Reserve Bank of India (RBI) e Insurance Regulatory and Development Authority of India (IRDAI)

Informazioni su RBI e IRDAI

La Reserve Bank of India (RBI), l'istituto bancario centrale dell'India, l'Insurance Regulatory and Development Authority of India (IRDAI) e il Ministero dell'elettronica e delle tecnologie dell'informazione (MeitY) sono tre dei principali regolatori del settore finanziario che supervisionano le banche, le organizzazioni assicurative e gli istituti di infrastrutture di mercato. Le direttive includono linee guida per l'esternalizzazione e la gestione dei rischi e requisiti per la conformità alle regole sulla privacy che regolano i dati sensibili.

Le linee guida per l'esternalizzazione e la gestione dei rischi includono:

  • Le linee guida sulla gestione dei rischi e del codice di condotta nell'esternalizzazione dei servizi finanziari da parte delle banche (RBI) affrontano i rischi a cui verrebbero esposte le banche regolamentate mentre esternalizzando i servizi finanziari e assicurano che l'esternalizzazione non ostacola il ruolo di supervisione dell'RBI. L'RBI non richiede l'approvazione preventiva per le banche che cercano di esternalizzare i servizi finanziari; Tuttavia, le funzioni bancarie di base, come le funzioni di controllo interno e conformità, non devono essere esternalmente.
  • Linee guida per la sicurezza delle informazioni, l'electronic banking, la gestione dei rischi tecnologici e le frodi informatiche (RBI). Gli istituti finanziari devono segnalare accordi di esternalizzazione in cui la portata e la natura delle attività sono significative o richiedono una condivisione estesa dei dati con provider di servizi al di fuori dell'India. Queste indicazioni si applicano in particolare se i dati operativi vengono archiviati o elaborati al di fuori dell'India.
  • Esternalizzazione delle attività da parte del regolamento IRDAI (Indian Insurers Regulation). Ogni anno, le organizzazioni assicurative devono segnalare all'IRDAI l'esternalizzazione di alcune funzioni di supporto delle attività principali entro 45 giorni dalla chiusura dell'anno finanziario. (La pagina 7 dell'elenco di controllo Microsoft descrive cosa costituisce le "funzioni di supporto delle attività di base".

Le società finanziarie che utilizzano servizi cloud devono inoltre conformarsi alle regole sulla privacy, tra cui le regole information technology (ragionevoli procedure e procedure di sicurezza e dati personali sensibili o informazioni), 2011 (MeitY). Sviluppate per rafforzare le leggi sulla protezione dei dati in India, queste regole regolano la protezione e la gestione dei dati personali sensibili.

Microsoft, RBI e IRDAI

Per aiutare gli istituti finanziari in India a considerare l'esternalizzazione delle funzioni aziendali nel cloud, Microsoft ha pubblicato un elenco di controllo di conformità per gli istituti finanziari in India. Esaminando e completando l'elenco di controllo,le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza di essere conformi ai requisiti normativi applicabili.

Quando gli istituti finanziari indiani esternalizzando le attività aziendali al cloud, devono seguire le linee guida della Reserve Bank of India per gestire i rischi e risolvere i problemi derivanti dall'uso delle tecnologie dell'informazione. Devono inoltre rispettare i requisiti di sicurezza e privacy dei dati stabiliti dal Ministero dell'elettronica e della tecnologia dell'informazione (MeitY). Inoltre, le organizzazioni assicurative devono seguire le linee guida per l'esternalizzazione pubblicate dall'Insurance Regulatory and Development Authority of India (IRDAI).

L'elenco di controllo Microsoft aiuta le società finanziarie in India che stanno effettuando valutazioni di due diligence dei servizi cloud aziendali Microsoft e includono:

  • Informazioni generali sul panorama regolatorio del contesto.
  • Elenco di controllo che definisce i problemi da affrontare e mappa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft Office 365 in base a tali obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Come eseguire l'implementazione

Domande frequenti

Devono essere incluse condizioni obbligatorie nel contratto con il provider dei servizi cloud?

Sì. Le linee guida di cui sopra prevedono alcuni punti specifici che gli istituti finanziari devono incorporare nei contratti di servizi cloud. La parte 2 dell'elenco di controllo (pagina 70) li mappa alle sezioni dei documenti contrattuali Microsoft a cui sono indirizzate.

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse