Ufficio del sovrintendente delle istituzioni finanziarie (OSFI) del CanadaOffice of the Superintendent of Financial Institutions (OSFI) Canada

Informazioni sull'OSFIAbout the OSFI

L' Ufficio del sovrintendente delle istituzioni finanziarie (OSFI) è un'agenzia indipendente del governo canadese, responsabile della regolamentazione e supervisione prudenziale delle istituzioni finanziarie e dei programmi di pensionamento, regolati a livello federale in Canada.The Office of the Superintendent of Financial Institutions (OSFI) is an independent agency of the Government of Canada responsible for the prudential regulation and supervision of federally regulated financial institutions and pension plans in Canada.

Nel suo ruolo di supervisione l'OSFI ha pubblicato le linee guida B-10 per l'Esternalizzazione delle attività, delle funzioni e dei processi aziendali.In its oversight role, OSFI published the B-10 Guidelines for Outsourcing of Business Activities, Functions, and Processes. In esse, sono state fissati gli ‘standard, pratiche o procedure prudenziali’ per consentire alle istituzioni finanziarie regolate a livello federale di valutare e gestire i rischi associati all'esternalizzazione delle loro attività a un provider di servizi.They established 'prudent practices, procedures, or standards' for federally regulated financial institutions to evaluate and manage the risk associated with outsourcing their business to a service provider. In un successivo memorandum denominato Nuovi requisiti di esternalizzazione basati sulla tecnologia, l'OSFI ha sottolineato la validità delle linee guida B-10 e stabilito che le istituzioni devono soddisfare i requisiti OSFI relativi agli accordi di esternalizzazione dei materiali.A subsequent OSFI memorandum, New technology-based outsourcing requirements, reminded these institutions that the B-10 Guidelines remain current and that they must meet OSFI expectations for material outsourcing arrangements.

Inoltre, l'uso dei servizi cloud per le istituzioni finanziarie deve essere conforme al Personal Information Protection e Electronic Documents Act (PIPEDA) e, in alcuni casi, alle normative provinciali sulla privacy dei dati.In addition, the use of cloud services by financial institutions must comply with the Personal Information Protection and Electronic Documents Act (PIPEDA), and in some instances, provincial data privacy laws.

Microsoft e OSFIMicrosoft and OSFI

Per aiutare le istituzioni finanziarie in Canada a valutare l'esternalizzazione delle funzioni aziendale nel cloud, Microsoft ha pubblicato Orientarsi nel cloud: un elenco di controllo della conformità per le istituzioni finanziarie in Canada.To help guide financial institutions in Canada considering outsourcing business functions to the cloud, Microsoft has published Navigating your way to the cloud: A compliance checklist for financial institutions in Canada. Le organizzazioni finanziarie, tramite l'esame e il completamento dell'elenco di controllo, possono adottare i servizi cloud Microsoft con la sicurezza di rispettare i requisiti normativi applicabili.By reviewing and completing the checklist, financial organizations can adopt Microsoft business cloud services with the confidence that they are complying with applicable regulatory requirements.

Quando le istituzioni finanziarie canadesi esternalizzano le attività aziendali, devono conformarsi alle linee guida B-10 per l'Esternalizzazione delle attività, delle funzioni e dei processi aziendali pubblicate dall'Ufficio del sovrintendente delle istituzioni finanziarie (OSFI), oltre alle leggi sulla privacy canadesi, tra cui il Personal Information Protection e Electronic Documents Act (PIPEDA).When Canadian financial institutions outsource business activities, they must comply with the B-10 Guidelines for Outsourcing of Business Activities, Functions, and Processes published by the Office of the Superintendent of Financial Institutions (OSFI), as well as Canadian privacy laws, including the Personal Information Protection and Electronic Documents Act (PIPEDA).

L'elenco di controllo Microsoft consente alle società finanziarie canadesi di svolgere valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:The Microsoft checklist helps Canadian financial firms conducting due-diligence assessments of Microsoft business cloud services and includes:

  • Informazioni generali sul panorama regolatorio del contesto.An overview of the regulatory landscape for context.
  • Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi.A checklist that sets forth the issues to be addressed and maps Microsoft Azure, Microsoft Dynamics 365, and Microsoft 365 services against those regulatory obligations. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.The checklist can be used as a tool to measure compliance against a regulatory framework and provide an internal structure for documenting compliance, and help customers conduct their own risk assessments of Microsoft business cloud services.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Come implementareHow to implement

Domande frequentiFrequently asked questions

È richiesta l'approvazione dell’autorità competente?Is regulatory approval required?

No.No. Non esiste alcun requisito di notifica, consultazione o approvazione preliminare.There is no requirement for prior notification, consultation, or approval. È consentito l'uso di cloud computing pubblico, sempre nel rispetto dei requisiti dell'OSFI.The use of public cloud computing is permitted, subject always to compliance with OSFI requirements.

Le linee guida B-10 dell'OSFI prevedono che un'istituzione finanziaria progetti un programma di gestione dei rischi applicabile a tutte le disposizioni di esternalizzazione, con una riduzione dei rischi commisurata ai rischi associati.The OSFI B-10 Guidelines indicate that OSFI expects a financial institution to design a risk management program that applies to all of its outsourcing arrangements, with risk mitigation commensurate with the associated risks. Tuttavia, solo le disposizioni relative all'esternalizzazione dei materiali devono essere documentare da un contratto scritto con le misure di sicurezza identificate nelle linee guida.However, only material outsourcing arrangements need to be documented by a written contract that addresses safeguards identified in the guidelines. La Parte 2 dell'elenco di controllodi Microsoft (pagina 53) associa le sezioni nei documenti contrattuali Microsoft in cui vengono trattate.Part 2 of the Microsoft checklist (page 53) maps these against the sections in Microsoft contractual documents where they are addressed.

Devono essere incluse condizioni obbligatorie nel contratto con il provider dei servizi cloud?Are there any mandatory terms that must be included in the contract with the cloud services provider?

Sì, ma solo se la disposizione di esternalizzazione è relativa ai materiali o se si tratta di un trasferimento di informazioni personali al provider di servizi cloud.Yes, but only if the outsourcing arrangement is a material outsourcing or if it involves any transfer of personal information to the cloud service provider.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources