Australian Prudential Regulation Authority (APRA)

Panoramica di APRA

L'Australian Prudential Regulation Authority (APRA) supervisiona banche, unioni di credito, compagnie assicurative e altri istituti di servizi finanziari in Australia. Riconoscendo lo slancio verso il cloud computing, APRA ha invitato le entità regolamentate a implementare una strategia di adozione del cloud ponderata con governance efficace, valutazione approfondita dei rischi e processi di garanzia regolari. Gli istituti regolamentati devono rispettare l'esternalizzazione CPS 231 di APRA Prudential Standard quando esternalizzare un'attività aziendale materiale, qualsiasi attività che abbia il potenziale, se interrotta, di avere un impatto significativo sulle operazioni aziendali dell'istituto finanziario o sulla capacità di gestire i rischi in modo efficace. Sulla base della revisione degli accordi di esternalizzazione che coinvolgono i servizi di cloud computing inviati ad APRA, APRA ha pubblicato linee guida specifiche e dettagliate nel documento informativo, Esternalizzazione che coinvolge servizi di cloud computing per aiutare le entità regolamentate a valutare i provider e i servizi cloud in modo più efficace e a guidarli attraverso i problemi normativi dell'esternalizzazione al cloud. Quando si esegue l'esternalizzazione, anche a un servizio cloud, gli istituti regolamentati devono anche esaminare e considerare la conformità costante con APRA Prudential Standard CPS 234 Information Security.

Microsoft e APRA

Per gli istituti finanziari in Australia che valutano i provider di servizi cloud e i relativi servizi, Microsoft ha pubblicato:

Insieme dimostrano in che modo le società finanziarie possono spostare dati e carichi di lavoro in Microsoft Azure con la certezza che siano conformi alle normative e alle linee guida dell'Australian Prudential Regulation Authority (APRA).

Per informazioni sui vantaggi dei servizi finanziari conformi ad APRA in Azure, vedere l'articolo Regtech meets Fintech: Perpetual and Microsoft transform the finance sector (Regtech incontra Fintech: Perpetual and Microsoft transform the finance sector ).

Risposta microsoft al documento informativo APRA sul cloud

Questo documento microsoft fornisce indicazioni dettagliate per i servizi finanziari con una risposta dettagliata a ogni problema sollevato nell'outsourcing del documento informativo APRA che coinvolge i servizi di cloud computing. Le linee guida APRA identificano tre categorie di rischio in cui l'utilizzo del cloud in genere rientra, ovvero un rischio intrinseco basso, aumentato ed estremo, ed evidenziano i problemi chiave che le entità regolamentate devono considerare come parte della valutazione dei rischi.

La risposta Microsoft è incentrata sulle due categorie di rischio più elevate. Anche se i servizi cloud non sono vietati da alcuna categoria di rischio, APRA prevede di intraprendere un livello di diligenza superiore e si dovrebbe prevedere un livello crescente di controllo APRA, man mano che si alzano le categorie di rischio. APRA elenca una gamma di fattori che in genere indicano un rischio intrinseco elevato o estremo per l'esternalizzazione del cloud. Microsoft affronta ognuno di questi fattori in modo approfondito, fornendo informazioni e strumenti che consentono di valutare e gestire il rischio di spostare dati e carichi di lavoro in Azure.

Microsoft affronta anche ogni considerazione sulla gestione dei rischi APRA: strategia, governance, processo di selezione della soluzione, accesso e capacità di agire APRA, approccio di transizione, valutazioni e sicurezza dei rischi, supervisione continua, interruzioni aziendali e controllo e garanzia. Punto per punto, offriamo consigli e strumenti per rispondere a ogni problema durante la distribuzione di Azure.

Ottenere supporto pratico per lo spostamento di dati e carichi di lavoro in Azure in conformità alle normative APRA: scaricare la risposta Microsoft al documento informativo APRA sul cloud.

Risposta Microsoft all'APRA CPS 234 su Information Security

APRA Prudential Standard CPS 234 Information Security richiede agli istituti regolamentati di:

  • definire chiaramente i ruoli e le responsabilità correlati alla sicurezza delle informazioni;
  • mantenere una funzionalità di sicurezza delle informazioni commisurata alle dimensioni e all'entità delle minacce agli asset di informazioni;
  • implementare controlli per proteggere gli asset di informazioni e condurre regolari test e garanzie dell'efficacia dei controlli; E
  • notificare tempestivamente ad APRA gli eventi imprevisti di sicurezza delle informazioni materiali.

CPS 234 rispecchia da vicino il framework di sicurezza Microsoft principale: proteggere, rilevare e rispondere.

Servizi cloud Microsoft: la conformità con APRA Prudential Standard CPS 234 Information Security definisce ognuno degli obblighi normativi pertinenti di CPS 234 e ne esegue il mapping ai controlli, alle funzionalità, alle funzioni, agli impegni contrattuali e alle informazioni di supporto per consentire all'entità regolamentata APRA di rispettare gli obblighi normativi previsti da CPS 234.

Questo elenco di controllo Microsoft introduce i requisiti normativi APRA che le aziende finanziarie devono soddisfare quando si passa al cloud. Azure viene mappato non solo all'esternalizzazione di Prudential Standard CPS 231, ma anche ad altri standard APRA pertinenti, ad esempio per la continuità aziendale e la gestione dei rischi. Il completamento di questo elenco di controllo consente agli istituti di servizi finanziari di adottare Azure con la certezza che soddisfi i requisiti APRA pertinenti.

Affidandoci al nostro approccio completo alla garanzia dei rischi nel cloud, siamo certi che le organizzazioni australiane di servizi finanziari possano passare ai servizi cloud Microsoft in modo non solo coerente con le linee guida APRA, ma possono fornire ai clienti un profilo di gestione dei rischi di sicurezza più avanzato rispetto a quello locale o ad altre soluzioni ospitate.

Ottenere supporto pratico per lo spostamento di dati e carichi di lavoro in Azure in conformità alle normative APRA: Scaricare i servizi cloud Microsoft: un elenco di controllo di conformità per gli istituti finanziari in Australia.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Office 365 e APRA

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Exchange Online Protection, Exchange Online, Portale per i clienti di Office 365, Office Online, Infrastruttura del servizio di Office, OneDrive for Business, SharePoint Online, Skype for Business

Domande frequenti

Gli istituti finanziari hanno bisogno dell'approvazione APRA prima di esternalizzare le attività aziendali materiali?

No. Tuttavia, la maggior parte delle organizzazioni finanziarie regolamentate deve notificare ad APRA dopo aver stipulato accordi per esternalizzare le attività commerciali materiali all'interno dell'Australia o consultarsi con APRA prima di esternalizzare tali attività al di fuori dell'Australia.

Inoltre, se i servizi cloud sono considerati "rischio intrinseco elevato o estremo", come descritto nel documento informativo APRA sui cloud, l'istituto finanziario è incoraggiato (ma non obbligatorio) a consultare APRA, indipendentemente dal fatto che il servizio sia fornito all'interno o all'esterno dell'Australia.

I trasferimenti di dati al di fuori dell'Australia sono consentiti?

Sì. La legislazione generale sulla privacy (che si applica in tutti i settori, non solo agli istituti finanziari) consente trasferimenti al di fuori dell'Australia in determinate condizioni. Microsoft accetta termini contrattuali in linea con i principi australiani sulla privacy in modo che i trasferimenti di dati al di fuori dell'Australia siano consentiti quando si usano i servizi cloud Microsoft. Tuttavia, molti dei nostri clienti di servizi finanziari australiani sfruttano i servizi cloud disponibili dai data center australiani, per i quali prendiamo impegni contrattuali specifici per archiviare categorie di dati inattivi nella geografia australiana. Questi impegni sono descritti ulteriormente nell'elenco di controllo di conformità.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse