Autorità per la regolamentazione prudenziale australiana (APRA)Australian Prudential Regulation Authority (APRA)

Panoramica di APRAAPRA overview

La Australian Prudential Regulation Authority (apra) supervisiona banche, sindacati creditizi, compagnie assicurative e altre istituzioni di servizi finanziari in Australia.The Australian Prudential Regulation Authority (APRA) oversees banks, credit unions, insurance companies, and other financial services institutions in Australia. Riconoscendo lo slancio verso il cloud computing, APRA ha invitato le entità regolamentate a implementare una strategia premurosa di adozione del cloud con una governance efficace, una valutazione dei rischi accurata e processi di assicurazione regolari.Recognizing the momentum towards cloud computing, APRA has called on regulated entities to implement a thoughtful cloud-adoption strategy with effective governance, thorough risk assessment, and regular assurance processes. Le istituzioni regolamentate devono essere conformi all'outsourcing di APRA Prudential standard CPS 231 nell'outsourcing di un'attività aziendale materiale, ovvero qualsiasi attività che abbia il potenziale, se interrotto, di avere un impatto significativo sulle operazioni aziendali dell'istituto finanziario o sulla capacità di gestirne efficacemente i rischi.Regulated institutions must comply with the APRA Prudential Standard CPS 231 Outsourcing when outsourcing a material business activity — any activity that has the potential, if disrupted, to have a significant impact on the financial institution’s business operations or ability to manage its risks effectively. In base alla sua revisione dei contratti di outsourcing che coinvolgono i servizi cloud computing inviati a APRA, APRA ha pubblicato specifiche linee guida dettagliate nel suo documento informativo, outsourcing che coinvolge i servizi cloud computing per aiutare le entità regolamentate a valutare più efficacemente i provider e i servizi cloud e a guidarli attraverso i problemi normativi di outsourcing nel cloud.Based on its review of outsourcing arrangements involving cloud computing services submitted to APRA, APRA published specific, detailed guidance in its information paper, Outsourcing involving cloud computing services to help regulated entities assess cloud providers and services more effectively and guide them through the regulatory issues of outsourcing to the cloud. In caso di outsourcing, incluso un servizio cloud, le istituzioni regolamentate devono anche esaminare e considerare la conformità in corso con la sicurezza delle informazioni di Apra Prudential standard CPS 234.When outsourcing, including to a cloud service, regulated institutions must also review and consider their ongoing compliance with APRA Prudential Standard CPS 234 Information Security.

Microsoft e APRAMicrosoft and APRA

Per gli istituti finanziari in Australia che stanno valutando i provider cloud e i relativi servizi, Microsoft ha pubblicato:For financial institutions in Australia that are assessing cloud providers and their services, Microsoft has published:

Insieme dimostrano in che modo le aziende finanziarie possono spostare dati e carichi di lavoro in Microsoft Azure con la fiducia che si conformano ai regolamenti e alle linee guida di Australian Prudential Regulation (APRA).Together they demonstrate how financial firms can move data and workloads to Microsoft Azure with the confidence that they are complying with Australian Prudential Regulation Authority (APRA) regulations and guidance.

Per ulteriori informazioni sui vantaggi offerti dai servizi finanziari conformi a APRA su Azure, leggere la Regtech Meets Fintech: Perpetual and Microsoft Transform the Finance Sector article.To learn about the benefits of APRA-compliant financial services on Azure, read the Regtech meets Fintech: Perpetual and Microsoft transform the finance sector article.

Microsoft Response to the APRA paper informazioni sul cloudMicrosoft response to the APRA Information Paper on Cloud

In questo articolo viene fornita una guida dettagliata per i servizi finanziari con una risposta dettagliata a ogni problema generato nell'outsourcing di APRA Information paper che coinvolge i servizi di cloud computing.This Microsoft paper provides detailed guidance for financial services with a detailed response to each issue raised in the APRA Information Paper Outsourcing involving cloud computing services. Le linee guida di APRA identificano tre categorie di rischio in cui l'utilizzo del cloud in genere rientra in un rischio intrinseco basso, accentuato ed estremo e evidenzia i problemi principali che devono essere considerati dalle entità regolamentate nell'ambito della valutazione dei rischi.The APRA guidelines identify three risk categories into which cloud usage typically falls — low, heightened, and extreme inherent risk — and highlight key issues that regulated entities must consider as part of their risk assessment.

Microsoft Response è incentrato sulle due categorie a rischio più elevato.The Microsoft response focuses on the two highest risk categories. Anche se i servizi cloud non sono vietati da nessuna categoria di rischio, APRA si aspetta di intraprendere un proporzione più alto livello di diligenza, ed è necessario aspettarsi un aumento del livello di controllo di APRA, quando si spostano le categorie di rischio.While cloud services are not prohibited by any risk category, APRA expects you to undertake a commensurately higher level of diligence, and you should expect an increasing level of APRA scrutiny, as you move up the risk categories. APRA elenca un intervallo di fattori che in genere indicano un rischio intrinseco elevato o estremo per il cloud outsourcing.APRA lists a range of factors that typically indicate high or extreme inherent risk for cloud outsourcing. Microsoft affronta ognuno di questi fattori in modo approfondito, fornendo informazioni e strumenti utili per valutare e gestire i rischi di spostamento di dati e carichi di lavoro in Azure.Microsoft addresses each of these factors in depth, providing information and tools to help you assess and manage the risk of moving your data and workloads to Azure.

Microsoft affronta anche ogni considerazione relativa alla gestione dei rischi di APRA: strategia, governance, processo di selezione della soluzione, accesso APRA e capacità di agire, approccio di transizione, valutazioni del rischio e sicurezza, vigilanza continua, interruzioni aziendali e audit e affidabilità.Microsoft also addresses each APRA risk management consideration: strategy, governance, solution selection process, APRA access and ability to act, transition approach, risk assessments and security, ongoing oversight, business disruption, and audit and assurance. Punto per punto, è possibile fornire consigli e offrire strumenti che consentono di rispondere a ogni problema durante la distribuzione di Azure.Point by point, we give advice and offer tools to help you respond to each issue when deploying Azure.

Ottenere supporto pratico per lo spostamento di dati e carichi di lavoro in Azure in conformità con le normative di APRA: scaricare il documento di Microsoft Response to the apra Information paper on cloud.Get practical support for moving data and workloads to Azure in compliance with APRA regulations: Download the Microsoft response to the APRA Information Paper on Cloud.

Microsoft Response to the APRA CPS 234 sulla sicurezza delle informazioniMicrosoft response to the APRA CPS 234 on Information Security

La sicurezza delle informazioni di Apra Prudential standard CPS 234 richiede che le istituzioni regolamentate:APRA Prudential Standard CPS 234 Information Security requires regulated institutions to:

  • definire chiaramente i ruoli e le responsabilità correlate alla sicurezza delle informazioni;clearly define information-security related roles and responsibilities;
  • mantenere una funzionalità di sicurezza delle informazioni commisurata alle dimensioni e all'entità delle minacce per le proprie risorse informative;maintain an information security capability commensurate with the size and extent of threats to their information assets;
  • implementare i controlli per la protezione delle risorse informative e l'esecuzione di test e garanzie regolari sull'efficacia dei controlli; eimplement controls to protect information assets and undertake regular testing and assurance of the effectiveness of controls; and
  • notificare prontamente a APRA gli incidenti di sicurezza delle informazioni sui materiali.promptly notify APRA of material information security incidents.

CPS 234 rispecchia fedelmente la base di Microsoft Security Framework: proteggere, rilevare e rispondere.CPS 234 closely mirrors the core Microsoft security framework: protect, detect, and respond.

Servizi cloud Microsoft: la conformità con la sicurezza delle informazioni di Apra Prudential standard cps 234 stabilisce ciascuno degli obblighi normativi di CPS 234 e mappa contro di essa i controlli del servizio cloud Microsoft, le funzionalità, le funzioni, gli impegni contrattuali e le informazioni di supporto per aiutare l'ente apra a conformarsi ai propri obblighi normativi in base alla CPS 234.Microsoft cloud services: compliance with APRA Prudential Standard CPS 234 Information Security sets out each of the relevant CPS 234 regulatory obligations, and maps against it the Microsoft cloud service controls, capabilities, functions, contract commitments, and supporting information to help your APRA-regulated entity comply with its regulatory obligations under CPS 234.

Questo elenco di controllo di Microsoft introduce i requisiti normativi di APRA che le aziende finanziarie devono affrontare quando si spostano nel cloud.This Microsoft checklist introduces APRA regulatory requirements that financial firms must address when moving to the cloud. Esegue il mapping di Azure non solo per l' outsourcing di standard prudenziale CPS 231, ma per altri standard di Apra rilevanti, ad esempio per la continuità aziendale e la gestione dei rischi.It maps Azure against not only the Prudential Standard CPS 231 Outsourcing, but other relevant APRA standards, such as for business continuity and risk management. Il completamento di questo elenco di controllo consente agli istituti di servizi finanziari di adottare Azure con la sicurezza di soddisfare i requisiti di APRA rilevanti.Completing this checklist helps your financial service institutions adopt Azure with the confidence that it meets the relevant APRA requirements.

Facendo affidamento sul nostro approccio globale alla sicurezza dei rischi nel cloud, siamo certi che le organizzazioni di servizi finanziari australiani possano passare ai servizi cloud Microsoft in modo che non siano coerenti solo con le linee guida di APRA, ma possano fornire ai clienti un profilo di gestione dei rischi di sicurezza più avanzato rispetto alle soluzioni ospitate locali o di altro tipo.By relying on our comprehensive approach to risk assurance in the cloud, we are confident that Australian financial services organizations can move to Microsoft cloud services in a manner that is not only consistent with APRA guidance, but can provide customers with a more advanced security risk management profile than on-premises or other hosted solutions.

Ottenere supporto pratico per lo spostamento di dati e carichi di lavoro in Azure in conformità con le normative di APRA: scaricare i servizi cloud Microsoft: un elenco di controllo di conformità per gli istituti finanziari in Australia.Get practical support for moving data and workloads to Azure in compliance with APRA regulations: Download Microsoft cloud services: a compliance checklist for financial institutions in Australia.

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Domande frequentiFrequently asked questions

Per le istituzioni finanziarie è necessaria l'approvazione di APRA prima di esternalizzare le attività aziendali materiali?Do financial institutions need APRA approval before outsourcing material business activities?

No.No. Tuttavia, la maggior parte delle organizzazioni finanziarie regolamentate deve informare APRA dopo aver stipulato contratti per esternalizzare materiali attività commerciali all'interno dell'Australia o consultarsi con APRA prima di outsourcing queste attività al di fuori dell'Australia.However, most regulated financial organizations must notify APRA after entering into agreements to outsource material business activities within Australia or consult with APRA before outsourcing those activities outside of Australia.

Inoltre, se i servizi cloud sono considerati come "rischi intrinseci accentuati o estremi" come descritto nel documento informativo di Apra sulle nuvole, l'istituto finanziario è incoraggiato (ma non richiesto) per consultarsi con apra, indipendentemente dal fatto che il servizio sia fornito all'interno o all'esterno dell'Australia.In addition, if the cloud services are deemed to carry 'heightened or extreme inherent risk' as described in the APRA Information Paper on Clouds, the financial institution is encouraged (but not required) to consult with APRA, regardless of whether the service is provided within or outside of Australia.

I trasferimenti di dati al di fuori dell'Australia sono consentiti?Are transfers of data outside of Australia permitted?

Sì.Yes. La normativa sulla privacy generale (che si applica a tutti i settori, non solo agli istituti finanziari) consente il trasferimento al di fuori dell'Australia in determinate condizioni.General privacy legislation (which applies across all sectors, not just to financial institutions) permits transfers outside of Australia under certain conditions. Microsoft accetta i termini contrattuali in linea con i principi di privacy australiano in modo che i trasferimenti di dati al di fuori dell'Australia siano consentiti quando si utilizzano i servizi cloud Microsoft.Microsoft agrees to contractual terms in line with Australian Privacy Principles so that transfers of data outside of Australia are permitted when you use Microsoft cloud services. Tuttavia, molti dei nostri clienti di servizi finanziari australiani approfittano dei servizi cloud disponibili nei datacenter australiani, per i quali si effettuano impegni contrattuali specifici per archiviare le categorie di dati a riposo nella geografia australiana.However, many of our Australian financial services customers take advantage of the cloud services available from our Australian datacenters, for which we make specific contractual commitments to store categories of data at rest in the Australian geography. Tali impegni sono descritti ulteriormente nell'elenco di controllo della conformità.These commitments are outlined further in the compliance checklist.

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources