Restricting Access—IRC 6103(p)(4)(C) 
Section 5.0 
Publication 1075 (October 2014) 
Page 27 
programs may not allow contractors, including consolidated data center contractors, 
access to any FTI. 
The agency must include, as appropriate, the requirements specified in Exhibit 7, 
Safeguarding Contract Language, in accordance with IRC 6103(n). 
The contractor or agency-shared computer facility is also subject to IRS safeguard 
reviews. 
These requirements also apply to releasing electronic media to a private 
contractor or other agency office, even if the purpose is merely to erase 
the old media for reuse.  
Agencies using consolidated data centers must implement appropriate controls to 
ensure the protection of FTI, including a service level agreement (SLA) between the 
agency authorized to receive FTI and the consolidated data center. The SLA must cover 
the following: 
 The agency receiving FTI (whether it is a state revenue, workforce, child support 
enforcement, or human services agency) is responsible for ensuring the 
protection of all FTI received. The consolidated data center shares responsibility 
for safeguarding FTI. 
 Provide written notification to the consolidated data center management that they 
are bound by the provisions of Publication 1075, relative to protecting all FTI 
within their possession or control. The SLA must also include details concerning 
the consolidated data center’s responsibilities during a safeguard review and 
support required to resolve identified findings. 
 The agency will conduct an internal inspection of the consolidated data center 
every 18 months, as described in Section 6.4, Internal Inspections. Multiple 
agencies sharing a consolidated data center may partner together to conduct a 
single, comprehensive internal inspection. However, care must be taken to 
ensure agency representatives do not gain unauthorized access to other 
agencies’ FTI during the internal inspection. 
 The employees from the consolidated data center with access to FTI, including 
system administrators and programmers, must receive disclosure awareness 
training prior to access to FTI and annually thereafter and sign a confidentiality 
statement. This provision also extends to any contractors hired by the 
consolidated data center that have access to FTI. 
 The specific data breach incident reporting procedures for all consolidated data 
center employees and contractors must be covered. The required disclosure 
awareness training must include a review of these procedures. 
 The Exhibit 7 language must be included in the contract between the recipient 
agency and the consolidated data center, including all contracts involving 
contractors hired by the consolidated data center. 
 Responsibilities must be identified for coordination of the 45-day notification of 
the use of contractors or subcontractors with access to FTI. 
Pdf split pages - Split, seperate PDF into multiple files in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Explain How to Split PDF Document in Visual C#.NET Application
break apart pdf pages; pdf print error no pages selected
Pdf split pages - VB.NET PDF File Split Library: Split, seperate PDF into multiple files in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Splitter Control to Disassemble PDF Document
c# split pdf; pdf split
Restricting Access—IRC 6103(p)(4)(C) 
Section 5.0 
Publication 1075 (October 2014) 
Page 28 
Generally, consolidated data centers are either operated by a separate 
state agency (e.g., Department of Information Services) or by a private 
contractor. If an agency is considering transitioning to either a state-owned 
or private vendor consolidated data center, the Office of Safeguards 
strongly suggests the agency submit a request for discussions with 
Safeguards as early as possible in the decision-making or implementation 
planning process. The purpose of these discussions is to ensure the 
agency remains in compliance with safeguarding requirements during the 
transition to the consolidated data center. 
5.5 Child Support Agencies—IRC 6103(l)(6), (l)(8), and (l)(10)  
In general, no officer or employee of any state and local child support enforcement 
agency can make further disclosures of FTI. 
However, limited information may be disclosed to agents or contractors of the agency 
for the purpose of, and to the extent necessary in, establishing and collecting child 
support obligations from and locating individuals owing such obligations. 
The information that may be disclosed for this purpose to an agent or a contractor is 
limited to: 
 The address; 
 Social Security Number of an individual with respect to whom child support 
obligations are sought to be established or enforced; and 
 The amount of any reduction under IRC 6402(c) in any overpayment otherwise 
payable to such individual. 
Tax refund offset payment information may not be disclosed by any federal, state, or 
local child support enforcement agency employee, representative, agent, or contractor 
into any court proceeding. To satisfy the re-disclosure prohibition, submit only payment 
date and payment amount for all payment sources (not just tax refund offset payments) 
into court proceedings. 
Forms 1099 and W-2 information are not authorized by statute to be 
disclosed to contractors under the child support enforcement program (IRC 
6103(I)(6). 
5.6 Human Services Agencies—IRC 6103(l)(7) 
No officer or employee of any federal, state, or local agency administering certain 
programs under the Social Security Act, the Food Stamp Act of 1977, or Title 38, United 
States Code, or certain housing assistance programs is permitted to make further 
disclosures of FTI for any purpose. Human services agencies may not contract for 
services that involve the disclosure of FTI to contractors. 
C# PDF Page Insert Library: insert pages into PDF file in C#.net
files by C# code, how to rotate PDF document page, how to delete PDF page using C# .NET, how to reorganize PDF document pages and how to split PDF document in
split pdf files; how to split pdf file by pages
VB.NET PDF Page Delete Library: remove PDF pages in vb.net, ASP.
Page: Delete Existing PDF Pages. |. Home ›› XDoc.PDF ›› VB.NET PDF: Delete PDF Page. How to VB.NET: Delete Consecutive Pages from PDF.
split pdf; break pdf into separate pages
Restricting Access—IRC 6103(p)(4)(C) 
Section 5.0 
Publication 1075 (October 2014) 
Page 29 
5.7 Deficit Reduction Agencies—IRC 6103(l)(10)  
Agencies receiving FTI from the Bureau of Fiscal Service related to tax refund offsets 
are prohibited from making further disclosures of the FTI received to another agency or 
to contractors. 
5.8 Center for Medicare and Medicaid Services—IRC 6103(l)(12)(C) 
The Center for Medicare and Medicaid Services (CMS) is authorized under IRC 
6103(l)(12) to disclose FTI it receives from SSA to its agents for the purpose of, and to 
the extent necessary in, determining the extent that any Medicare beneficiary is covered 
under any group health plan. A contractual relationship must exist between CMS and 
the agent. The agent, however, is not authorized to make further disclosures of IRS 
information. 
5.9 Disclosures under IRC 6103(l)(20)  
Disclosures to officers, employees, and contractors of SSA and other specified 
agencies are authorized to receive specific tax information for the purpose of carrying 
out the Medicare Part B premium subsidy adjustment and Part D Base Beneficiary 
Premium Increase. These disclosures are subject to safeguard requirements. Any 
agency receiving FTI from SSA authorized by this provision is also subject to IRS 
safeguard requirements and review. 
5.10 Disclosures under IRC 6103(l)(21) 
Disclosures to officers, employees, and contractors of the Department of Health and 
Human Services to an Exchange established under the Affordable Care Act or a state 
agency administering eligibility determinations for Medicaid or Children’s Health 
Insurance Programs are authorized to receive specific tax information for the purposes 
of establishing eligibility for participation in the Exchange, verifying the appropriate 
amount of any credits, and determining eligibility for participation in the state program. 
These disclosures are subject to safeguard requirements. Any agent or contractor is 
also subject to IRS safeguard requirements and review. 
5.11 Disclosures under IRC 6103(i)  
Federal law enforcement agencies receiving FTI pursuant to court orders or by specific 
request under Section 6103(i) for purposes of investigation and prosecution of non-tax 
federal crimes, or to apprise of or investigate terrorist incidents, are subject to safeguard 
requirements and review.  
The Department of Justice must report in its SSR the number of FTI records provided 
and to which federal law enforcement agency the data was shared for the calendar year 
processing period.  
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
Page: Insert PDF Pages. |. Home ›› XDoc.PDF ›› VB.NET PDF: Insert PDF Page. Add and Insert Multiple PDF Pages to PDF Document Using VB.
acrobat separate pdf pages; pdf link to specific page
C# PDF Page Delete Library: remove PDF pages in C#.net, ASP.NET
Page: Delete Existing PDF Pages. Provide C# Users with Mature .NET PDF Document Manipulating Library for Deleting PDF Pages in C#.
reader split pdf; break a pdf file
Restricting Access—IRC 6103(p)(4)(C) 
Section 5.0 
Publication 1075 (October 2014) 
Page 30 
5.12 Disclosures under IRC 6103(m)(2)  
Disclosures to agents of a federal agency under IRC 6103(m)(2) are authorized for the 
purposes of locating individuals in collecting or compromising a federal claim against 
the taxpayer in accordance with Sections 3711, 3717, and 3718 of Title 31. If the FTI is 
shared with agents or contractors, the agency and agent or contractor are all subject to 
IRS safeguarding requirements and reviews.
C# PDF File & Page Process Library SDK for C#.net, ASP.NET, MVC
C# File: Merge PDF; C# File: Split PDF; C# Page: Insert PDF pages; C# Page: Delete PDF pages; C# Read: PDF Text Extract; C# Read: PDF
pdf format specification; pdf split pages
C# PDF Page Extract Library: copy, paste, cut PDF pages in C#.net
C#.NET PDF Library - Copy and Paste PDF Pages in C#.NET. Easy to C#.NET Sample Code: Copy and Paste PDF Pages Using C#.NET. C# programming
pdf separate pages; break apart pdf
Other Safeguards—IRC 6103(p)(4)(D) 
Section 6.0 
Publication 1075 (October 2014) 
Page 31 
6.0 Other Safeguards—IRC 6103(p)(4)(D) 
6.1 General  
IRC 6103(p)(4)(D) requires that agencies receiving FTI to provide other safeguard 
measures, as appropriate, to ensure the confidentiality of the FTI. Agencies are required 
to provide a training program for their employees and contractors. 
6.2 Training Requirements 
Education and awareness are necessary to provide employees, contractors, and other 
persons with the information to protect FTI. There are multiple components to a 
successful training program. In this section, training requirements are consolidated to 
ensure agencies understand all of the requirements to comply with this publication.  
Disclosure awareness training is described in detail within Section 6.3, Disclosure 
Awareness Training. Additional training requirements are located in various sections of 
the document and identified in the following table. 
Table 3 – Training Requirements 
Training Component 
Applicability 
Section 
Disclosure Awareness 
Training 
 Unique to protection of FTI and prevention 
of unauthorized disclosure 
6.3 
Security Awareness 
Training 
 Provide basic security awareness training 
to information system users 
9.3.2.2 
Role-Based Training 
 Provides individualized training to 
personnel based on assigned security roles 
and responsibilities 
9.3.2.3 
Contingency Training 
 Provides individualized training to 
personnel based on assigned roles and 
responsibilities as they relate to recovery of 
backup copies of FTI 
9.3.6.3 
Incident Response 
Training 
 Provides individuals with agency-specific 
procedures to handle incidents 
 Provides individuals with IRS-specific 
requirements pertaining to incidents 
involving FTI 
9.3.8.2 and 
10.0 
VB.NET PDF Page Extract Library: copy, paste, cut PDF pages in vb.
Page: Extract, Copy, Paste PDF Pages. |. Home ›› XDoc.PDF ›› VB.NET PDF: Copy and Paste PDF Page. VB.NET PDF - PDF File Pages Extraction Guide.
c# print pdf to specific printer; split pdf into individual pages
C# PDF Page Rotate Library: rotate PDF page permanently in C#.net
featured with the functions to merge PDF files using C# .NET, add new PDF page, delete certain PDF page, reorder existing PDF pages and split PDF document in
pdf split and merge; break pdf file into parts
Other Safeguards—IRC 6103(p)(4)(D) 
Section 6.0 
Publication 1075 (October 2014) 
Page 32 
6.3 Disclosure Awareness Training 
Employees and contractors must maintain their authorization to access FTI through 
annual training and recertification. Prior to granting an agency employee or contractor 
access to FTI, each employee or contractor must certify his or her understanding of the 
agency’s security policy and procedures for safeguarding IRS information. 
Disclosure awareness training stipulates that: 
 Employees and contractors must be advised of the provisions of IRCs 7431, 
7213, and 7213A (see Exhibit 4, Sanctions for Unauthorized Disclosure, and 
Exhibit 5, Civil Damages for Unauthorized Disclosure). 
 The training provided before the initial certification and annually thereafter must 
also cover the incident response policy and procedure for reporting unauthorized 
disclosures and data breaches (see Section 10.0, Reporting Improper 
Inspections or Disclosures). 
 During this training, agencies must make employees aware that disclosure 
restrictions and the penalties apply even after employment with the agency has 
ended. 
 For both the initial certification and the annual certification, the employee or 
contractor must sign, either with ink or electronic signature, a confidentiality 
statement certifying his or her understanding of the security requirements. The 
initial certification and recertification must be documented and placed in the 
agency’s files for review and retained for at least five years. 
Additional security and information requirements can be expressed to appropriate 
personnel by using a variety of methods, such as but not limited to: 
 Additional formal and informal training  
 Discussion at group and managerial meetings  
 Security bulletin boards throughout the secure work areas  
 Security articles in employee newsletters  
 Pertinent articles that appear in the technical or popular press to share with 
members of the management staff 
 Posters to display with short simple educational messages (e.g., instructions on 
reporting unauthorized access “UNAX” violations, address, and hotline number)  
 Email and other electronic messages to inform users 
6.3.1 Disclosure Awareness Training Products 
The following resources are available from the IRS to assist your agency in meeting the 
federal safeguard requirements for disclosure awareness and the protection of FTI. A 
variety of technical information, safeguard report examples, frequently asked questions, 
and other safeguard resources is available to you on the Office of Safeguards website. 
IRS Ordering Information: The following listed products can be ordered from the IRS 
Distribution Center by calling 800-TAX-FORM (829-3676). Be sure to identify yourself 
Other Safeguards—IRC 6103(p)(4)(D) 
Section 6.0 
Publication 1075 (October 2014) 
Page 33 
as a (state) government employee and please provide the publication number and 
quantity. Please note that all Notices 129 quantities are ordered by pad or roll count 
(100 pieces per, so 10 rolls = 1,000 labels). All products will be delivered to the agency 
address you provide and to the attention of the person you specify. Please do not call 
the tax help number (800-829-4933) but, if you experience an ordering problem, obtain 
the employee’s name and ID number and send an email to SafeguardReports@irs.gov 
mailbox, so the Office of Safeguards can assist you. 
Publication 1075, Tax Information Security Guidelines for Federal, State, and 
Local Agencies and Entities 
 Key publication explains the gamut of the federal safeguard requirements—the 
latest revision always applies 
 Online access http://www.irs.gov/pub/irs-pdf/p1075.pdf 
Disclosure Awareness Video—Protecting FTI: A Message from the IRS 
 Discusses what access to FTI is, how to safeguard it, and how disclosures of that 
information are protected by federal law 
 Online video accessed at http://www.tax.gov/Government/Safeguards 
Protecting FTI, Pocket Guide for Government Employees 
 Provides basic disclosure concepts and warns of civil and criminal sanctions for 
misuse of FTI 
 Publication 4761 (4-2009) 
STOP UNAX Unauthorized Access in its Tracks 
 Bold red and black print with graphic “eye” raises awareness that unauthorized 
access is UNAX 
o Poster 11"x17" poster— Publication Number 3082 (5-2007) 
o Poster 8.5"x11" white background—Publication Number 03081 (5-1998) 
o Tri-fold handout—Document 12612 (6-2008) 
Safeguards Disclosure Awareness Video (DVD or Video Streaming) 
 Explains key safeguard concepts for protecting the confidentiality of FTI: 
o Disclosure Awareness Training for State and Local Tax Agencies and 
Federal Agencies, Publication 4711 (10-2008) 
o Disclosure Awareness Training for State Child Support Agencies, 
Publication 4712 (10-2008) 
6.4 Internal Inspections  
Another measure IRS requires is internal inspections by the recipient agency. The 
purpose is to ensure that adequate safeguard or security measures have been 
maintained. The agency must submit copies of these inspections to the IRS with the 
Other Safeguards—IRC 6103(p)(4)(D) 
Section 6.0 
Publication 1075 (October 2014) 
Page 34 
SSR (see Section 7.2, Safeguard Security Report). To provide an objective 
assessment, the inspection must be conducted by a function other than the using 
function. 
To provide reasonable assurance that FTI is adequately safeguarded, the inspection 
must address the safeguard requirements the IRC and the IRS impose. The agency 
monitors and audits privacy controls and internal privacy policy to ensure effective 
implementation. 
Agencies must establish a review cycle as follows: 
 Local offices receiving FTI: at least every three years 
 Headquarters office facilities housing FTI and the agency computer facility: at 
least every 18 months 
 All contractors with access to FTI, including a consolidated data center or off-site 
storage facility: at least every 18 months 
The agency must complete a documented schedule (internal inspection plan), detailing 
the timing of all internal inspections in the current year and next two years (three-year 
cycle). The plan must be included as part of the SSR, as described in Section 7.2. 
Inspection reports, including a record of corrective actions, must be retained by the 
agency for a minimum of five years from the date the inspection was completed. IRS 
personnel may review these reports during an on-site safeguard review. A summary of 
the agency’s findings and the actions taken to correct any deficiencies must be included 
with the SSR submitted to the IRS. 
Key areas that must be addressed include record keeping, secure storage, limited 
access, disposal, and computer security. 
6.4.1 Record Keeping 
Each agency and function within that agency shall maintain a log of all requests for FTI, 
including receipt and disposal of returns or return information. This includes any 
medium containing FTI, such as computer tapes, cartridges, CDs, or data received 
electronically. 
6.4.2 Secure Storage 
FTI (including tapes, cartridges, or other removable media) must be stored in a secure 
location, safe from unauthorized access. 
6.4.3 Limited Access 
Access to returns and return information (including tapes, cartridges, or other removable 
media) must be limited to only those employees, officers, and contractors who are 
authorized access by law or regulation and whose official duties require such access. 
Other Safeguards—IRC 6103(p)(4)(D) 
Section 6.0 
Publication 1075 (October 2014) 
Page 35 
The physical and systemic barriers to unauthorized access must be reviewed and 
reported. An assessment of facility security features must be included in the report. 
6.4.4 Disposal 
Upon completion of use, agencies must ensure that the FTI is destroyed or returned to 
the IRS or the SSA according to the guidelines contained in Section 8.0, Disposing of 
FTI—IRC 6103(p)(4)(F)
6.4.5 Computer Systems Security 
The agency’s review of the adequacy of its computer security provisions must provide 
reasonable assurance that access to FTI is limited to those personnel who have a need-
to-know. This need-to-know must be enforced electronically as well as physically (see 
Internal Inspection Template on the Office of Safeguards website and Section 9.3.1, 
Access Control, and other portions of Section 9.0, Computer System Security, as 
applicable).  
The review of the computer facility must include the evaluation of 
computer security and physical security controls. 
6.5 Plan of Action and Milestones 
The agency must implement a process for ensuring that a Plan of Action and Milestones 
(POA&M) is developed and monitored. The POA&M must include the corrective actions 
identified during the internal inspections and will identify the actions the agency plans to 
take to resolve these findings. 
The POA&M pertains to findings identified by the agency during the 
internal inspections process and any other internal or external audit. 
The CAP covers findings identified by the Office of Safeguards during the 
on-site safeguard review. While these findings may be similar, their 
inclusion in either the POA&M or CAP is dependent upon how they were 
identified and who (the agency or the Office of Safeguards) is monitoring 
the finding resolution. Based upon deficiencies noted during the agency’s 
inspection, list all deficiencies and corrective actions along with 
reasonable time frames for the remediation to occur (refer to Section 7.3, 
Corrective Action Plan). 
Reporting Requirements—6103(p)(4)(E) 
Section 7.0 
Publication 1075 (October 2014) 
Page 36 
7.0 Reporting Requirements—6103(p)(4)(E) 
7.1 General  
IRC 6103(p)(4)(E) requires agencies receiving FTI to report on procedures established 
and used for ensuring the confidentiality of FTI that is received, processed, stored, or 
transmitted to or from the agency. The major components consisting of reporting 
requirements include the SSR, CAP and 45-day notification requirements. 
Submission of reports to the Office of Safeguards is considered certification from the 
agency head indicating the report is accurate, up to date, and complies with the 
requirements set forth in IRC 6103(p)(4). 
7.1.1 Report Submission Instructions  
Correspondence, reports, and attachments should be sent electronically to the Office of 
Safeguards using Secure Data Transfer (SDT), if the agency participates in the SDT 
program. If the agency does not participate in SDT or SDT is otherwise not available, 
these transmissions should be sent via email to the SafeguardReports@irs.gov mailbox. 
Please adhere to the following guidelines when submitting correspondence, reports, 
and attachments to the Office of Safeguards: 
 Submissions must be made using official templates provided by the Office of 
Safeguards.  
 If the report refers to external file attachments, the reference should clearly 
identify the filename and section contained within the attachment being 
referenced. 
 Attachments must be named clearly and identify the associated section in the 
SSR, CAP, or 45-day notification. 
 Attachment filenames must follow a standardized naming convention (e.g., 
CAPATT1, CAPATT2). 
 Do not embed the attachment into the SSR, CAP, or 45-day notification. 
 Encrypt submissions, as described in Section 7.1.2, Encryption Requirements
7.1.2 Encryption Requirements 
The Office of Safeguards recommends that all required reports, when sent to the Office 
of Safeguards via email, be transmitted using IRS-approved encryption methods to 
protect sensitive information. Agencies are requested to adhere to the following 
guidelines to use encryption: 
 Compress files in .zip or .zipx formats.  
 Encrypt the compressed file using Advanced Encryption Standard.  
 Use a strong 256-bit encryption key string.  
Documents you may be interested
Documents you may be interested