Reserve Bank of India (RBI) e Insurance Regulatory and Development Authority of India (IRDAI)

Sobre o RBI e o IRDAI

O Reserve Bank of India (RBI), a instituição bancária central da Índia, a Autoridade reguladora e de desenvolvimento de seguros da Índia (IRDAI) e o Ministério da Tecnologia da Informação e Eletrônica (MeitY) compõem três dos principais reguladores do setor financeiro que supervisionam bancos, organizações de seguros e instituições de infraestrutura de mercado. Suas diretivas incluem diretrizes e requisitos de gerenciamento de riscos e terceirização para conformidade com regras de privacidade que regem dados confidenciais.

As diretrizes de terceirização e gerenciamento de riscos incluem:

• As diretrizes sobre como gerenciar riscos e código de conduta na terceirização de serviços financeiros por bancos (RBI) abordam os riscos aos quais os bancos regulamentados seriam expostos durante a terceirização de serviços financeiros e ajudam a garantir que a terceirização não impeça a função de supervisão da RBI. O RBI não requer aprovação prévia para bancos que buscam terceirizar serviços financeiros; no entanto, as principais funções bancárias, como auditoria interna e funções de conformidade, não devem ser terceirizadas.
• Diretrizes sobre Segurança da Informação, Banco Eletrônico, Gerenciamento de Riscos de Tecnologia e Fraudes Cibernéticas (RBI). As instituições financeiras devem relatar arranjos de terceirização em que a escala e a natureza das atividades são significativas ou exigem amplo compartilhamento de dados com provedores de serviços fora da Índia. Essas diretrizes se aplicam especialmente se os dados operacionais forem armazenados ou processados fora da Índia.
• Terceirização de atividades pelo IRDAI (Regulamento de Seguradoras Indianas ). Todos os anos, as organizações de seguros são obrigadas a relatar a terceirização ao IRDAI de determinadas funções de suporte das atividades principais dentro de 45 dias após o fechamento do exercício. A página 7 na lista de verificação da Microsoft descreve o que constitui "funções de suporte das atividades principais".

As empresas financeiras que usam serviços de nuvem também devem cumprir as regras de privacidade, incluindo as Regras de Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis e Dados Pessoais Confidenciais ou Informações), 2011 (MeitY). Desenvolvidas para fortalecer as leis de proteção de dados da Índia, essas regras regem a proteção e o tratamento de dados pessoais confidenciais.

Microsoft, RBI e IRDAI

Para ajudar a orientar as instituições financeiras na Índia que consideram terceirizar funções comerciais para a nuvem, a Microsoft publicou uma lista de verificação de conformidade para instituições financeiras na Índia. Ao revisar e concluir a lista de verificação, as organizações financeiras podem adotar serviços de nuvem de negócios da Microsoft com a confiança de que estão cumprindo os requisitos regulatórios aplicáveis.

Quando as instituições financeiras indianas terceirizam atividades comerciais para a nuvem, elas devem seguir as diretrizes do Banco de Reserva da Índia para gerenciar riscos e resolver os problemas que surgem do uso da tecnologia da informação. Eles também devem cumprir os requisitos de segurança e privacidade de dados estabelecidos pelo MeitY (Ministério da Tecnologia da Informação e Eletrônica). Além disso, as organizações de seguros devem seguir as diretrizes de terceirização publicadas pela Autoridade reguladora e de desenvolvimento de seguros da Índia (IRDAI).

A lista de verificação da Microsoft ajuda empresas financeiras na Índia que estão realizando avaliações de due-diligence dos serviços de nuvem de negócios da Microsoft e inclui:

• Visão geral do panorama normativo para o contexto.
• Uma lista de verificação que define os problemas a serem resolvidos e mapeia os serviços microsoft Azure, Microsoft Dynamics 365 e Microsoft Office 365 contra essas obrigações regulatórias. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.

Plataformas e serviços em nuvem no escopo da Microsoft

• Azure
• Dynamics 365
• Microsoft 365

Como implementar

• Lista de verificação de conformidade para a Índia: as empresas financeiras podem obter ajuda para realizar avaliações de risco dos serviços de nuvem de negócios da Microsoft.
• Casos de uso financeiro para o Azure: use visão geral de casos, tutoriais e outros recursos para criar soluções do Azure para serviços financeiros.

Perguntas frequentes

Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?

Sim. As diretrizes mencionadas acima estipulam alguns pontos específicos que as instituições financeiras devem incorporar em seus contratos de serviços de nuvem. A parte 2 da lista de verificação (página 70) mapeia-as em relação às seções nos documentos contratuais da Microsoft em que são endereçadas.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos

• Microsoft e MeitY
• Programa de Conformidade para Serviços Financeiros da Microsoft
• serviços corporativos de nuvem e serviços financeiros da Microsoft
• conformidade dos serviços financeiros no Azure
• Ferramenta de Avaliação de Risco na Nuvem de Serviços Financeiros do Azure
• Conformidade no Centro de Confiabilidade da Microsoft