Office of the Superintendent of Financial Institutions (OSFI) in Kanada
Über OSFI
Das Office of the Superintendent of Financial Institutions (OSFI) ist eine unabhängige Behörde der kanadischen Regierung, die für die aufsichtsrechtliche Regulierung und Aufsicht von staatlich regulierten Finanzinstituten und Pensionsplänen in Kanada zuständig ist.
In seiner Aufsichtsfunktion hat OSFI die Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen veröffentlicht. Sie etablierten „umsichtige Praktiken, Verfahren oder Standards“ für staatlich regulierte Finanzinstitute, um das mit der Auslagerung ihres Geschäfts an einen Dienstleister verbundene Risiko zu bewerten und zu steuern. Ein anschließendes OSFI-Memorandum, Neue technologiebasierte Outsourcing-Anforderungen, erinnerte diese Institutionen daran, dass die Richtlinien B-10 aktuell bleiben und dass sie die Erwartungen der OSFI an wesentliche Outsourcing-Vereinbarungen erfüllen müssen.
Darüber hinaus muss die Nutzung von Cloud-Diensten durch Finanzinstitute in Übereinstimmung mit dem Personal Information Protection and Electronic Documents Act (PIPEDA) und in einigen Fällen mit den Datenschutzgesetzen der Provinzen erfolgen.
Microsoft und OSFI
Um Finanzinstitute in Kanada bei der Auslagerung von Geschäftsfunktionen in die Cloud zu unterstützen, hat Microsoft die Publikation Navigieren auf dem Weg in die Cloud: Eine Compliance-Checkliste für Finanzinstitute in Kanada veröffentlicht. Durch das Überprüfen und Ausfüllen der Checkliste können Finanzorganisationen Microsoft Business Cloud Services mit der Gewissheit einführen, dass sie die geltenden gesetzlichen Anforderungen erfüllen.
Wenn kanadische Finanzinstitute Geschäftsaktivitäten outsourcen, müssen sie die vom Office of the Superintendent of Financial Institutions (OSFI) veröffentlichten Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen sowie die kanadischen Datenschutzgesetze, einschließlich des Personal Information Protection and Electronic Documents Act (PIPEDA), erfüllen.
Die Microsoft-Checkliste unterstützt kanadische Finanzunternehmen bei der Durchführung von Due-Diligence-Prüfungen von Microsoft Business Cloud Services und umfasst:
- Eine Übersicht über die aufsichtsrechtliche Landschaft für den Kontext.
- Eine Checkliste, welche die zu behandelnden Probleme darlegt und die Dienste von Microsoft Azure, Microsoft Dynamics 365 und Microsoft 365 den regulatorischen Verpflichtungen zuordnet. Die Checkliste dazu verwendet werden, die Compliance anhand eines regulatorischen Rahmens zu messen und eine interne Struktur für die Dokumentation der Compliance bereitzustellen; sie kann Kunden auch bei der Durchführung ihrer eigenen Risikobewertungen von Microsoft Business-Clouddiensten unterstützen.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
Implementierung
- Compliance-Checkliste: Kanada: Finanzunternehmen können sich bei der Durchführung von Risikobewertungen von Microsoft Business Cloud Services unterstützen lassen.
- Datenschutz in Microsoft-Cloud: Informieren Sie sich über die Datenschutzgrundsätze und -standards von Microsoft sowie über die Datenschutzgesetze in Kanada.
- Industrielle Anwendungsfälle für Azure: Verwenden Sie Fallübersichten, Lernprogramme und andere Ressourcen, um Azure-Lösungen für Finanzdienstleistungen zu entwickeln.
Häufig gestellte Fragen
Ist eine behördliche Genehmigung erforderlich?
Nein. Eine vorherige Benachrichtigung, Konsultation oder Genehmigung ist nicht erforderlich. Die Nutzung von öffentlichem Cloud-Computing ist zulässig, sofern die OSFI-Anforderungen stets eingehalten werden.
Die OSFI Richtlinien B-10 zeigen, dass OSFI von einem Finanzinstitut erwartet, dass es ein Risikomanagementprogramm entwirft, das für alle seine Outsourcing-Vereinbarungen gilt, wobei die Risikominderung den damit verbundenen Risiken angemessen ist. Allerdings müssen nur wesentliche Outsourcing-Vereinbarungen durch einen schriftlichen Vertrag dokumentiert werden, der die in den Richtlinien festgelegten Garantien regelt. Teil 2 der Microsoft-Checkliste (Seite 53) ordnet diese den Abschnitten in Microsoft-Vertragsdokumenten zu, in denen sie adressiert sind.
Gibt es verbindliche Bedingungen, die in den Vertrag mit dem Cloud-Dienstanbieter aufgenommen werden müssen?
Ja, aber nur, wenn es sich bei der Outsourcing-Vereinbarung um ein wesentliches Outsourcing handelt oder wenn es sich um eine Übertragung personenbezogener Daten an den Cloud-Dienstanbieter handelt.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.