Autoridad Australiana de Reglamentación Prudencial (APRA)
Introducción a APRA
La Australian Prudential Regulation Authority (APRA) supervisa los bancos, las cooperativas de crédito, las compañías de seguros y otras instituciones de servicios financieros de Australia. Reconociendo el impulso hacia la informática en la nube, APRA ha pedido a las entidades reguladas que implementen una estrategia de adopción de la nube cuidadosa con gobernanza eficaz, evaluación exhaustiva de riesgos y procesos de control regulares. Las instituciones reguladas deben cumplir con la norma cautelar APRA CPS 231 Outsourcing al subcontratar una actividad empresarial material, cualquier actividad que tenga la posibilidad, si se interrumpe, de tener un impacto significativo en las operaciones empresariales de la institución financiera o la capacidad de administrar sus riesgos de forma eficaz. Basándose en su revisión de los acuerdos de subcontratación que implican servicios de informática en la nube enviados a APRA, APRA publicó instrucciones específicas y detalladas en su documento de información, Outsourcing que implica servicios de informática en la nube para ayudar a las entidades reguladas a evaluar los proveedores y servicios en la nube de forma más eficaz y guiarlos a través de los problemas normativos de subcontratación a la nube. Al subcontratar, incluido un servicio en la nube, las instituciones reguladas también deben revisar y considerar su cumplimiento continuo con APRA Prudential Standard CPS 234 Information Security.
Microsoft y APRA
En el caso de las instituciones financieras de Australia que evalúan los proveedores de nube y sus servicios, Microsoft ha publicado:
- Respuesta de Microsoft al documento de información de APRA en la nube
- Servicios en la nube de Microsoft: una lista de comprobación de cumplimiento para instituciones financieras en Australia
- Servicios en la nube de Microsoft: cumplimiento con APRA Prudential Standard CPS 234
Juntos muestran cómo las empresas financieras pueden trasladar datos y cargas de trabajo a Microsoft Azure con la confianza de que cumplen con las normas y las instrucciones de la Autoridad Australiana de Regulación Prudencial (APRA).
Para obtener información sobre las ventajas de los servicios financieros compatibles con APRA en Azure, lea el artículo Regtech meets Fintech: Perpetual and Microsoft transform the finance sector (Regtech se reúne con Fintech: Perpetuo y Microsoft transforma el sector financiero ).
Respuesta de Microsoft al documento de información de APRA en la nube
En este documento de Microsoft se proporcionan instrucciones detalladas para los servicios financieros con una respuesta detallada a cada problema planteado en la subcontratación de papel de información de APRA que implica servicios de informática en la nube. Las directrices de APRA identifican tres categorías de riesgo en las que normalmente cae el uso de la nube (riesgo bajo, elevado y extremo inherente) y resaltan los problemas clave que las entidades reguladas deben tener en cuenta como parte de su evaluación de riesgos.
La respuesta de Microsoft se centra en las dos categorías de riesgo más altas. Aunque los servicios en la nube no están prohibidos por ninguna categoría de riesgo, APRA espera que realice un nivel de diligencia proporcionalmente mayor, y debe esperar un nivel creciente de examen de APRA, a medida que se suban las categorías de riesgo. APRA enumera una serie de factores que suelen indicar un riesgo inherente alto o extremo para la subcontratación en la nube. Microsoft aborda cada uno de estos factores en profundidad, proporcionando información y herramientas que le ayudarán a evaluar y administrar el riesgo de mover los datos y las cargas de trabajo a Azure.
Microsoft también aborda cada consideración de administración de riesgos de APRA: estrategia, gobernanza, proceso de selección de soluciones, acceso y capacidad de acción de APRA, enfoque de transición, evaluaciones de riesgos y seguridad, supervisión continua, interrupción del negocio y auditoría y garantía. Punto a punto, ofrecemos consejos y herramientas que le ayudarán a responder a cada problema al implementar Azure.
Obtenga soporte técnico práctico para mover datos y cargas de trabajo a Azure de acuerdo con las regulaciones de APRA: descargue la respuesta de Microsoft al documento de información de APRA en la nube.
Respuesta de Microsoft a APRA CPS 234 on Information Security
APRA Prudential Standard CPS 234 Information Security requiere que las instituciones reguladas:
- definir claramente roles y responsabilidades relacionados con la seguridad de la información;
- mantener una capacidad de seguridad de la información acorde con el tamaño y la extensión de las amenazas a sus recursos de información;
- implementar controles para proteger los recursos de información y llevar a cabo pruebas periódicas y garantías de la eficacia de los controles; Y
- notificar inmediatamente a APRA de incidentes de seguridad de la información material.
CPS 234 refleja estrechamente el marco de seguridad principal de Microsoft: proteger, detectar y responder.
Servicios en la nube de Microsoft: el cumplimiento con APRA Prudential Standard CPS 234 Information Security establece cada una de las obligaciones normativas de CPS 234 pertinentes y asigna en su contra los controles, las capacidades, las funciones, los compromisos de contrato y la información de soporte técnico de Microsoft cloud service para ayudar a su entidad regulada por APRA a cumplir con sus obligaciones normativas bajo CPS 234.
Navegar hasta la nube: una lista de comprobación de cumplimiento para las instituciones financieras en Australia
Esta lista de comprobación de Microsoft presenta los requisitos normativos de APRA que las empresas financieras deben abordar al migrar a la nube. Asigna Azure no solo a la subcontratación de CPS 231 de Prudential Standard, sino a otros estándares de APRA pertinentes, como para la continuidad empresarial y la administración de riesgos. Completar esta lista de comprobación ayuda a las instituciones de servicios financieros a adoptar Azure con la confianza de que cumple los requisitos de APRA pertinentes.
Al basarnos en nuestro enfoque integral para la garantía de riesgos en la nube, estamos seguros de que las organizaciones de servicios financieros australianos pueden migrar a los servicios en la nube de Microsoft de una manera que no solo sea coherente con las instrucciones de APRA, sino que pueda proporcionar a los clientes un perfil de administración de riesgos de seguridad más avanzado que las soluciones locales u otras soluciones hospedadas.
Obtenga soporte técnico práctico para mover datos y cargas de trabajo a Azure en cumplimiento con las regulaciones de APRA: Descargar servicios en la nube de Microsoft: una lista de comprobación de cumplimiento para instituciones financieras en Australia.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Dynamics 365
- Office 365
Office 365 y APRA
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Exchange Online Protection, Exchange Online, Portal del cliente de Office 365, Office Online, Infraestructura de Servicios de Office, OneDrive para la Empresa, SharePoint Online, Skype Empresarial |
Preguntas más frecuentes
¿Las instituciones financieras necesitan la aprobación de APRA antes de subcontratar actividades empresariales materiales?
No. Sin embargo, la mayoría de las organizaciones financieras reguladas deben notificar a APRA después de celebrar acuerdos para subcontratar actividades comerciales de material dentro de Australia o consultar con APRA antes de subcontratar esas actividades fuera de Australia.
Además, si se considera que los servicios en la nube conllevan "riesgos inherentes elevados o extremos", como se describe en el documento de información de APRA sobre nubes, se anima a la institución financiera (pero no se requiere) a consultar con APRA, independientemente de si el servicio se proporciona dentro o fuera de Australia.
¿Se permiten las transferencias de datos fuera de Australia?
Sí. La legislación general de privacidad (que se aplica a todos los sectores, no solo a las instituciones financieras) permite transferencias fuera de Australia en determinadas condiciones. Microsoft acepta los términos contractuales de acuerdo con los Principios de privacidad de Australia para que se permitan las transferencias de datos fuera de Australia cuando se usan servicios en la nube de Microsoft. Sin embargo, muchos de nuestros clientes de servicios financieros australianos aprovechan los servicios en la nube disponibles en nuestros centros de datos australianos, para los que realizamos compromisos contractuales específicos para almacenar categorías de datos en reposo en la geografía australiana. Estos compromisos se describen más adelante en la lista de comprobación de cumplimiento.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Autoridad australiana de reglamentación prudencial
- Subcontratación de documentos de información de APRA que implica servicios de informática en la nube
- Subcontratación del estándar prudencial CPS 231
- Estándar prudencial CPS 234 Information Security
- Respuesta de Microsoft al documento de información de APRA en la nube
- Servicios en la nube de Microsoft: una lista de comprobación de cumplimiento para instituciones financieras en Australia
- Servicios en la nube de Microsoft: cumplimiento con APRA Prudential Standard CPS 234
- Microsoft Cloud Financial Services
- Servicios financieros en el Portal de confianza de servicios
- Servicios financieros y servicios empresariales en la nube de Microsoft
- Cumplimiento normativo en el Centro de confianza de Microsoft
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de