Office of the Superintendent of Financial Institutions (OSFI) in KanadaOffice of the Superintendent of Financial Institutions (OSFI) Canada

Über OSFIAbout the OSFI

Das Office of the Superintendent of Financial Institutions (OSFI) ist eine unabhängige Behörde der kanadischen Regierung, die für die aufsichtsrechtliche Regulierung und Aufsicht von staatlich regulierten Finanzinstituten und Pensionsplänen in Kanada zuständig ist.The Office of the Superintendent of Financial Institutions (OSFI) is an independent agency of the Government of Canada responsible for the prudential regulation and supervision of federally regulated financial institutions and pension plans in Canada.

In seiner Aufsichtsfunktion hat OSFI die Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen veröffentlicht.In its oversight role, OSFI published the B-10 Guidelines for Outsourcing of Business Activities, Functions, and Processes. Sie etablierten „umsichtige Praktiken, Verfahren oder Standards“ für staatlich regulierte Finanzinstitute, um das mit der Auslagerung ihres Geschäfts an einen Dienstleister verbundene Risiko zu bewerten und zu steuern.They established 'prudent practices, procedures, or standards' for federally regulated financial institutions to evaluate and manage the risk associated with outsourcing their business to a service provider. Ein anschließendes OSFI-Memorandum, Neue technologiebasierte Outsourcing-Anforderungen, erinnerte diese Institutionen daran, dass die Richtlinien B-10 aktuell bleiben und dass sie die Erwartungen der OSFI an wesentliche Outsourcing-Vereinbarungen erfüllen müssen.A subsequent OSFI memorandum, New technology-based outsourcing requirements, reminded these institutions that the B-10 Guidelines remain current and that they must meet OSFI expectations for material outsourcing arrangements.

Darüber hinaus muss die Nutzung von Cloud-Diensten durch Finanzinstitute in Übereinstimmung mit dem Personal Information Protection and Electronic Documents Act (PIPEDA) und in einigen Fällen mit den Datenschutzgesetzen der Provinzen erfolgen.In addition, the use of cloud services by financial institutions must comply with the Personal Information Protection and Electronic Documents Act (PIPEDA), and in some instances, provincial data privacy laws.

Microsoft und OSFIMicrosoft and OSFI

Um Finanzinstitute in Kanada bei der Auslagerung von Geschäftsfunktionen in die Cloud zu unterstützen, hat Microsoft die Publikation Navigieren auf dem Weg in die Cloud: Eine Compliance-Checkliste für Finanzinstitute in Kanada veröffentlicht.To help guide financial institutions in Canada considering outsourcing business functions to the cloud, Microsoft has published Navigating your way to the cloud: A compliance checklist for financial institutions in Canada. Durch die Überprüfung und Vervollständigung der Checkliste können Finanzunternehmen Microsoft Business Cloud Services mit der Gewissheit übernehmen, dass sie die geltenden gesetzlichen Anforderungen erfüllen.By reviewing and completing the checklist, financial organizations can adopt Microsoft business cloud services with the confidence that they are complying with applicable regulatory requirements.

Wenn kanadische Finanzinstitute Geschäftsaktivitäten outsourcen, müssen sie die vom Office of the Superintendent of Financial Institutions (OSFI) veröffentlichten Richtlinien B-10 für das Outsourcing von Geschäftsaktivitäten, Funktionen und Prozessen sowie die kanadischen Datenschutzgesetze, einschließlich des Personal Information Protection and Electronic Documents Act (PIPEDA), erfüllen.When Canadian financial institutions outsource business activities, they must comply with the B-10 Guidelines for Outsourcing of Business Activities, Functions, and Processes published by the Office of the Superintendent of Financial Institutions (OSFI), as well as Canadian privacy laws, including the Personal Information Protection and Electronic Documents Act (PIPEDA).

Die Microsoft-Checkliste unterstützt kanadische Finanzunternehmen bei der Durchführung von Due-Diligence-Prüfungen von Microsoft Business Cloud Services und umfasst:The Microsoft checklist helps Canadian financial firms conducting due-diligence assessments of Microsoft business cloud services and includes:

  • Eine Übersicht über die aufsichtsrechtliche Landschaft für den Kontext.An overview of the regulatory landscape for context.
  • Eine Checkliste, welche die zu behandelnden Probleme darlegt und die Dienste von Microsoft Azure, Microsoft Dynamics 365 und Microsoft 365 den regulatorischen Verpflichtungen zuordnet.A checklist that sets forth the issues to be addressed and maps Microsoft Azure, Microsoft Dynamics 365, and Microsoft 365 services against those regulatory obligations. Die Checkliste dazu verwendet werden, die Compliance anhand eines regulatorischen Rahmens zu messen und eine interne Struktur für die Dokumentation der Compliance bereitzustellen; sie kann Kunden auch bei der Durchführung ihrer eigenen Risikobewertungen von Microsoft Business-Clouddiensten unterstützen.The checklist can be used as a tool to measure compliance against a regulatory framework and provide an internal structure for documenting compliance, and help customers conduct their own risk assessments of Microsoft business cloud services.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

ImplementierungHow to implement

Häufig gestellte FragenFrequently asked questions

Ist eine behördliche Genehmigung erforderlich?Is regulatory approval required?

Nein.No. Es besteht keine Verpflichtung zur vorherigen Benachrichtigung, Konsultation oder Genehmigung.There is no requirement for prior notification, consultation, or approval. Die Nutzung von öffentlichem Cloud-Computing ist zulässig, sofern die OSFI-Anforderungen stets eingehalten werden.The use of public cloud computing is permitted, subject always to compliance with OSFI requirements.

Die OSFI Richtlinien B-10 zeigen, dass OSFI von einem Finanzinstitut erwartet, dass es ein Risikomanagementprogramm entwirft, das für alle seine Outsourcing-Vereinbarungen gilt, wobei die Risikominderung den damit verbundenen Risiken angemessen ist.The OSFI B-10 Guidelines indicate that OSFI expects a financial institution to design a risk management program that applies to all of its outsourcing arrangements, with risk mitigation commensurate with the associated risks. Allerdings müssen nur wesentliche Outsourcing-Vereinbarungen durch einen schriftlichen Vertrag dokumentiert werden, der die in den Richtlinien festgelegten Garantien regelt.However, only material outsourcing arrangements need to be documented by a written contract that addresses safeguards identified in the guidelines. Teil 2 der Microsoft-Checkliste (Seite 53) bildet diese mit den Abschnitten in den Microsoft-Vertragsdokumenten ab, an die sie gerichtet sind.Part 2 of the Microsoft checklist (page 53) maps these against the sections in Microsoft contractual documents where they are addressed.

Gibt es verbindliche Bedingungen, die in den Vertrag mit dem Cloud-Dienstanbieter aufgenommen werden müssen?Are there any mandatory terms that must be included in the contract with the cloud services provider?

Ja, aber nur, wenn es sich bei der Outsourcing-Vereinbarung um ein wesentliches Outsourcing handelt oder wenn es sich um eine Übertragung personenbezogener Daten an den Cloud-Dienstanbieter handelt.Yes, but only if the outsourcing arrangement is a material outsourcing or if it involves any transfer of personal information to the cloud service provider.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance-Manager ist ein Feature im Microsoft 365 Compliance Center, das Ihnen dabei hilft, den Compliance-Status Ihrer Organisation zu ermitteln und Maßnahmen zur Senkung von Risiken zu ergreifen.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine sehr hilfreiche Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Die Vorlage finden Sie auf der Seite Bewertungsvorlagen in Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources