加拿大金融机构监理总署 (OSFI)

关于 OSFI

加拿大金融机构监理总署 (OSFI) 是加拿大政府的一个独立机构，负责对加拿大联邦监管的金融机构和养老金计划进行审慎监管。

根据其监管角色，OSFI 针对业务活动、职能和流程外包发布了 B-10 指南。 他们为联邦监管的金融机构制定了“稳妥的做法、过程或标准”，以评估和管理与将业务外包给服务提供商相关的风险。 后续的 OSFI 备忘录，基于新技术的外包要求提醒这些机构 B-10 准则仍为现行标准，他们必须满足 OSFI 对重大外包任务的要求。

此外，金融机构使用云服务必须遵守《个人信息保护和电子文件法案》(PIPEDA)，在某些情况下，还必须遵守省级数据隐私法律。

Microsoft 和 OSFI

为了给正在考虑将业务职能外包到云的加拿大金融机构提供指导，Microsoft 发布了通往云的指导：一份针对加拿大金融机构的合规性清单。 通过查看并完成清单，金融机构可以采用 Microsoft 商业云服务，并确信它们符合适用的法规要求。

当加拿大金融机构外包业务活动时，他们必须遵守由金融机构监督总署 (OSFI) 发布的针对业务活动、职能和流程外包的 B-10 指南，以及加拿大隐私法律，包括《个人信息保护和电子文件法案》(PIPEDA)。

Microsoft 清单可对正在就 Microsoft 商业云服务进行尽职调查评估的加拿大金融公司提供帮助，包括：

• 对应用情景法规环境的概述。
• 一份清单，其中列出了要解决的问题，并将 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服务与这些法规义务进行对应。 该清单可以用作度量是否符合法规框架的工具，并提供用于记录合规性的内部结构，帮助客户自行对 Microsoft 业务云服务进行风险评估。

Microsoft 范围内的云平台和云服务

• Azure
• Dynamics 365
• Microsoft 365

如何实现

• 合规性清单：加拿大：金融企业可在对 Microsoft 云服务进行风险评估方面获得帮助。
• Microsoft 云中的隐私：获取有关 Microsoft 隐私原则和标准以及特定于加拿大的隐私法律的详细信息。
• Azure 行业用例：借助案例概述、教程和其他资源，构建适合金融服务的 Azure 解决方案。

常见问题解答

是否需获得监管批准？

否。 无需事先通知、咨询或批准。 允许使用公共云计算，但始终需遵循 OSFI 要求。

OSFI B-10 指南指出，OSFI 期望金融机构设计一个适用于其所有其外包任务的风险管理计划，以及与相关风险对应的风险缓解措施。 但是，只有重大外包任务才需要通过书面合同进行记录，以解决指南中确定的保障措施。 Microsoft 清单 第 2 部分 (第 53 页) 将这些内容与 Microsoft 合同文档中的相应部分进行映射。

在与云服务提供商签订的合同中是否必须包含所有强制性条款？

是，但前提是外包任务是一种重大外包，或者涉及将任何个人信息传输到云服务提供商。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你了解组织的合规性状况，并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板，用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。

资源

• Microsoft 金融服务合规性计划
• Microsoft 商业云服务和金融服务
• Azure 中的金融服务合规性
• Microsoft 信任中心内的合规性