Управление ревизора финансовых учреждений (OSFI) Канады

Сведения о OSFI

Управление ревизора финансовых учреждений (OSFI) — это независимое агентство правительства Канады, ответственное за разумное регулирование и контроль финансовых учреждений, подлежащих федеральному управлению, и пенсионных планов в Канаде.

В качестве контрольного органа OSFI опубликовало руководство B-10 для аутсорсинга бизнес-действий, функций и процессов. Оно устанавливает "рациональные методы, процедуры и стандарты" для финансовых учреждений, подлежащих федеральному управлению, с целью оценки и управления рисками, связанными с выполнением их бизнес-операций поставщиком услуг. В последующем меморандуме OSFI Новые технологические требования к аутсорсингу этим учреждениям напоминается, что руководство B-10 остается актуальным и что они должны соответствовать ожиданиям OSFI в отношении существенных соглашений аутсорсинга.

Кроме того, использование облачных служб финансовыми учреждениями должно соответствовать Закону о защите личных сведений и электронных документов (PIPEDA), а в некоторых случаях — законам провинций о конфиденциальности данных.

Майкрософт и OSFI

Чтобы предоставить инструкции финансовым учреждениям Канады в отношении аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала документ Переход на облачные технологии. Контрольный список по соответствию требованиям для финансовых учреждений в Канаде. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.

Если канадские финансовые учреждения передают на аутсорсинг бизнес-действия, они должны соответствовать руководству B-10 для аутсорсинга бизнес-действий, функций и процессов, опубликованному Управлением ревизора финансовых учреждений (OSFI), а также канадским законам о защите конфиденциальности, включая Закон о защите личных сведений и электронных документов (PIPEDA).

Контрольный список Майкрософт помогает канадским финансовым организациям проводить комплексную оценку облачных служб Майкрософт и включает следующее:

• Обзор нормативно-правовой среды для соответствующего контекста.
• Контрольный список, в котором определены проблемы, требующие решения, и сопоставлены службы Microsoft Azure, Microsoft Dynamics 365 и Microsoft 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure
• Dynamics 365
• Microsoft 365

Методика реализации

• Контрольный список соответствия требованиям: Канада. Финансовые организации могут получить помощь при проведении оценки рисков в облачных службах Майкрософт для бизнеса.
• Конфиденциальность в Microsoft Cloud. Получение сведений о принципах и стандартах конфиденциальности Майкрософт и о законах защиты конфиденциальности в Канаде.
• Отраслевые варианты использования для Azure. Обзоры вариантов использования, учебные руководства и другие ресурсы для создания решений Azure для сферы финансовых услуг.

Вопросы и ответы

Требуется ли утверждение контролирующих органов?

Нет. Предварительное уведомление, консультации или утверждение не требуется. Использование общедоступного облака разрешено при условии постоянного соответствия требованиям OSFI.

Руководство B-10 OSFI указывает, что OSFI ожидает от финансового учреждения создания программы управления рисками, применяемой ко всем соглашениям аутсорсинга, с использованием мер снижения соответствующих рисков. Однако только существенные соглашения аутсорсинга требуется составлять в виде письменного договора, учитывающего меры защиты, указанные в руководстве. Часть 2 контрольного списка Майкрософт (страница 53) сопоставляет их с разделами договорных документов Майкрософт, в которых они рассматриваются.

Существуют ли обязательные условия, которые требуется включать в договор с поставщиком облачных служб?

Да, но только в том случае, если это существенное соглашение аутсорсинга или оно предусматривает любую передачу личных сведений поставщику облачных служб.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

• Программа соответствия финансовых услуг Microsoft Financial Services Compliance Program
• Облачные службы Майкрософт для бизнеса и финансовые услуги
• Соответствие финансовых услуг требованиям в Azure
• Соответствие требованиям в центре управления безопасностью Майкрософт