Autorité monétaire de Singapour (AMS) et Association des banques de Singapour (ABS)
Vue d’ensemble de l’Autorité monétaire de Singapour (AMS) et de l’Association des banques de Singapour (ABS)
Autorité monétaire de Singapour (AMS)
L’Autorité monétaire de Singapour (MAS), l’unique organisme de réglementation bancaire à Singapour et sa banque centrale, a publié ses directives sur la gestion des risques technologiques. Dans les instructions, l’AMS a défini ses attentes pour l’externalisation des services Cloud par les institutions financières de Singapour, y compris les banques, compagnies d’assurances et sociétés fiduciaire. Il s’agit du résultat d’une consultation à l’échelle de l’industrie qui a débuté en octobre 2014 et qui comprenait la participation de Microsoft.
Les instructions NAM simplifient considérablement le processus d’adoption des technologies, clarifient les attentes du régulateur et traitent bon nombre des erreurs de conception qui avaient précédemment ralenti l’adoption par le secteur financier des solutions cloud.
En outre, les directives sont sans équivoque dans leur soutien à l’utilisation des services cloud, y compris un cloud public, par les institutions financières et qu’elles en tireront parti. Ils ont éliminé l’attente que les institutions financières notifient le MAS avant tout engagement important d’externalisation. Au lieu de cela, les établissements soumis à la réglementation de l’AMS doivent affiner leur approche basée sur le risque lors de l’évaluation de l’externalisation matérielle et mener une auto-évaluation de toutes les dispositions relatives à l’externalisation par rapport à ces instructions. (Pour l’instant, ces lignes directrices ne sont pas juridiquement contraignantes, mais le MAS a indiqué qu’il émettra un avis législatif à l’avenir.)
Association des banques de Singapour (ABS)
Peu de temps après la publication des instructions de l’AMS sur la gestion des risques d’externalisation, l’ABS, organisation à but non lucratif représentant les intérêts des banques locales et étrangères opérant à Singapour (mais pas d’autres institutions financières), a mis en place un guide pratique non contraignant, Guide de mise en œuvre du cloud computing. Il est conçu pour aider les banques à mettre en œuvre des accords d’externalisation en suivant les directives du MAS.
Microsoft, AMS et ABS
Avec l’approbation du cloud computing, y compris l’utilisation des clouds publics, par l’Autorité monétaire de Singapour (MAS) et le soutien de l’Association of Banks in Singapore (ABS), Microsoft a publié la réponse de Microsoft aux directives d’externalisation du MAS et aux conseils abs et une liste de contrôle de conformité pour les institutions financières à Singapour. Ensemble, ils montrent comment les entreprises financières peuvent déplacer des données et des charges de travail vers le cloud Microsoft avec l’assurance qu’elles respectent les directives MAS et effectuent une auto-évaluation de leurs dispositions d’externalisation par rapport aux nouvelles directives.
La réponse de Microsoft aux instructions de l’AMS et conseils de l’ABS donne aux entreprises financières une vue d’ensemble des principaux problèmes soulevés par les instructions de l’AMS et le guide ABS, qui s’appliquent aux services Cloud, aux interprétations par Microsoft de chacun des problèmes clés et aux réponses de Microsoft à chacun des problèmes clés, ainsi que des informations sur la manière dont Microsoft peut vous aider à respecter les instructions de l’AMS. Cette réponse traite les instructions de l’AMS et de l’ABS séparément.
La réponse de Microsoft aux instructions de l’AMS se concentre sur les recommandations de l’AMS pour les pratiques prudentes de gestion des risques pour l’externalisation. Elle décrit point par point la manière dont Microsoft a les stratégies, processus et outils appropriés pour vous aider à évaluer les risques, fournit des listes de contrôle pour vous aider à évaluer nos services cloud professionnels et décrit les processus de gouvernance et de contrôles internes.
La réponse de Microsoft au Guide ABS est centrée sur les sections 3 et 4.
- La section 3 s’appuie sur les exigences des instructions de l’AMS en matière de diligence et de gestion des fournisseurs en traitant de manière plus détaillée des sujets comme les considérations contractuelles. Nous fournissons des informations détaillées sur les outils de gestion des fournisseurs de Microsoft et l’aide que nous pouvons offrir pendant l’évaluation de la diligence.
- La section 4 recommande un ensemble de contrôles de base clés ( du chiffrement à la gestion des intrusions et des vulnérabilités) que les fournisseurs de services cloud doivent mettre en place lorsqu’ils travaillent avec les banques. Nous décrivons la façon dont nos contrôles traitent les préoccupations de sécurité de chacun des contrôles spécifiés.
Bénéficiez d’un support pratique pour déplacer des données et des charges de travail vers Microsoft Cloud conformément aux instructions de l’AMS.
Liste de contrôle de conformité pour les institutions financières à Singapour
Ce document inclut une vue d’ensemble du paysage réglementaire, qui présente les exigences applicables Singapour et une liste de contrôle de conformité. Celle-ci répertorie les problèmes réglementaires qui doivent être résolus et met les services cloud de Microsoft en correspondance avec ces problèmes. En examinant et en remplissant la liste de contrôle point par point, les institutions financières peuvent adopter les services cloud Microsoft avec l’assurance qu’elles se conforment aux exigences pertinentes à Singapour.
En nous appuyant sur notre approche complète de l’assurance des risques dans le cloud, nous sommes convaincus que les institutions financières de Singapour peuvent passer au cloud Microsoft d’une manière cohérente avec les directives MAS et le guide ABS, tout en fournissant un profil de gestion des risques de sécurité plus avancé que de nombreuses solutions locales.
Bénéficiez d’un support pratique pour déplacer des données et des charges de travail vers Microsoft Cloud conformément aux instructions de l’AMS.
Télécharger la liste de contrôle de conformité pour les institutions financières à Singapour
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Dynamics 365
- Intune
- Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365
- Office 365
Foire aux questions
L’approbation réglementaire est-elle nécessaire ?
Non, il n’est pas nécessaire de notification préalable, de consultation ou d’approbation des accords d’externalisation. Toutefois, le MAS s’attend à ce que les institutions financières soient prêtes à démontrer comment elles se conforment et à informer le MAS dès que possible des développements défavorables découlant des accords d’externalisation d’une institution financière, par exemple un incident de violation de données.
Qu’est-ce qu’une disposition relative à l’externalisation « matérielle » et pourquoi la définition est-elle importante ?
Un accord d’externalisation est « important » si une défaillance ou une violation de service a le potentiel d’affecter de manière importante les activités commerciales d’une entreprise financière ou sa capacité à gérer les risques et à se conformer aux lois et réglementations applicables ; ou s’il s’agit d’informations sur les clients et, en cas d’accès ou de divulgation non autorisé, de perte ou de vol d’informations client, a un impact important sur les clients d’une entreprise. La définition des « informations client » exclut expressément les informations chiffrées de façon sécurisée.
Cette définition est importante dans la mesure où certaines dispositions des Lignes directrices sur l’externalisation du MAS s’appliquent uniquement aux « accords d’externalisation matérielle ». Il s’agit notamment de l’obligation d’effectuer des révisions annuelles, des clauses contractuelles obligatoires concernant les droits d’audit et de s’assurer que l’externalisation en dehors de Singapour n’affecte pas les efforts de surveillance du MAS.
Ressources
- Instructions de l’AMS sur la gestion des risques d’externalisation
- Directives de gestion des risques liés à la technologie MAS
- Foire aux questions concernant les instructions de l’AMS l’externalisation
- Guide de mise en œuvre du cloud computing de l’ABS 1.1
- Trouver son chemin vers le cloud : réponse de Microsoft aux instructions de l’AMS sur l’externalisation et au Guide de mise en œuvre du cloud de l’ABS**
- Centre de conformité Microsoft
Autres ressources Microsoft pour les services financiers
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour