Autoridade Monetária de Singapura (MAS) e Associação de Bancos em Singapura (ABS)
Visão geral da MAS e da ABS
Autoridade Monetária de Singapura (MAS)
A Autoridade Monetária de Cingapura (MAS), única reguladora bancária em Cingapura e seu banco central, emitiu suas Diretrizes de Gerenciamento de Riscos de Tecnologia. Nas diretrizes, a MAS estabeleceu suas expectativas em relação à terceirização de serviços de nuvem por instituições financeiras em Singapura, incluindo bancos, seguradoras e empresas fiduciárias. Ela foi o resultado de uma discussão iniciada em outubro de 2014 que abrangeu todo o setor e incluiu a participação da Microsoft.
As Diretrizes de MAS simplificam substancialmente o processo de adoção de tecnologia, fornecem clareza sobre as expectativas do regulador e abordam muitos dos equívocos que anteriormente retardavam a adoção de soluções em nuvem pelo setor financeiro.
Além disso, as diretrizes são inequívocas em seu apoio ao uso de serviços de nuvem, incluindo uma nuvem pública, por instituições financeiras e que elas podem se beneficiar disso. Eles eliminaram a expectativa de que as instituições financeiras notificariam o MAS antes de quaisquer compromissos significativos de terceirização de materiais. Em vez disso, espera-se que as instituições regulamentadas pela MAS refinem sua abordagem baseada em risco ao avaliar a terceirização material e realizem uma autoavaliação de todos os acordos de terceirização tendo essas diretrizes como base. (Por enquanto, essas diretrizes não são legalmente vinculativas, mas o MAS indicou que emitirá um aviso estatutário no futuro.)
Associação de Bancos em Singapura (ABS)
Logo após o lançamento das Diretrizes da MAS sobre o Gerenciamento de risco da terceirização, a ABS, uma organização sem fins lucrativos que representa os interesses de bancos locais e estrangeiros que operam em Singapura (mas não outras instituições financeiras), introduziu um guia prático não vinculativo, o Guia de implementação da computação em nuvem. Ele foi projetado para ajudar os bancos a implementar arranjos de terceirização seguindo diretrizes de MAS.
Microsoft MAS e ABS
Com o endosso da computação em nuvem, incluindo o uso de nuvens públicas, pela Autoridade Monetária de Cingapura (MAS) e o apoio da Associação de Bancos em Cingapura (ABS), a Microsoft publicou a resposta da Microsoft às diretrizes de terceirização de MAS e ao ABS e uma Lista de Verificação de Conformidade para instituições financeiras em Cingapura. Juntos, eles demonstram como as empresas financeiras podem mover dados e cargas de trabalho para o Microsoft Cloud com a confiança de que estão cumprindo as diretrizes de MAS e concluir uma autoavaliação de seus arranjos de terceirização em relação às novas diretrizes.
A resposta da Microsoft às Diretrizes da MAS e da ABS oferece às empresas financeiras uma visão geral dos principais problemas levantados pelas Diretrizes da MAS e o Guia da ABS uma vez que eles se aplicam a serviços de nuvem, as interpretações e respostas da Microsoft a cada um dos principais problemas, e detalhes sobre como a Microsoft pode ajudar a facilitar o cumprimento das diretrizes da MAS. As diretrizes da MAS e da ABS são abordadas separadamente.
A resposta da Microsoft às Diretrizes da MAS concentra-se nas recomendações da MAS para práticas recomendadas cautelosas de gerenciamento de risco da terceirização. Ela oferece uma descrição detalhada de como a Microsoft tem as políticas, ferramentas e processos corretos para ajudar você a avaliar os riscos, fornece listas de verificação para ajudá-lo a avaliar nossos serviços corporativos de nuvem e descreve os processos para controles internos e de governança.
A resposta da Microsoft ao Guia da ABS concentra-se nas Seções 3 e 4.
- A Seção 3 baseia-se nos requisitos de diligência prévia e gerenciamento de fornecedores das Diretrizes da MAS, abordando com mais detalhes assuntos como considerações contratuais. Oferecemos informações detalhadas sobre as ferramentas de gerenciamento de fornecedores da Microsoft e a assistência que podemos oferecer durante a avaliação da diligência prévia.
- A seção 4 recomenda um conjunto de principais controles de linha de base, da criptografia à penetração e ao gerenciamento de vulnerabilidades, que os provedores de serviços de nuvem devem ter em vigor ao trabalhar com bancos. Descreveremos como nossos controles abordam as questões de segurança de cada um dos controles especificados.
Obtenha suporte prático para migrar dados e cargas de trabalho para o Microsoft Cloud em conformidade com as Diretrizes da MAS
Lista de verificação de conformidade para instituições financeiras em Singapura
Este documento inclui uma visão geral do cenário regulatório, apresentando os requisitos relevantes de Singapura e uma lista de verificação de conformidade que exibe os problemas regulatórios que precisam ser abordados, e mapeia os serviços de nuvem da Microsoft tendo esses problemas como base. Ao revisar e concluir a lista de verificação ponto a ponto, as instituições financeiras podem adotar os serviços de nuvem da Microsoft com confiança de que estão cumprindo os requisitos relevantes em Cingapura.
Ao confiar em nossa abordagem abrangente para a garantia de risco na nuvem, estamos confiantes de que as instituições financeiras em Cingapura podem migrar para o Microsoft Cloud de uma maneira consistente com as Diretrizes de MAS e o Guia ABS, ao mesmo tempo em que fornecem um perfil de gerenciamento de risco de segurança mais avançado do que muitas soluções locais.
Obtenha suporte prático para migrar dados e cargas de trabalho para o Microsoft Cloud em conformidade com as Diretrizes da MAS
Baixe a Lista de verificação de conformidade para instituições financeiras em Singapura
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Intune
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
- Office 365
Perguntas frequentes
A aprovação regulatória é necessária?
Não, não há nenhum requisito para notificação prévia, consulta ou aprovação de arranjos de terceirização. No entanto, o MAS espera que as instituições financeiras estejam prontas para demonstrar como cumprem e notificar o MAS o mais rápido possível de desenvolvimentos adversos decorrentes dos arranjos de terceirização de uma instituição financeira, por exemplo, um incidente de violação de dados.
O que é uma disposição de terceirização “material” e por que a definição é importante?
Um acordo de terceirização será "material" se uma falha ou violação de serviço tiver o potencial de afetar materialmente as operações comerciais de uma empresa financeira ou a capacidade de gerenciar riscos e cumprir as leis e regulamentos aplicáveis; ou se envolve informações do cliente e, no caso de qualquer acesso ou divulgação não autorizado, perda ou roubo de informações do cliente, tem um impacto material sobre os clientes de uma empresa. A definição de 'informações do cliente' exclui expressamente as informações criptografadas com segurança.
Essa definição é importante, uma vez que determinadas disposições de Diretrizes de Terceirização de MAS se aplicam apenas a "arranjos de terceirização de material". Isso inclui a obrigação de realizar revisões anuais, cláusulas contratuais obrigatórias que tratam dos direitos de auditoria e garantir que a terceirização fora de Cingapura não afete os esforços de supervisão de MAS.
Recursos
- Diretrizes da MAS sobre o Gerenciamento de risco da terceirização
- Diretrizes de Gerenciamento de Riscos da Tecnologia MAS
- Perguntas frequentes sobre as Diretrizes da MAS sobre terceirização
- Guia de implementação da computação em nuvem da ABS 1.1
- Aprendendo a navegar até a nuvem: A resposta da Microsoft às Diretrizes de terceirização da MAS e o Guia de implementação da nuvem da ABS**
- Lista de verificação de conformidade da Microsoft