加拿大金融机构监理总署 (OSFI)

关于 OSFI

加拿大金融机构监理总署 (OSFI) 是加拿大政府的一个独立机构,负责对加拿大联邦监管的金融机构和养老金计划进行审慎监管。

根据其监管角色,OSFI 针对业务活动、职能和流程外包发布了 B-10 指南。 他们为联邦监管的金融机构制定了“稳妥的做法、过程或标准”,以评估和管理与将业务外包给服务提供商相关的风险。 后续的 OSFI 备忘录,基于新技术的外包要求提醒这些机构 B-10 准则仍为现行标准,他们必须满足 OSFI 对重大外包任务的要求。

此外,金融机构使用云服务必须遵守《个人信息保护和电子文件法案》(PIPEDA),在某些情况下,还必须遵守省级数据隐私法律。

Microsoft 和 OSFI

为了给正在考虑将业务职能外包到云的加拿大金融机构提供指导,Microsoft 发布了通往云的指导:一份针对加拿大金融机构的合规性清单。 通过查看和完成清单,金融机构可以采用Microsoft商业云服务,并确信它们符合适用的法规要求。

当加拿大金融机构外包业务活动时,他们必须遵守由金融机构监督总署 (OSFI) 发布的针对业务活动、职能和流程外包的 B-10 指南,以及加拿大隐私法律,包括《个人信息保护和电子文件法案》(PIPEDA)。

Microsoft 清单可对正在就 Microsoft 商业云服务进行尽职调查评估的加拿大金融公司提供帮助,包括:

  • 对应用情景法规环境的概述。
  • 一份清单,其中列出了要解决的问题,并将 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服务与这些法规义务进行对应。 该清单可以用作度量是否符合法规框架的工具,并提供用于记录合规性的内部结构,帮助客户自行对 Microsoft 业务云服务进行风险评估。

Microsoft 范围内的云平台和云服务

如何实现

  • 合规性清单:加拿大:金融企业可在对 Microsoft 云服务进行风险评估方面获得帮助。
  • Microsoft 云中的隐私:获取有关 Microsoft 隐私原则和标准以及特定于加拿大的隐私法律的详细信息。
  • Azure 行业用例:借助案例概述、教程和其他资源,构建适合金融服务的 Azure 解决方案。

常见问题解答

是否需获得监管批准?

否。 无需事先通知、咨询或批准。 允许使用公共云计算,但始终需遵循 OSFI 要求。

OSFI B-10 指南指出,OSFI 期望金融机构设计一个适用于其所有其外包任务的风险管理计划,以及与相关风险对应的风险缓解措施。 但是,只有重大外包任务才需要通过书面合同进行记录,以解决指南中确定的保障措施。 Microsoft 清单 第 2 部分 (第 53 页) 将这些内容与Microsoft合同文档中的各部分进行映射。

在与云服务提供商签订的合同中是否必须包含所有强制性条款?

是,但前提是外包任务是一种重大外包,或者涉及将任何个人信息传输到云服务提供商。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源