Escritório do Superintendente de Instituições Financeiras (OSFI), Canadá

Sobre o OSFI

O Escritório de Superintendência de instituições Financeiras (OSFI) é uma agência independente do governo do Canadá responsável pela regulamentação prudencial e pela supervisão de instituições financeiras e de planos de pensão regulados federalmente no Canadá.

Na sua função de supervisão, o OSFI publicou as Diretrizes B-10 paraTerceirização de Atividades, Funções e Processos de Negócios. Eles estabeleceram "práticas procedimentos ou padrões seguros" que as instituições financeiras reguladas federalmente devem seguir para avaliar e gerenciar o risco associado à terceirização do seus negócios para um provedor de serviços. Um memorando subsequente do OSFI, Novos requerimentos de terceirização baseados em tecnologia, relembrou às instituições que as diretrizes B-10 continuam válidas e que as expectativas do OSFI relativas aos acordos de terceirização de atividades importantes devem ser atendidas.

Além disso, o uso de serviços de nuvem por instituições financeiras deve ser compatível com a Lei de Proteção às Informações Pessoais e Documentos Eletrônicos (PIPEDA) e, em alguns casos, com as leis provinciais de privacidade de dados.

Microsoft e OSFI

Para ajudar a orientar as instituições financeiras do Canadá, considerando a terceirização de funções de negócios para a nuvem, a Microsoft publicou Navegando através da nuvem: uma lista de verificação de conformidade para instituições financeiras canadenses. Ao rever e concluir a lista de verificação, as organizações financeiras podem adotar serviços cloud empresariais da Microsoft com a confiança de que estão a cumprir os requisitos regulamentares aplicáveis.

Quando as instituições financeiras canadenses terceirizam as atividades de negócios, elas devem agir em conformidade com as diretrizes B-10 para Terceirização de Atividades, Funções e Processos de Negócios publicadas pelo escritório de Superintendência de Instituições Financeiras (OSFI), assim como com as leis de privacidade canadenses, incluindo a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA).

A lista de verificação da Microsoft ajuda as instituições financeiras do Canadá a realizar avaliações de auditoria detalhadas dos serviços corporativos de nuvem da Microsoft e inclui:

• Uma visão geral do panorama normativo para o contexto.
• Uma lista de verificação que define as questões a serem abordadas e os mapas dos serviços do Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 dessas obrigações normativas. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.

Plataformas e serviços em nuvem no escopo da Microsoft

• Azure
• Dynamics 365
• Microsoft 365

Como implementar

• Lista de verificação de conformidade: Canadá: As instituições financeiras podem obter ajuda na realização de avaliações de risco dos serviços corporativos de nuvem da Microsoft.
• Privacidade na nuvem da Microsoft: obtenha detalhes sobre os princípios e normas de privacidade da Microsoft e sobre as leis de privacidade específicas do Canadá.
• Casos de uso do setor financeiro para o Azure: visões gerais de casos de uso, tutoriais e outros recursos para criar soluções Azure para serviços financeiros.

Perguntas frequentes

A aprovação regulatória é necessária?

Não. Não existe nenhum requisito para notificação, consulta ou aprovação prévia. O uso da computação em nuvem pública é permitido, sujeito sempre à conformidade com os requisitos do OSFI.

As Diretrizes G-10 do OSFIindicam que o OSFI espera que uma instituição financeira crie um programa de gerenciamento de riscos que se aplique a todas os seus contratos de terceirização, com redução de risco proporcional aos riscos associados. No entanto, somente as disposições de terceirização de atividades fundamentais devem ser documentadas por um contrato escrito que aborde as proteções identificadas nas diretrizes. A parte 2 da lista de verificação da Microsoft (página 53) mapeia estas secções em documentos contratuais da Microsoft nos quais são endereçados.

Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?

Sim, mas apenas se o acordo de terceirização envolve terceirização de atividade fundamental ou envolve qualquer transferência de informações pessoais para o provedor de serviços de nuvem.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos

• Programa de Conformidade para Serviços Financeiros da Microsoft
• serviços corporativos de nuvem e serviços financeiros da Microsoft
• conformidade dos serviços financeiros no Azure
• Conformidade na Central de Confiabilidade da Microsoft