Oficina del Superintendente de Instituciones Financieras (OSFI) Canadá

Acerca de la OSFI

La Oficina del Superintendente de Instituciones Financieras (OSFI) es una agencia independiente del gobierno de Canadá responsable de la regulación prudencial y la supervisión de las instituciones financieras reguladas por el gobierno y los planes de pensiones en Canadá.

En su rol de supervisión, la OSFI publicó las Directrices B-10 para la Subcontratación de Actividades, Funciones y Procesos Empresariales. Se establecieron "prácticas, procedimientos o estándares prudentes" para que las instituciones financieras reguladas por el gobierno evalúen y administren el riesgo asociado con la subcontratación de su negocio a un proveedor de servicios. Un memorándum posterior de la OSFI, Requisitos de subcontratación basados en nuevas tecnologías, les recuerda a estas instituciones que las Directrices B-10 permanecen vigentes y deben cumplir con las expectativas de OSFI para los acuerdos materiales de subcontratación.

Además, el uso de servicios en la nube por las instituciones financieras debe cumplir con la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y, en algunos casos, las leyes provinciales de privacidad de datos.

Microsoft y la OSFI

Para guiar a las instituciones financieras en Canadá que consideren la subcontratación de funciones empresariales a la nube, Microsoft ha publicado Ábrete camino hacia la nube: Una lista de comprobación de cumplimiento para las instituciones financieras en Canadá. Al revisar y completar la lista de comprobación, las organizaciones financieras pueden adoptar servicios en la nube empresarial de Microsoft con la confianza de que cumplen los requisitos normativos aplicables.

Cuando las instituciones financieras canadienses subcontratan actividades comerciales, deben cumplir con las Directrices B-10 para la Subcontratación de Actividades, Funciones y Procesos Empresariales publicadas por la Oficina del Superintendente de Instituciones Financieras (OSFI), así como las leyes de privacidad canadienses, incluida la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA).

La lista de comprobación de Microsoft ayuda a las empresas financieras canadienses que realizan evaluaciones de diligencia debida de los servicios empresariales en la nube de Microsoft e incluye:

  • Información general sobre el panorama normativo para dar contexto.
  • Una lista de comprobación que describe las cuestiones que deben tratarse y asigna los servicios de Microsoft Azure, Microsoft Dynamics 365 y Microsoft 365 frente a dichas obligaciones reglamentarias. La lista de comprobación puede usarse como una herramienta para medir el cumplimiento con un marco normativo y proporcionar una estructura interna para documentar el cumplimiento, así como para ayudar a los clientes a llevar a cabo sus propias evaluaciones de riesgo de los servicios empresariales en la nube de Microsoft.

Servicios y plataformas en la nube dentro de Microsoft

Cómo se debe implementar

Preguntas más frecuentes

¿Se necesita la aprobación de normativas?

No. No hay ningún requisito para la notificación, consulta o aprobación previas. El uso de la informática en la nube pública está permitido, siempre que se cumplan los requisitos de OSFI.

Las Directrices B-10 de la OSFI indican que la OSFI espera que la institución financiera diseñe un programa de administración de riesgos que se aplique a todos sus acuerdos de subcontratación, con una mitigación de riesgos acorde con los riesgos asociados. Sin embargo, solo los acuerdos de subcontratación material deberán documentarse mediante un contrato escrito que aborde las garantías identificadas en las directrices. La parte 2 de la lista de comprobación de Microsoft (página 53) las asigna a las secciones de los documentos contractuales de Microsoft donde se abordan.

¿Hay términos obligatorios que se deban incluir en el contrato con el proveedor de servicios en la nube?

Sí, pero solo si el acuerdo de subcontratación es una subcontratación material o si implica cualquier transferencia de información personal a un proveedor de servicios en la nube.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos