Reserve Bank of India (RBI) e Insurance Regulatory and Development Authority of India (IRDAI)

Informazioni su RBI e IRDAI

La Reserve Bank of India (RBI), l'istituto bancario centrale indiano, l'Insurance Regulatory and Development Authority of India (IRDAI) e il Ministero dell'Elettronica e dell'Information Technology (MeitY) comprendono tre delle principali autorità di regolamentazione del settore finanziario che supervisionano banche, organizzazioni assicurative e istituzioni di infrastrutture di mercato. Le direttive includono le linee guida per l'esternalizzazione e la gestione dei rischi e i requisiti per la conformità alle regole sulla privacy che disciplinano i dati sensibili.

Le linee guida per l'esternalizzazione e la gestione dei rischi includono:

• Le linee guida sulla gestione dei rischi e del codice di condotta nell'esternalizzazione dei servizi finanziari da parte delle banche (RBI) affrontano i rischi a cui le banche regolamentate sarebbero esposte esternalizzando i servizi finanziari e contribuiscono a garantire che l'esternalizzazione non ostacoli il ruolo di supervisione della RBI. La RBI non richiede l'approvazione preliminare per le banche che cercano di esternalizzare i servizi finanziari; tuttavia, le funzioni bancarie di base, ad esempio le funzioni di controllo interno e conformità, non devono essere esternalizzate.
• Linee guida per la sicurezza delle informazioni, l'electronic banking, la gestione dei rischi tecnologici e le frodi informatiche (RBI). Gli istituti finanziari devono segnalare accordi di esternalizzazione nei casi in cui la portata e la natura delle attività sono significative o richiedono un'ampia condivisione dei dati con i fornitori di servizi al di fuori dell'India. Queste linee guida si applicano in particolare se i dati operativi vengono archiviati o elaborati al di fuori dell'India.
• Esternalizzazione delle attività da parte del regolamento IRDAI (Indian Insurers Regulation ). Ogni anno, le organizzazioni assicurative sono tenute a segnalare l'esternalizzazione all'IRDAI di determinate funzioni di supporto delle attività principali entro 45 giorni dalla chiusura dell'esercizio. La pagina 7 dell'elenco di controllo Microsoft descrive ciò che costituisce "funzioni di supporto delle attività principali".

Le aziende finanziarie che usano servizi cloud devono anche rispettare le regole sulla privacy, tra cui le regole information technology (procedure e procedure di sicurezza ragionevoli e dati personali sensibili o informazioni), 2011 (MeitY). Sviluppate per rafforzare le leggi sulla protezione dei dati in India, queste regole regolano la protezione e la gestione dei dati personali sensibili.

Microsoft, RBI e IRDAI

Per aiutare gli istituti finanziari in India a considerare l'esternalizzazione di funzioni aziendali al cloud, Microsoft ha pubblicato un elenco di controllo di conformità per gli istituti finanziari in India. Esaminando e completando l'elenco di controllo, le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza che siano conformi ai requisiti normativi applicabili.

Quando gli istituti finanziari indiani esternalizzano le attività aziendali al cloud, devono seguire le linee guida della Reserve Bank of India per gestire i rischi e affrontare i problemi che derivano dall'uso delle tecnologie dell'informazione. Devono inoltre rispettare i requisiti di sicurezza e privacy dei dati stabiliti dal Ministero dell'Elettronica e dell'Information Technology (MeitY). Inoltre, le organizzazioni assicurative devono seguire le linee guida sull'esternalizzazione pubblicate dall'Autorità di regolamentazione e sviluppo delle assicurazioni dell'India (IRDAI).

L'elenco di controllo Microsoft aiuta le società finanziarie in India che svolgono valutazioni di due diligence dei servizi cloud aziendali Microsoft e include:

• Informazioni generali sul panorama regolatorio del contesto.
• Elenco di controllo che definisce i problemi da risolvere e esegue il mapping di Microsoft Azure, Microsoft Dynamics 365 e Microsoft Office 365 servizi rispetto a tali obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

• Azure
• Dynamics 365
• Microsoft 365

Come eseguire l'implementazione

• Elenco di controllo di conformità per l'India: le aziende finanziarie possono ottenere assistenza per la valutazione dei rischi dei servizi cloud aziendali Microsoft.
• Casi d'uso finanziari per Azure: panoramica dei casi d'uso, esercitazioni e altre risorse per creare soluzioni di Azure per i servizi finanziari.

Domande frequenti

Devono essere incluse condizioni obbligatorie nel contratto con il provider dei servizi cloud?

Sì. Le linee guida a cui si fa riferimento in precedenza specificano alcuni punti specifici che gli istituti finanziari devono incorporare nei contratti di servizi cloud. La parte 2 dell'elenco di controllo (pagina 70) esegue il mapping di questi elementi alle sezioni dei documenti contrattuali Microsoft in cui sono indirizzati.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse

• Microsoft e MeitY
• Servizi cloud e servizi finanziari di Microsoft per le aziende
• Azure Financial Services Compliance Program
• Strumento di valutazione del rischio cloud di Azure per i servizi finanziari
• Conformità nel Centro protezione Microsoft