Autoridade Australiana de Regulação Prudencial (APRA)
Visão geral do APRA
A Autoridade Australiana de Regulação Prudencial (APRA) supervisiona bancos, cooperativas de crédito, companhias de seguros e outras instituições de serviços financeiros na Austrália. Reconhecendo o impulso para a computação em nuvem, a APRA pediu às entidades regulamentadas que implementem uma estratégia de adoção de nuvem pensada com governança eficaz, avaliação completa de risco e processos regulares de garantia. As instituições regulamentadas devem cumprir o APRA Prudencial Standard CPS 231 Terceirização ao terceirizar uma atividade comercial material— qualquer atividade que tenha o potencial, se interrompida, de ter um impacto significativo nas operações comerciais da instituição financeira ou na capacidade de gerenciar seus riscos efetivamente. Com base em sua revisão de arranjos de terceirização envolvendo serviços de computação em nuvem enviados à APRA, a APRA publicou diretrizes específicas e detalhadas em seu artigo de informações, Terceirização envolvendo serviços de computação em nuvem para ajudar entidades regulamentadas a avaliar provedores e serviços de nuvem de forma mais eficaz e guiá-los através das questões regulatórias de terceirização para a nuvem. Ao terceirizar, inclusive para um serviço de nuvem, as instituições regulamentadas também devem examinar e considerar sua conformidade contínua com a Segurança de Informações do CPS 234 Do APRA Prudencial Standard.
Microsoft e APRA
Para instituições financeiras na Austrália que estão avaliando provedores de nuvem e seus serviços, a Microsoft publicou:
- Resposta da Microsoft ao APRA Information Paper on Cloud
- Serviços de nuvem da Microsoft: uma lista de verificação de conformidade para instituições financeiras na Austrália
- Serviços de nuvem da Microsoft: conformidade com o CPS Padrão Prudencial do APRA 234
Juntos, eles demonstram como as empresas financeiras podem mover dados e cargas de trabalho para o Microsoft Azure com a confiança de que estão cumprindo as regulamentações e diretrizes da Autoridade Australiana de Regulação Prudencial (APRA).
Para saber mais sobre os benefícios dos serviços financeiros compatíveis com a APRA no Azure, leia o artigo Regtech meets Fintech: Perpétuo e Microsoft transformam o artigo do setor financeiro .
Resposta da Microsoft ao APRA Information Paper on Cloud
Este artigo da Microsoft fornece diretrizes detalhadas para serviços financeiros com uma resposta detalhada a cada problema gerado no APRA Information Paper Outsourcing envolvendo serviços de computação em nuvem. As diretrizes da APRA identificam três categorias de risco nas quais o uso de nuvem normalmente cai — risco baixo, aumentado e extremamente inerente — e realçam as principais questões que as entidades regulamentadas devem considerar como parte de sua avaliação de risco.
A resposta da Microsoft se concentra nas duas categorias de maior risco. Embora os serviços de nuvem não sejam proibidos por qualquer categoria de risco, a APRA espera que você realize um nível proporcionalmente maior de diligência, e você deve esperar um nível crescente de escrutínio do APRA, à medida que você avança nas categorias de risco. A APRA lista uma série de fatores que normalmente indicam risco inerente alto ou extremo para terceirização de nuvem. A Microsoft aborda cada um desses fatores com profundidade, fornecendo informações e ferramentas para ajudá-lo a avaliar e gerenciar o risco de mover seus dados e cargas de trabalho para o Azure.
A Microsoft também aborda cada consideração de gerenciamento de riscos da APRA: estratégia, governança, processo de seleção de solução, acesso à APRA e capacidade de agir, abordagem de transição, avaliações de risco e segurança, supervisão contínua, interrupção de negócios e auditoria e garantia. Ponto a ponto, damos conselhos e oferecemos ferramentas para ajudá-lo a responder a cada problema ao implantar o Azure.
Obtenha suporte prático para mover dados e cargas de trabalho para o Azure em conformidade com os regulamentos do APRA: baixe a resposta da Microsoft ao APRA Information Paper on Cloud.
Resposta da Microsoft ao APRA CPS 234 sobre Segurança de Informações
O APRA Prudential Standard CPS 234 Information Security exige que as instituições regulamentadas:
- definir claramente funções e responsabilidades relacionadas à segurança da informação;
- manter uma funcionalidade de segurança de informação proporcional ao tamanho e à extensão das ameaças aos ativos de informações;
- implementar controles para proteger ativos de informações e realizar testes regulares e garantia da eficácia dos controles; E
- notifique prontamente a APRA sobre incidentes de segurança de informações materiais.
O CPS 234 espelha de perto a estrutura de segurança principal da Microsoft: proteger, detectar e responder.
Serviços de nuvem da Microsoft: a conformidade com o APRA Prudential Standard CPS 234 Information Security define cada uma das obrigações regulatórias relevantes do CPS 234 e mapeia contra ela os controles de serviço de nuvem da Microsoft, recursos, funções, compromissos contratuais e informações de suporte para ajudar sua entidade regulamentada pela APRA a cumprir suas obrigações regulatórias sob o CPS 234.
Navegando até a nuvem: uma lista de verificação de conformidade para instituições financeiras na Austrália
Esta lista de verificação da Microsoft apresenta requisitos regulatórios do APRA que as empresas financeiras devem abordar ao migrar para a nuvem. Ele mapeia o Azure não apenas para a Terceirização do CPS Padrão Prudencial 231, mas para outros padrões relevantes do APRA, como para continuidade de negócios e gerenciamento de riscos. A conclusão dessa lista de verificação ajuda suas instituições de serviço financeiro a adotar o Azure com a confiança de que ele atende aos requisitos relevantes do APRA.
Ao confiar em nossa abordagem abrangente para a garantia de risco na nuvem, estamos confiantes de que as organizações de serviços financeiros australianos podem se mudar para serviços de nuvem da Microsoft de uma maneira que não seja apenas consistente com as diretrizes do APRA, mas possa fornecer aos clientes um perfil de gerenciamento de risco de segurança mais avançado do que as soluções locais ou outras soluções hospedadas.
Obtenha suporte prático para mover dados e cargas de trabalho para o Azure em conformidade com os regulamentos do APRA: baixe os serviços de nuvem da Microsoft: uma lista de verificação de conformidade para instituições financeiras na Austrália.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Office 365
Office 365 e APRA
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Proteção do Exchange Online, Exchange Online, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, SharePoint Online, Skype for Business |
Perguntas frequentes
As instituições financeiras precisam de aprovação do APRA antes de terceirizar atividades comerciais materiais?
Não. No entanto, a maioria das organizações financeiras regulamentadas deve notificar a APRA depois de firmar acordos para terceirizar atividades comerciais materiais na Austrália ou consultar a APRA antes de terceirizar essas atividades fora da Austrália.
Além disso, se os serviços de nuvem forem considerados com "risco inerente aumentado ou extremo", conforme descrito no APRA Information Paper on Clouds, a instituição financeira será incentivada (mas não necessária) a consultar a APRA, independentemente de o serviço ser fornecido dentro ou fora da Austrália.
Transferências de dados fora da Austrália são permitidas?
Sim. A legislação geral de privacidade (que se aplica a todos os setores, não apenas às instituições financeiras) permite transferências fora da Austrália sob determinadas condições. A Microsoft concorda com termos contratuais de acordo com os Princípios de Privacidade Australianos para que as transferências de dados fora da Austrália sejam permitidas quando você usa os serviços de nuvem da Microsoft. No entanto, muitos de nossos clientes de serviços financeiros australianos aproveitam os serviços de nuvem disponíveis de nossos datacenters australianos, para os quais fazemos compromissos contratuais específicos para armazenar categorias de dados em repouso na geografia australiana. Esses compromissos são descritos ainda mais na lista de verificação de conformidade.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Autoridade Australiana de Regulação Prudencial
- Terceirização de papel de informações do APRA envolvendo serviços de computação em nuvem
- Prudencial Standard CPS 231 Terceirização
- Prudencial Standard CPS 234 Information Security
- Resposta da Microsoft ao Documento de Informações do APRA na Nuvem
- Serviços de nuvem da Microsoft: uma lista de verificação de conformidade para instituições financeiras na Austrália
- Serviços de nuvem da Microsoft: conformidade com o CPS Padrão Prudencial do APRA 234
- Microsoft Cloud Financial Services
- Serviços Financeiros no Portal de Confiança do Serviço
- serviços corporativos de nuvem e serviços financeiros da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft