Autorité australienne de régulation prudentielle (APRA)
Vue d’ensemble d’APRA
L’Autorité australienne de régulation prudentielle (APRA) supervise les banques, les coopératives de crédit, les compagnies d’assurance et d’autres institutions de services financiers en Australie. Reconnaissant l’élan vers le cloud computing, APRA a appelé les entités réglementées à implémenter une stratégie d’adoption du cloud réfléchie avec une gouvernance efficace, une évaluation approfondie des risques et des processus d’assurance réguliers. Les institutions réglementées doivent se conformer à la norme prudentielle CPS 231 de l’APRA lorsqu’elles externalisent une activité commerciale importante , toute activité qui a le potentiel, si elle est interrompue, d’avoir un impact significatif sur les activités commerciales de l’institution financière ou la capacité de gérer efficacement ses risques. Sur la base de son examen des accords d’externalisation impliquant des services de cloud computing soumis à l’APRA, L’APRA a publié des conseils spécifiques et détaillés dans son document d’information, Outsourcing impliquant des services de cloud computing , pour aider les entités réglementées à évaluer les fournisseurs et services cloud plus efficacement et les guider dans les questions réglementaires de l’externalisation vers le cloud. Lors de l’externalisation, y compris à un service cloud, les institutions réglementées doivent également examiner et prendre en compte leur conformité continue avec la norme cps 234 de la sécurité de l’information de l’APRA.
Microsoft et APRA
Pour les institutions financières en Australie qui évaluent les fournisseurs de cloud et leurs services, Microsoft a publié :
- Réponse de Microsoft au document d’information APRA sur le cloud
- Services cloud Microsoft : liste de vérification de la conformité pour les institutions financières en Australie
- Services cloud Microsoft : conformité à la norme prudentielle APRA CPS 234
Ensemble, ils montrent comment les entreprises financières peuvent déplacer des données et des charges de travail vers Microsoft Azure avec l’assurance qu’elles respectent les réglementations et les conseils de l’Autorité australienne de régulation prudentielle (APRA).
Pour en savoir plus sur les avantages des services financiers conformes à APRA sur Azure, lisez l’article Regtech meets Wcf : Perpetual and Microsoft transform the finance sector .
Réponse de Microsoft au document d’information APRA sur le cloud
Cet article de Microsoft fournit des conseils détaillés pour les services financiers avec une réponse détaillée à chaque problème soulevé dans l’APRA Information Paper Outsourcing impliquant des services de cloud computing. Les lignes directrices de l’APRA identifient trois catégories de risques dans lesquelles l’utilisation du cloud se situe généralement (risque inhérent faible, élevé et extrême), et mettent en évidence les problèmes clés que les entités réglementées doivent prendre en compte dans le cadre de leur évaluation des risques.
La réponse de Microsoft se concentre sur les deux catégories de risques les plus élevés. Bien que les services cloud ne soient interdits par aucune catégorie de risque, APRA s’attend à ce que vous entrepreniez un niveau de diligence proportionnellement plus élevé, et vous devriez vous attendre à un niveau croissant de surveillance de l’APRA, à mesure que vous augmentez les catégories de risques. APRA répertorie un éventail de facteurs qui indiquent généralement un risque inhérent élevé ou extrême pour l’externalisation du cloud. Microsoft traite chacun de ces facteurs en profondeur, en fournissant des informations et des outils pour vous aider à évaluer et à gérer le risque de déplacement de vos données et charges de travail vers Azure.
Microsoft traite également de chaque prise en compte de la gestion des risques APRA : stratégie, gouvernance, processus de sélection de la solution, accès APRA et capacité d’agir, approche de transition, évaluations des risques et sécurité, supervision continue, interruption de l’activité, audit et assurance. Point par point, nous donnons des conseils et des outils pour vous aider à répondre à chaque problème lors du déploiement d’Azure.
Obtenez un support pratique pour déplacer des données et des charges de travail vers Azure conformément aux réglementations APRA : Téléchargez la réponse de Microsoft au document d’information APRA sur le cloud.
Réponse de Microsoft à l’APRA CPS 234 sur la sécurité des informations
La norme prudentielle CPS 234 sécurité de l’information de l’APRA exige que les institutions réglementées :
- définir clairement les rôles et responsabilités liés à la sécurité de l’information ;
- maintenir une capacité de sécurité de l’information proportionnelle à la taille et à l’étendue des menaces qui pèsent sur leurs ressources d’information ;
- mettre en œuvre des contrôles pour protéger les ressources d’information et effectuer des tests réguliers et l’assurance de l’efficacité des contrôles ; Et
- informer rapidement APRA des incidents de sécurité des informations importantes.
CPS 234 reflète étroitement l’infrastructure de sécurité Microsoft de base : protéger, détecter et répondre.
Services cloud Microsoft : conformité avec la norme cps 234 information standard de l’APRA définit chacune des obligations réglementaires CPS 234 pertinentes et établit une correspondance avec celles-ci les contrôles, fonctionnalités, fonctions, engagements contractuels et informations connexes du service cloud Microsoft pour aider votre entité réglementée par APRA à se conformer à ses obligations réglementaires en vertu de CPS 234.
Naviguer vers le cloud : liste de contrôle de conformité pour les institutions financières en Australie
Cette liste de contrôle Microsoft présente les exigences réglementaires APRA que les entreprises financières doivent respecter lorsqu’elles passent au cloud. Il établit une correspondance avec Azure non seulement avec la norme prudentielle CPS 231 outsourcing, mais aussi avec d’autres normes APRA pertinentes, telles que la continuité d’activité et la gestion des risques. Le fait de remplir cette liste de vérification aide vos institutions de services financiers à adopter Azure avec l’assurance qu’il répond aux exigences APRA pertinentes.
En nous appuyant sur notre approche complète de l’assurance des risques dans le cloud, nous sommes convaincus que les organisations de services financiers australiennes peuvent migrer vers les services cloud Microsoft d’une manière qui est non seulement cohérente avec les conseils de l’APRA, mais peut fournir aux clients un profil de gestion des risques de sécurité plus avancé que les solutions locales ou d’autres solutions hébergées.
Obtenez un support pratique pour déplacer des données et des charges de travail vers Azure conformément aux réglementations APRA : Télécharger les services cloud Microsoft : liste de contrôle de conformité pour les institutions financières en Australie.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Dynamics 365
- Office 365
Office 365 et APRA
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Exchange Online Protection, Exchange Online, Office 365 Customer Portal, Office Online, Infrastructure des services Office, OneDrive Entreprise, SharePoint Online, Skype Entreprise |
Questions fréquentes (FAQ)
Les institutions financières ont-ils besoin de l’approbation de l’APRA avant d’externaliser des activités commerciales importantes ?
Non. Toutefois, la plupart des organisations financières réglementées doivent notifier l’APRA après avoir conclu des accords pour externaliser des activités commerciales importantes en Australie ou consulter l’APRA avant d’externaliser ces activités en dehors de l’Australie.
En outre, si les services cloud sont considérés comme présentant un « risque inhérent élevé ou extrême », comme décrit dans le document d’information sur les clouds de l’APRA, l’institution financière est encouragée (mais pas obligatoire) à consulter l’APRA, que le service soit fourni à l’intérieur ou à l’extérieur de l’Australie.
Les transferts de données en dehors de l’Australie sont-ils autorisés ?
Oui. La législation générale sur la protection de la vie privée (qui s’applique à tous les secteurs, et pas seulement aux institutions financières) autorise les transferts en dehors de l’Australie sous certaines conditions. Microsoft accepte les conditions contractuelles conformes aux principes australiens de confidentialité afin que les transferts de données en dehors de l’Australie soient autorisés lorsque vous utilisez des services cloud Microsoft. Toutefois, la plupart de nos clients de services financiers australiens tirent parti des services cloud disponibles à partir de nos centres de données australiens, pour lesquels nous prenons des engagements contractuels spécifiques pour stocker des catégories de données au repos dans la zone géographique australienne. Ces engagements sont décrits plus en détail dans la liste de contrôle de conformité.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Autorité australienne de régulation prudentielle
- APRA Information Paper Outsourcing impliquant des services de cloud computing
- Norme prudentielle CPS 231 Externalisation
- Norme prudentielle CPS 234 Sécurité de l’information
- Réponse de Microsoft au document d’information APRA sur le cloud
- Services cloud Microsoft : liste de vérification de la conformité pour les institutions financières en Australie
- Services cloud Microsoft : conformité à la norme prudentielle APRA CPS 234
- Microsoft Cloud Financial Services
- Services financiers dans le portail d’approbation de services
- Services commerciaux cloud computing et services financiers Microsoft
- Conformité sur le site Microsoft Trust Center