加拿大金融機構監理總署 (OSFI)
關於 OSFI
金融機構監理總署 (OSFI) 是一個加拿大政府的獨立機關,負責加拿大聯邦管控金融機構和退休金計劃的審慎法規及監管。
在其監管下,OSFI 發佈了針對業務活動、功能和流程委外的 B-10 準則。 他們為聯邦管控的金融機構建立了「審慎做法、程序或標準」,以評估和管理與委外其業務給服務提供者相關的風險。 一項後續 OSFI 備忘錄─新技術委外需求─提醒這些機構 B-10 準則仍保持有效,且他們必須符合 OSFI 重大委外安排的期待。
此外,由金融機構所使用的雲端服務須符合個人資訊保護和電子文件法 (PIPEDA),或在某些情況下,則為省資料隱私權法。
Microsoft 和 OSFI
為了協助指導加拿大的金融機構考慮將業務功能委外至雲端,Microsoft 發佈了雲端之路導覽:加拿大金融機構合規檢查清單。 藉由檢閱並完成檢查清單,金融組織可以採用Microsoft商務雲端服務,並確信它們符合適用的法規需求。
當加拿大金融機構委外業務活動時,他們必須符合由金融機構監理總署 (OSFI) 發佈之針對業務活動、功能和流程委外的 B-10 準則,以及加拿大隱私權法,包括個人資訊保護和電子文件法 (PIPEDA)。
Microsoft 檢查清單可協助加拿大金融公司執行 Microsoft 商務用雲端服務的審慎評估,包括:
- 內容的規章環境概述。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內雲端平台與服務
實施方式
- 合規檢查清單:加拿大:金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
- Microsoft 雲端中的隱私權:取得有關 Microsoft 隱私權原則和標準,以及有關加拿大特定隱私權法的詳細資訊。
- Azure 的業界使用案例:使用案例概述、教程及其他資源建立適用於金融服務的 Azure 解決方案。
常見問題集
需要法規批准嗎?
否。 不需要事先通知、諮詢或核准。 您可以使用公開雲端計算,且永遠都需符合 OSFI 的要求。
OSFI B-10 準則表示 OSFI 預期金融機構設計適用於其所有委外安排的風險管理計劃,且其風險緩解與相關風險相對應。 不過,只有重大委外的安排必須有書面合約的記錄,且提及準則中所述的安全措施。 第 53 頁 (Microsoft 檢查清單 的第 2 部分) 會將這些項目對應至Microsoft合約檔中尋址的章節。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是,但僅限委外安排為重大委外,或涉及將個人資訊傳送到雲端服務提供者的情況。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。