Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general acerca del FISC
El Centro de Sistemas de Información de la Industria Financiera (FISC) es una organización sin ánimo de lucro establecida por el Ministerio de Finanzas japonés en 1984 para promover la seguridad en los sistemas informáticos bancarios en Japón. Cerca de 700 empresas de Japón apoyan a la organización, incluidas las principales instituciones financieras, compañías de seguros y crédito, firmas de valores, fabricantes de equipos y empresas de telecomunicaciones.
En colaboración con las instituciones que son miembros, el Banco de Japón y la Agencia de Servicios Financieros (un organismo gubernamental encargado de supervisar el servicio bancario, la bolsa de valores y los seguros en Japón), el FISC creó directrices para la seguridad de los sistemas de información bancarios. Estas directrices incluyen estándares básicos de auditoría para los controles del sistema informático, la planificación de contingencias en caso de desastre y el desarrollo de directivas y estándares de seguridad incluidos en más de 300 controles.
Aunque la regulación no requiere la aplicación de estas directrices en un entorno de informática en la nube, la mayoría de las instituciones financieras de Japón que implementan servicios en la nube crean sistemas de información que cumplen estos estándares de seguridad y puede ser difícil justificar la divergencia de ellos. Las últimas directrices, versión 8, revisadas complementariamente, publicadas en 2015, agregaron dos revisiones relacionadas con el uso de servicios en la nube por parte de instituciones financieras y contramedidas contra el ciberataque.
La regulación no requiere conformidad con este marco y la FISC no lo audita ni lo valida de otro modo.
Microsoft y el FISC
Microsoft contrató a evaluadores externos para validar que Microsoft Azure, Microsoft Dynamics 365 y Microsoft Office 365 cumplen los requisitos de las Directrices de seguridad fisc sobre sistemas informáticos para instituciones financieras 9.ª edición revisadas. Microsoft proporcionó evidencia de cumplimiento en cada una de las siguientes áreas:
- Directrices sobre centros de datos para edificios y salas de ordenadores, energía, aire acondicionado, centros de datos y supervisión de instalaciones.
- Directrices operativas para organizaciones, formación, control de acceso, desarrollo de sistemas y auditoría.
- Directrices técnicas sobre medidas para mejorar la confiabilidad del hardware y el software, y sobre las contramedidas en caso de riesgos de seguridad, incluyendo protección de datos, prevención frente al uso no autorizado, detección de amenazas y recuperación ante desastres.
Las instituciones financieras pueden basarse en esta evaluación del cumplimiento de estas tres áreas para los servicios de infraestructura y plataforma de Azure, Dynamics 365, Office 365 y Microsoft Defender for Cloud Apps.
Servicios y plataformas en la nube de Microsoft en el ámbito
- Azure
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Office 365
- El servicio de nube de Power BI (como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365)
Office 365 y FISC
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Administración Pública Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Acceso en línea, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 ProPlus, Office Online, OneDrive, Power BI para Office 365, Project Online, SharePoint Online |
Preguntas frecuentes
¿Quién debe seguir las directrices de FISC?
Los bancos y otras entidades financieras en Japón que quieren validar su enfoque hacia la seguridad de sistemas, la confiabilidad, la auditoría y alinearse con las mejores prácticas establecidas en Japón, siguen las directrices del FISC.
¿Dónde puedo obtener más información sobre la versión ocho de los requisitos del FISC?
La FISC publicó dos informes de su Consejo de Expertos:
- Uso de la Informática en la Nube por las Instituciones Financieras.
- Contramedidas en Caso de Ataques Cibernéticos en las Instituciones Financieras.
¿Dónde puedo obtener más detalles sobre las respuestas de Microsoft al marco de trabajo del FISC?
Para obtener referencias de seguridad de terceros que evaluaron el cumplimiento fisc de los servicios en la nube de Microsoft, póngase en contacto con el representante de su cuenta de Microsoft.
¿Puedo usar las respuestas de Microsoft a este marco de trabajo en el proceso de calificación de mi organización?
Sí. Sin embargo, aunque terceros confirman que las respuestas de Microsoft a este marco son compatibles, es responsable de validar el cumplimiento de las soluciones que implemente en Azure o Office 365.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Términos de los Servicios en Línea de Microsoft.
- Directrices de Seguridad / Estándares de Seguridad del FISC.
- Informe del FISC sobre el Uso de la Informática en la Nube.
- Cumplimiento en el Centro de Confianza de Microsoft .