Financial Industry Information Systems (FISC)
Panoramica su FISC
Il Center for Financial Industry Information Systems (FISC) è un'organizzazione non profit stabilita dal Ministero delle Finanze giapponese nel 1984 per promuovere la sicurezza nei sistemi di computer in Giappone. Circa 700 società in Giappone sono soci sostenitori, tra cui importanti istituti finanziari, compagnie assicurative, istituti di credito, società di intermediazione mobiliare, produttori di computer e società di telecomunicazioni.
In collaborazione con gli istituti membri, la Banca del Giappone e l'Agenzia di Servizi Finanziari (un'organizzazione governativa responsabile della supervisione di banche, titoli, borse e assicurazioni in Giappone), il FISC ha creato le linee guida per la sicurezza dei sistemi informatici bancari. Queste includono standard di base per il controllo dei sistemi di computer, piani di emergenza e lo sviluppo di criteri e standard di sicurezza inclusi in oltre 300 controlli.
Sebbene l'applicazione di queste linee guida in un ambiente di cloud computing non sia richiesto per legge, la maggior parte degli istituti finanziari del Giappone che implementano servizi cloud hanno creato sistemi informatici che soddisfano questi standard di sicurezza e può essere difficile giustificare una divergenza da essi (nelle linee guida più recenti, versione 8 supplementare rivista, emesse nel 2015, sono state aggiunte due revisioni relative all'uso dei servizi cloud da parte di istituti finanziari e a contromisure contro gli attacchi informatici).
L'adeguamento a questo framework non è richiesto per legge e non è controllato o diversamente convalidato da FISC.
Microsoft e FISC
Microsoft ha incaricato periti esterni di verificare se Microsoft Azure, Dynamics 365 e Microsoft Office 365 soddisfano i requisiti di FISC Security Guidelines on Computer Systems for Financial Institutions 9th Edition Revised. Microsoft ha fornito prova di adeguamento in ognuna delle seguenti aree:
- Linee guida sul centro dati per il monitoraggio di edifici e sale computer, alimentazione, condizionatori d'aria, data center e strutture.
- Linee guida operative per organizzazioni, formazione, controllo dell'accesso, sviluppo di sistemi e attività di audit.
- Linee guida tecniche per le misurazioni per migliorare l'affidabilità di hardware e software, e per implementare contromisure contro i rischi per la sicurezza, inclusi protezione dei dati, prevenzione contro l'uso non autorizzato, rilevamento dei rischi e ripristino di emergenza.
Gli istituti finanziari possono basarsi su questa valutazione della conformità di queste tre aree per i servizi di infrastruttura e piattaforma nell'ambito di Azure, Dynamics 365, Office 365 e Microsoft Defender for Cloud Apps.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Servizio cloud Power BI, servizio autonomo o incluso in un piano o in una famiglia di prodotti Office 365
Office 365 e FISC.
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Access Online, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 ProPlus, Office Online, OneDrive for Business, Power BI per Office 365, Project Online, SharePoint Online, Skype for Business |
Domande frequenti
A chi si applicano le linee guida FISC?
Le banche e altri istituti finanziari in Giappone che desiderano convalidare il loro approccio a sicurezza, affidabilità e controllo dei sistemi, nonché allinearsi con le best practice comuni in Giappone, si attengono alle linee guida FISC.
Dove sono disponibili ulteriori informazioni sulla versione 8 dei requisiti FISC?
Il Consiglio di Esperti di FISC ha pubblicato due report:
- Utilizzo del cloud computing da parte degli istituti finanziari:
- Contromisure contro gli attacchi informatici agli istituti finanziari:
Dove sono reperibili maggiori dettagli sulle risposte di Microsoft al framework FISC?
Per informazioni di riferimento sulla sicurezza di terze parti che hanno valutato la conformità FISC dei servizi cloud Microsoft, contattare il proprio rappresentante Microsoft.
È possibile usare le risposte di Microsoft a questo framework per agevolare il processo di qualificazione della mia organizzazione?
Sì. Tuttavia, sebbene le risposte di Microsoft a questo framework siano dichiarate come adeguate da terze parti, i clienti sono responsabili di convalidare l'adeguamento delle soluzioni che implementano su Azure o Office 365.
Risorse
- Condizioni di Microsoft Online Services
- Linee guida e standard di sicurezza FISC
- Report FISC sull'utilizzo del cloud computing
- Conformità nel Centro protezione Microsoft