Banco de la India (RBI) y autoridad reguladora y de desarrollo de seguros de la India (IRDAI)
Acerca de RBI e IRDAI
El Banco de la Reserva de la India (RBI), la institución bancaria central de la India, la Autoridad de Reglamentación y Desarrollo de Seguros de la India (IRDAI) y el Ministerio de Electrónica y Tecnología de la Información (MeitY) comprenden tres de los principales reguladores de la industria financiera que supervisan los bancos, las organizaciones de seguros y las instituciones de infraestructura del mercado. Sus directivas incluyen directrices y requisitos de externalización y gestión de riesgos para el cumplimiento de las reglas de privacidad que rigen los datos confidenciales.
La guía de externalización y administración de riesgos incluye:
- Las directrices sobre la gestión del riesgo y el código de conducta en la subcontratación de servicios financieros por parte de los bancos abordan los riesgos a los que se exponen los bancos regulados al subcontratar servicios financieros y ayudan a garantizar que la subcontratación no impida el papel de supervisión de la RBI. La RBI no requiere aprobación previa para los bancos que buscan externalizar servicios financieros; sin embargo, las funciones básicas de banca, como las funciones internas de auditoría y cumplimiento, no deben externalizarse.
- Directrices sobre seguridad de la información, banca electrónica, administración de riesgos tecnológicos y fraudes cibernéticos (RBI). Las instituciones financieras deben notificar acuerdos de subcontratación en los que la escala y la naturaleza de las actividades sean significativas o requieran un amplio intercambio de datos con proveedores de servicios fuera de la India. Esta guía se aplica especialmente si los datos operativos se almacenan o procesan fuera de la India.
- Outsourcing of Activities by Indian Insurers Regulation (IRDAI). Cada año, las organizaciones de seguros deben informar de la subcontratación a IRDAI de ciertas funciones de apoyo de las actividades principales en un plazo de 45 días a partir del cierre del ejercicio. En la página 7 de la lista de comprobación de Microsoft se describe lo que constituye "funciones de soporte técnico de las actividades principales".
Las empresas financieras que usan servicios en la nube también deben cumplir con las reglas de privacidad, incluidas las reglas de tecnología de la información (prácticas y procedimientos de seguridad razonables y datos personales confidenciales o información), 2011 (MeitY). Desarrolladas para fortalecer las leyes de protección de datos de la India, estas reglas rigen la protección y el tratamiento de datos personales confidenciales.
Microsoft, RBI e IRDAI
Para ayudar a guiar a las instituciones financieras de la India a considerar la posibilidad de subcontratar funciones empresariales a la nube, Microsoft ha publicado una lista de comprobación de cumplimiento para las instituciones financieras de la India. Al revisar y completar la lista de comprobación, las organizaciones financieras pueden adoptar servicios en la nube empresarial de Microsoft con la confianza de que cumplen los requisitos normativos aplicables.
Cuando las instituciones financieras indias subcontratan actividades empresariales a la nube, deben seguir las directrices del Banco de la Reserva de la India para administrar los riesgos y abordar los problemas que surgen del uso de la tecnología de la información. También deben cumplir con los requisitos de seguridad y privacidad de datos establecidos por el Ministerio de Electrónica y Tecnología de la Información (MeitY). Además, las organizaciones de seguros deben seguir las directrices de subcontratación publicadas por la Autoridad reguladora y de desarrollo de seguros de la India (IRDAI).
La lista de comprobación de Microsoft ayuda a las empresas financieras de la India que realizan evaluaciones de diligencia debida de los servicios en la nube empresarial de Microsoft e incluye:
- Información general sobre el panorama normativo para dar contexto.
- Lista de comprobación que establece los problemas que se deben abordar y asigna los servicios de Microsoft Azure, Microsoft Dynamics 365 y Microsoft Office 365 a esas obligaciones normativas. La lista de comprobación puede usarse como una herramienta para medir el cumplimiento con un marco normativo y proporcionar una estructura interna para documentar el cumplimiento, así como para ayudar a los clientes a llevar a cabo sus propias evaluaciones de riesgo de los servicios empresariales en la nube de Microsoft.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Dynamics 365
- Microsoft 365
Cómo se debe implementar
- Lista de comprobación de cumplimiento para La India: las empresas financieras pueden obtener ayuda para realizar evaluaciones de riesgos de los servicios en la nube empresarial de Microsoft.
- Casos de uso financiero para Azure: introducción a casos de uso, tutoriales y otros recursos para crear soluciones de Azure para servicios financieros.
Preguntas frecuentes
¿Hay términos obligatorios que se deban incluir en el contrato con el proveedor de servicios en la nube?
Sí. Las directrices mencionadas anteriormente estipulan algunos puntos específicos que las instituciones financieras deben incorporar a sus contratos de servicios en la nube. La parte 2 de la lista de comprobación (página 70) las asigna a las secciones de los documentos contractuales de Microsoft donde se abordan.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.