Ufficio del sovrintendente delle istituzioni finanziarie (OSFI) del Canada

Informazioni sull'OSFI

L' Ufficio del sovrintendente delle istituzioni finanziarie (OSFI) è un'agenzia indipendente del governo canadese, responsabile della regolamentazione e supervisione prudenziale delle istituzioni finanziarie e dei programmi di pensionamento, regolati a livello federale in Canada.

Nel suo ruolo di supervisione l'OSFI ha pubblicato le linee guida B-10 per l'Esternalizzazione delle attività, delle funzioni e dei processi aziendali. In esse, sono state fissati gli ‘standard, pratiche o procedure prudenziali’ per consentire alle istituzioni finanziarie regolate a livello federale di valutare e gestire i rischi associati all'esternalizzazione delle loro attività a un provider di servizi. In un successivo memorandum denominato Nuovi requisiti di esternalizzazione basati sulla tecnologia, l'OSFI ha sottolineato la validità delle linee guida B-10 e stabilito che le istituzioni devono soddisfare i requisiti OSFI relativi agli accordi di esternalizzazione dei materiali.

Inoltre, l'uso dei servizi cloud per le istituzioni finanziarie deve essere conforme al Personal Information Protection e Electronic Documents Act (PIPEDA) e, in alcuni casi, alle normative provinciali sulla privacy dei dati.

Microsoft e OSFI

Per aiutare le istituzioni finanziarie in Canada a valutare l'esternalizzazione delle funzioni aziendale nel cloud, Microsoft ha pubblicato Orientarsi nel cloud: un elenco di controllo della conformità per le istituzioni finanziarie in Canada. Esaminando e completando l'elenco di controllo, le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza che siano conformi ai requisiti normativi applicabili.

Quando le istituzioni finanziarie canadesi esternalizzano le attività aziendali, devono conformarsi alle linee guida B-10 per l'Esternalizzazione delle attività, delle funzioni e dei processi aziendali pubblicate dall'Ufficio del sovrintendente delle istituzioni finanziarie (OSFI), oltre alle leggi sulla privacy canadesi, tra cui il Personal Information Protection e Electronic Documents Act (PIPEDA).

L'elenco di controllo Microsoft consente alle società finanziarie canadesi di svolgere valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:

  • Informazioni generali sul panorama regolatorio del contesto.
  • Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Come implementare

Domande frequenti

È richiesta l'approvazione da parte delle autorità competenti?

No. Non sono previsti requisiti per la notifica preliminare, la consultazione o l'approvazione. È consentito l'uso di cloud computing pubblico, sempre nel rispetto dei requisiti dell'OSFI.

Le linee guida B-10 dell'OSFI prevedono che un'istituzione finanziaria progetti un programma di gestione dei rischi applicabile a tutte le disposizioni di esternalizzazione, con una riduzione dei rischi commisurata ai rischi associati. Tuttavia, solo le disposizioni relative all'esternalizzazione dei materiali devono essere documentare da un contratto scritto con le misure di sicurezza identificate nelle linee guida. La parte 2 dell'elenco di controllo Microsoft (pagina 53) esegue il mapping di questi elementi alle sezioni dei documenti contrattuali Microsoft in cui sono indirizzati.

Devono essere incluse condizioni obbligatorie nel contratto con il provider dei servizi cloud?

Sì, ma solo se la disposizione di esternalizzazione è relativa ai materiali o se si tratta di un trasferimento di informazioni personali al provider di servizi cloud.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse