加拿大金融機構監理總署 (OSFI)

關於 OSFI

金融機構監理總署 (OSFI) 是一個加拿大政府的獨立機關，負責加拿大聯邦管控金融機構和退休金計劃的審慎法規及監管。

在其監管下，OSFI 發佈了針對業務活動、功能和流程委外的 B-10 準則。 他們為聯邦管控的金融機構建立了「審慎做法、程序或標準」，以評估和管理與委外其業務給服務提供者相關的風險。 一項後續 OSFI 備忘錄─新技術委外需求─提醒這些機構 B-10 準則仍保持有效，且他們必須符合 OSFI 重大委外安排的期待。

此外，由金融機構所使用的雲端服務須符合個人資訊保護和電子文件法 (PIPEDA)，或在某些情況下，則為省資料隱私權法。

Microsoft 和 OSFI

為了協助指導加拿大的金融機構考慮將業務功能委外至雲端，Microsoft 發佈了雲端之路導覽：加拿大金融機構合規檢查清單。 藉由檢閱並完成檢查清單，金融組織可以採用 Microsoft 商務雲端服務，並確信其符合適用的法規需求。

當加拿大金融機構委外業務活動時，他們必須符合由金融機構監理總署 (OSFI) 發佈之針對業務活動、功能和流程委外的 B-10 準則，以及加拿大隱私權法，包括個人資訊保護和電子文件法 (PIPEDA)。

Microsoft 檢查清單可協助加拿大金融公司執行 Microsoft 商務用雲端服務的審慎評估，包括：

• 內容的規章環境概述。
• 檢查清單，其中提出要解決的問題，並根據法規規定，將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具，以根據法規架構評定合規性，提供記錄合規性的內部結構，並協助客戶自行進行 Microsoft 商務雲端服務風險評估。

Microsoft 範圍內雲端平台與服務

• Azure
• Dynamics 365
• Microsoft 365

實施方式

• 合規檢查清單：加拿大：金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
• Microsoft 雲端中的隱私權：取得有關 Microsoft 隱私權原則和標準，以及有關加拿大特定隱私權法的詳細資訊。
• Azure 的業界使用案例：使用案例概述、教程及其他資源建立適用於金融服務的 Azure 解決方案。

常見問題集

需要法規批准嗎？

否。 不需要事先通知、諮詢或核准。 您可以使用公開雲端計算，且永遠都需符合 OSFI 的要求。

OSFI B-10 準則表示 OSFI 預期金融機構設計適用於其所有委外安排的風險管理計劃，且其風險緩解與相關風險相對應。 不過，只有重大委外的安排必須有書面合約的記錄，且提及準則中所述的安全措施。 Microsoft 檢查清單 第 53 頁 (第 2 部分) 會將這些內容對應至 Microsoft 合約文件中處理這些數據的章節。

在與雲端服務提供者的合約中，是否必須包含任何強制性條款？

是，但僅限委外安排為重大委外，或涉及將個人資訊傳送到雲端服務提供者的情況。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• Microsoft 金融服務合規性計劃
• Microsoft 商務用雲端服務與金融服務
• Azure 的金融服務合規性
• Microsoft 信任中心的合規性