Reserve Bank of India (RBI) et Insurance Regulatory and Development Authority of India (IRDAI)
À propos de RBI et IRDAI
La Reserve Bank of India (RBI), l’institution bancaire centrale de l’Inde, l’Insurance Regulatory and Development Authority of India (IRDAI) et le Ministère de l’électronique et des technologies de l’information (MeitY) sont trois des principaux organismes de réglementation du secteur financier qui supervisent les banques, les organismes d’assurance et les institutions d’infrastructure de marché. Leurs directives incluent des directives en matière d’externalisation et de gestion des risques et des exigences en matière de conformité aux règles de confidentialité régissant les données sensibles.
Les conseils en matière d’externalisation et de gestion des risques incluent les éléments suivants :
- Les lignes directrices sur la gestion des risques et le code de conduite dans l’externalisation des services financiers par les banques (RBI) traitent des risques auxquels les banques réglementées seraient exposées lors de l’externalisation des services financiers et aident à s’assurer que l’externalisation n’entrave pas le rôle de surveillance du RBI. Le RBI ne nécessite pas d’approbation préalable pour les banques qui cherchent à externaliser des services financiers ; Toutefois, les fonctions bancaires de base, telles que les fonctions d’audit interne et de conformité, ne doivent pas être externalisées.
- Lignes directrices sur la sécurité de l’information, la banque électronique, la gestion des risques technologiques et les cyberfraudes (RBI). Les institutions financières doivent signaler les accords d’externalisation lorsque l’ampleur et la nature des activités sont importantes ou nécessitent un partage étendu de données avec des fournisseurs de services en dehors de l’Inde. Ces conseils s’appliquent en particulier si des données opérationnelles sont stockées ou traitées en dehors de l’Inde.
- Externalisation des activités par la réglementation indienne des assureurs (IRDAI). Chaque année, les organismes d’assurance sont tenus de signaler à l’IRDAI l’externalisation de certaines fonctions de soutien des activités de base dans les 45 jours suivant la clôture de l’exercice. La page 7 de la liste de contrôle Microsoft décrit ce qui constitue des « fonctions de support des activités principales ».
Les entreprises financières qui utilisent des services cloud doivent également se conformer aux règles de confidentialité, notamment les règles relatives aux technologies de l’information (pratiques et procédures raisonnables en matière de sécurité et aux données ou informations personnelles sensibles), 2011 (MeitY). Développées pour renforcer les lois sur la protection des données en Inde, ces règles régissent la protection et le traitement des données personnelles sensibles.
Microsoft, RBI et IRDAI
Pour aider les institutions financières en Inde à envisager d’externaliser des fonctions métier dans le cloud, Microsoft a publié une liste de contrôle de conformité pour les institutions financières en Inde. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.
Lorsque les institutions financières indiennes externalisent des activités commerciales dans le cloud, elles doivent suivre les directives de la Reserve Bank of India pour gérer les risques et résoudre les problèmes liés à l’utilisation des technologies de l’information. Ils doivent également se conformer aux exigences de sécurité et de confidentialité des données établies par le ministère de l’Électronique et des Technologies de l’information (MeitY). En outre, les organismes d’assurance doivent suivre les directives d’externalisation publiées par l’Autorité de réglementation et de développement de l’Assurance de l’Inde (IRDAI).
La liste de contrôle Microsoft aide les sociétés financières en Inde qui effectuent des évaluations de diligence raisonnable des services cloud d’entreprise Microsoft et comprend :
- Vue d’ensemble du paysage réglementaire dans le contexte.
- Liste de contrôle qui présente les problèmes à résoudre et mappe Les services Microsoft Azure, Microsoft Dynamics 365 et Microsoft Office 365 à ces obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Dynamics 365
- Microsoft 365
Modalités de mise en œuvre
- Liste de contrôle de conformité pour l’Inde : les sociétés financières peuvent obtenir de l’aide pour effectuer des évaluations des risques des services cloud d’entreprise Microsoft.
- Cas d’usage financiers pour Azure : vue d’ensemble des cas d’utilisation, didacticiels et autres ressources pour créer des solutions Azure pour les services financiers.
Foire aux questions
Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services Cloud ?
Oui. Les lignes directrices référencées ci-dessus stipulent certains points spécifiques que les institutions financières doivent intégrer dans leurs contrats de services cloud. La partie 2 de la liste de contrôle (page 70) les mappe aux sections des documents contractuels Microsoft où elles sont traitées.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.