Compartilhar via


Sarbanes-Oxley Act de 2002 (SOX)

Descrição geral do SOX

A Lei Sarbanes-Oxley de 2002 (SOX) é uma lei federal dos EUA administrada pela Comissão de Valores Mobiliários (SEC). Entre outras coisas, a SOX exige que as empresas comercializadas publicamente tenham estruturas de controlo interno adequadas para validar que as suas demonstrações financeiras reflectem os seus resultados financeiros com precisão. A SOX é fortemente influenciada pelos processos internos dos clientes, especialmente quando se trata de controlos de relatórios financeiros. Por exemplo, os requisitos da SOX envolvem controlos internos dos clientes para a preparação e revisão das demonstrações financeiras e, especialmente, controlos que afetam a precisão, a exatidão, a eficácia e a divulgação pública de alterações materiais relacionadas com relatórios financeiros.

A SEC não define nem impõe um processo de certificação SOX. Em vez disso, fornece orientações abrangentes para as empresas comercializadas publicamente determinarem como cumprir os requisitos de relatórios da SOX.

Microsoft e SOX

Os clientes de serviços cloud da Microsoft sujeitos ao cumprimento da Lei Sarbanes-Oxley (SOX) podem utilizar o atestado SOC 1 Tipo 2 que a Microsoft recebeu de uma empresa de auditoria independente ao cumprirem as suas próprias obrigações de conformidade sox. Este atestado é adequado para comunicar controlos internos sobre relatórios financeiros.

Embora não exista certificação ou validação SOX para fornecedores de serviços cloud, a Microsoft pode ajudar os clientes a cumprir as suas obrigações sox. Por exemplo, a SOX requer controlos internos para a preparação e revisão das demonstrações financeiras, especialmente controlos que afectam a precisão, a exatidão, a eficácia e a divulgação pública de alterações materiais relacionadas com relatórios financeiros. Para ajudar as empresas, a Microsoft mantém um atestado SOC 1 Tipo 2 adequado para comunicar esses controlos num amplo portefólio de serviços que podem ser utilizados para criar uma vasta gama de aplicações. Baseia-se na Declaração do American Institute of Certified Public Accountants (AICPA) sobre standards for Attestation Engagements 18 (SSAE 18) e no International Standard on Assurance Engagements No. 3402 (ISAE 3402). (Este atestado substituiu SAS 70.)

O relatório de auditoria, produzido por uma empresa de auditoria de terceiros, atesta que os controlos da Microsoft foram concebidos adequadamente, em funcionamento numa data especificada e que funcionam eficazmente durante um período de tempo especificado. Os clientes podem rever os relatórios para saber mais sobre os objetivos de controlo da Microsoft e a eficácia dos respetivos controlos e obter acesso a controlos complementares.

Na Microsoft, partilhamos a responsabilidade de conformidade com os nossos clientes. Fornecemos as especificações sobre os nossos programas de conformidade, que pode verificar nos relatórios de auditoria do SOC. No entanto, cabe-lhe a si determinar se os nossos serviços estão em conformidade com as leis e regulamentos específicos aplicáveis à sua empresa. Por exemplo, existem controlos de segurança relacionados com SOX, como o acesso do utilizador aos recursos da cloud, que são da sua responsabilidade: a sua organização tem de desenvolver uma auditoria adequada destes controlos como parte da conformidade sox.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Dynamics 365
  • Intune
  • Office 365
  • Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)

Azure, Dynamics 365 e SOX

À medida que a adoção da cloud ganha força, os clientes exploram cada vez mais como migrar aplicações e cargas de trabalho sujeitas a obrigações de conformidade SOX para a cloud. Embora não exista certificação ou validação SOX para fornecedores de serviços cloud, o Azure pode ajudá-lo a cumprir as suas obrigações sox.

Se estiver sujeito a obrigações de conformidade sox, deve rever o atestado do Azure SOC 1 Tipo 2, que é efetuado de acordo com:

  • SSAE N.º 18, Normas de Atestado: Esclarecimento e Recodificação, que inclui a secção AT-C 320, Relatórios sobre um Exame de Controlos numa Organização de Serviço Relevante para o Controlo Interno sobre Relatórios Financeiros das Entidades de Utilizador (AICPA, Normas Profissionais).
  • Relatório SOC 1 sobre um Exame de Controles em uma Organização de Serviço Relevante para o Controle Interno de Entidades de Usuário Sobre Relatórios Pinanceiros (Guia AICPA).

A norma AICPA SSAE 18 substituiu o SAS 70 e é adequado para comunicar controlos numa organização de serviço relevante para as entidades de utilizador controlos internos sobre relatórios financeiros. Esta é a auditoria formal em que pode recorrer a revisões de terceiros dos fornecedores de serviços de tecnologia ao seguir as suas próprias obrigações de conformidade específicas do setor para os ativos implementados no Azure. Inclui a opinião do auditor sobre a eficácia do controlo para alcançar os objetivos de controlo relacionados durante o período de monitorização especificado.

Office 365 e SOX

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Loop de Aumento, Texto Alternativo Automático, Proteção de Informações do Azure, Serviços de Conversão Binária, Bookings, Delve, Item de Documento, Editor, Exchange Online Forms, Inserir Multimédia Online, Informações, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Office 365 Cloud App Security, Office 365 Grupos, OneDrive for Business, Planner, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online Document Service, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, To-Do, Serviço de Composição Web, Viva Engage

Auditorias, relatórios e certificados

Relatórios SOC 1 Tipo 2 para:

  • Azure e Power BI
  • Dynamics 365
  • Office 365

Perguntas frequentes

Como posso utilizar a conformidade do Microsoft SOX para facilitar o processo de conformidade da minha organização?

Ao migrar as suas aplicações e dados para serviços cloud da Microsoft abrangidos, pode basear-se nos atestados e certificações que a Microsoft detém. Os relatórios de auditor independente atestam a eficácia dos controlos que a Microsoft implementou para ajudar a manter a segurança e privacidade dos seus dados. No entanto, é totalmente responsável por garantir a conformidade da sua organização com todas as leis e regulamentos aplicáveis.

Recursos