Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Über OSFI
Das Office of the Superintendent of Financial Institutions (OSFI) ist eine unabhängige Behörde der kanadischen Regierung. Es reguliert und beaufsichtigt staatlich regulierte Finanzinstitute und Rentenpläne in Kanada.
In seiner Aufsichtsfunktion hat OSFI die Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen veröffentlicht. Sie etablierten „umsichtige Praktiken, Verfahren oder Standards“ für staatlich regulierte Finanzinstitute, um das mit der Auslagerung ihres Geschäfts an einen Dienstleister verbundene Risiko zu bewerten und zu steuern.
Darüber hinaus muss die Nutzung von Cloud-Diensten durch Finanzinstitute in Übereinstimmung mit dem Personal Information Protection and Electronic Documents Act (PIPEDA) und in einigen Fällen mit den Datenschutzgesetzen der Provinzen erfolgen.
Microsoft und OSFI
Um Finanzinstitute in Kanada bei der Auslagerung von Geschäftsfunktionen in die Cloud zu unterstützen, veröffentlichte Microsoft Navigation in die Cloud: Eine Compliance-Checkliste für Finanzinstitute in Kanada. Durch das Überprüfen und Ausfüllen der Checkliste können Finanzorganisationen Microsoft Business Cloud Services mit der Gewissheit einführen, dass sie die geltenden gesetzlichen Anforderungen erfüllen.
Wenn kanadische Finanzinstitute Geschäftsaktivitäten outsourcen, müssen sie die vom Office of the Superintendent of Financial Institutions (OSFI) veröffentlichten Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen sowie die kanadischen Datenschutzgesetze, einschließlich des Personal Information Protection and Electronic Documents Act (PIPEDA), erfüllen.
Die Microsoft-Checkliste unterstützt kanadische Finanzunternehmen bei der Durchführung von Due-Diligence-Prüfungen von Microsoft Business Cloud Services und umfasst:
- Eine Übersicht über die aufsichtsrechtliche Landschaft für den Kontext.
- Eine Checkliste, welche die zu behandelnden Probleme darlegt und die Dienste von Microsoft Azure, Microsoft Dynamics 365 und Microsoft 365 den regulatorischen Verpflichtungen zuordnet. Die Checkliste dazu verwendet werden, die Compliance anhand eines regulatorischen Rahmens zu messen und eine interne Struktur für die Dokumentation der Compliance bereitzustellen; sie kann Kunden auch bei der Durchführung ihrer eigenen Risikobewertungen von Microsoft Business-Clouddiensten unterstützen.
In-Scope-Cloudplattformen und -Dienste von Microsoft
Implementierung
- Compliance-Checkliste: Kanada: Finanzunternehmen können sich bei der Durchführung von Risikobewertungen von Microsoft Business Cloud Services unterstützen lassen.
- Datenschutz in Microsoft-Cloud: Informieren Sie sich über die Datenschutzgrundsätze und -standards von Microsoft sowie über die Datenschutzgesetze in Kanada.
- Industrielle Anwendungsfälle für Azure: Verwenden Sie Fallübersichten, Lernprogramme und andere Ressourcen, um Azure-Lösungen für Finanzdienstleistungen zu entwickeln.
Häufig gestellte Fragen
Ist eine behördliche Genehmigung erforderlich?
Nein. Eine vorherige Benachrichtigung, Konsultation oder Genehmigung ist nicht erforderlich. Die Nutzung von öffentlichem Cloud-Computing ist zulässig, sofern die OSFI-Anforderungen stets eingehalten werden.
Die OSFI Richtlinien B-10 zeigen, dass OSFI von einem Finanzinstitut erwartet, dass es ein Risikomanagementprogramm entwirft, das für alle seine Outsourcing-Vereinbarungen gilt, wobei die Risikominderung den damit verbundenen Risiken angemessen ist. Allerdings müssen nur wesentliche Outsourcing-Vereinbarungen durch einen schriftlichen Vertrag dokumentiert werden, der die in den Richtlinien festgelegten Garantien regelt. In Teil 2 der Microsoft-Checkliste (Seite 53) werden diese Schutzmaßnahmen gegenüber den Abschnitten in Microsoft-Vertragsdokumenten zugeordnet, in denen sie adressiert sind.
Gibt es verbindliche Bedingungen, die in den Vertrag mit dem Cloud-Dienstanbieter aufgenommen werden müssen?
Ja, aber nur, wenn es sich bei der Outsourcing-Vereinbarung um ein wesentliches Outsourcing handelt oder wenn es sich um eine Übertragung personenbezogener Daten an den Cloud-Dienstanbieter handelt.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Portal, mit dem Sie den Compliancestatus Ihrer organization verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.