Резервный банк Индии (RBI) и Управление по регулированию и развитию страхования Индии (IRDAI)

Сведения о RBI и IRDAI

Резервный банк Индии (RBI), центральное банковское учреждение Индии, Управление по регулированию и развитию страхования Индии (IRDAI) и Министерство электроники и информационных технологий (MeitY) составляют три ключевых регулятора финансовой отрасли, которые контролируют банки, страховые организации и институты рыночной инфраструктуры. Их директивы включают в себя рекомендации по аутсорсингу и управлению рисками, а также требования к соблюдению правил конфиденциальности, регулирующих конфиденциальные данные.

Руководство по аутсорсингу и управлению рисками включает в себя:

• Руководящие принципы по управлению рисками и кодекс поведения при аутсорсинге финансовых услуг банками (RBI) касаются рисков, которым подвергаются регулируемые банки при аутсорсинге финансовых услуг, и помогают гарантировать, что аутсорсинг не препятствует надзорной роли RBI. RBI не требует предварительного утверждения для банков, стремящихся передать финансовые услуги на аутсорсинг; однако основные банковские функции, такие как внутренний аудит и функции соответствия требованиям, не должны передаваться на внешний подряд.
• Рекомендации по информационной безопасности, электронным банковским операциям, управлению технологическими рисками и кибер-мошенничествам (RBI). Финансовые учреждения должны сообщать о механизмах аутсорсинга, в которых масштабы и характер деятельности являются значительными или требуют широкого обмена данными с поставщиками услуг за пределами Индии. Это руководство применяется, в частности, если операционные данные хранятся или обрабатываются за пределами Индии.
• Аутсорсинг деятельности индийскими страховщиками ( IRDAI). Каждый год страховые организации обязаны сообщать об аутсорсинге IRDAI о некоторых вспомогательных функциях основной деятельности в течение 45 дней с закрытия финансового года. На странице 7 в контрольном списке Майкрософт описывается, что представляет собой "функции поддержки основных действий".

Финансовые компании, использующие облачные службы, также должны соблюдать правила конфиденциальности, включая правила информационной технологии (разумные методы и процедуры безопасности и конфиденциальные персональные данные или информация), 2011 (MeitY). Эти правила, разработанные для укрепления законов о защите данных в Индии, регулируют защиту и обработку конфиденциальных персональных данных.

Microsoft, RBI и IRDAI

Чтобы помочь финансовым учреждениям в Индии рассмотреть возможность аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала контрольный список соответствия для финансовых учреждений в Индии. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.

Когда индийские финансовые учреждения передают бизнес-деятельность в облако, они должны следовать рекомендациям Резервного банка Индии по управлению рисками и решению проблем, возникающих в ходе использования информационных технологий. Они также должны соблюдать требования к безопасности и конфиденциальности данных, установленные Министерством электроники и информационных технологий (MeitY). Кроме того, страховые организации должны следовать рекомендациям по аутсорсингу, опубликованным Управлением по регулированию и развитию страхования Индии (IRDAI).

Контрольный список Майкрософт помогает финансовым фирмам в Индии, которые проводят оценку надлежащей осмотрительности облачных служб Майкрософт для бизнеса, и включает в себя:

• Обзор нормативно-правовой среды для соответствующего контекста.
• Контрольный список, который определяет проблемы, которые необходимо решить, и сопоставляет Microsoft Azure, Microsoft Dynamics 365 и службы Microsoft Office 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure
• Dynamics 365
• Microsoft 365

Методика реализации

• Контрольный список соответствия требованиям для Индии. Финансовые фирмы могут получить помощь в проведении оценки рисков в облачных службах Майкрософт для бизнеса.
• Варианты использования финансовых ресурсов Azure. Обзор вариантов использования, учебники и другие ресурсы для создания решений Azure для финансовых служб.

Вопросы и ответы

Существуют ли обязательные условия, которые требуется включать в договор с поставщиком облачных служб?

Да. В указанных выше руководящих принципах определены некоторые конкретные моменты, которые финансовые учреждения должны включать в свои контракты на облачные службы. Часть 2 контрольного списка (страница 70) сопоставляет их с разделами договорных документов Майкрософт, в которых они рассматриваются.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

• Microsoft и MeitY
• Программа соответствия финансовых услуг Microsoft Financial Services Compliance Program
• Облачные службы Майкрософт для бизнеса и финансовые услуги
• Соответствие финансовых услуг требованиям в Azure
• Средство оценки облачных рисков для финансовых услуг в Azure
• Соответствие требованиям в центре управления безопасностью Майкрософт