Reserve Bank of India (RBI) and Insurance Regulatory and Development Authority of India (IRDAI) (Reserve Bank of India (RBI) and Insurance Regulatory and Development Authority of India (IRDAI) (Reserve Bank of India (RBI) and Insurance Regulatory and Development Authority of India (IRDAI)
Sobre RBI e IRDAI
O Reserve Bank of India (RBI), a instituição bancária central da Índia, a Autoridade Reguladora de Seguros e Desenvolvimento da Índia (IRDAI) e o Ministério da Electrónica e Tecnologia da Informação (MeitY) são três dos principais reguladores da indústria financeira que supervisionam bancos, organizações de seguros e instituições de infra-estruturas de mercado. As diretivas incluem as diretrizes de gestão de risco e de outsourcing e os requisitos para a conformidade com as regras de privacidade que regem os dados confidenciais.
As orientações sobre o outsourcing e a gestão de riscos incluem:
- As orientações sobre a Gestão do Risco e do Código de Conduta no Outsourcing de Serviços Financeiros por Bancos (RBI) abordam os riscos a que os bancos regulamentados seriam expostos enquanto subcontratavam serviços financeiros e ajudavam a garantir que o outsourcing não impede o papel de supervisão do RBI. O RBI não requer aprovação prévia para os bancos que procuram subcontratar serviços financeiros; no entanto, as principais funções bancárias, como as funções de auditoria interna e de conformidade, não devem ser subcontratadas.
- Diretrizes sobre Segurança da Informação, Banca Eletrónica, Gestão de Riscos Tecnológicos e Fraudes Cibernéticas (RBI). As instituições financeiras devem comunicar disposições de outsourcing em que a dimensão e a natureza das actividades sejam significativas ou exijam uma partilha extensiva de dados com fornecedores de serviços fora da Índia. Esta orientação aplica-se especialmente se os dados operacionais forem armazenados ou processados fora da Índia.
- Outsourcing de Actividades pelo Regulamento das Seguradoras Indianas (IRDAI). Todos os anos, as organizações de seguros são obrigadas a reportar o outsourcing ao IRDAI de determinadas funções de apoio das actividades principais no prazo de 45 dias após o fim do exercício. A página 7 na lista de verificação da Microsoft descreve o que constitui "funções de suporte de atividades principais".
As empresas financeiras que utilizam serviços cloud também devem cumprir as regras de privacidade, incluindo as Regras de Tecnologias de Informação (Práticas e Procedimentos de Segurança Razoáveis e Dados Pessoais Confidenciais ou Informações), 2011 (MeitY). Desenvolvidas para fortalecer as leis de proteção de dados da Índia, estas regras regem a proteção e o tratamento de dados pessoais confidenciais.
Microsoft, RBI e IRDAI
Para ajudar a orientar as instituições financeiras na Índia a considerar o outsourcing de funções empresariais para a cloud, a Microsoft publicou uma lista de verificação de conformidade para instituições financeiras na Índia. Ao rever e concluir a lista de verificação, as organizações financeiras podem adotar serviços cloud empresariais da Microsoft com a confiança de que estão a cumprir os requisitos regulamentares aplicáveis.
Quando as instituições financeiras indianas subcontratam actividades empresariais para a cloud, têm de seguir as orientações do Banco reserva da Índia para gerir os riscos e abordar as questões decorrentes da utilização de tecnologias de informação. Devem igualmente cumprir os requisitos de segurança e privacidade dos dados estabelecidos pelo Ministério da Eletrónica e Tecnologias de Informação (MeitY). Além disso, as organizações de seguros devem seguir as orientações de outsourcing publicadas pela Insurance Regulatory and Development Authority of India (IRDAI).
A lista de verificação da Microsoft ajuda as empresas financeiras na Índia que estão a realizar avaliações de devida diligência dos serviços cloud empresariais da Microsoft e inclui:
- Visão geral do panorama normativo para o contexto.
- Uma lista de verificação que define os problemas a serem resolvidos e mapeia o Microsoft Azure, o Microsoft Dynamics 365 e Microsoft Office 365 serviços contra essas obrigações regulamentares. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Microsoft 365
Como implementar
- Lista de verificação de conformidade para a Índia: as empresas financeiras podem obter ajuda para realizar avaliações de riscos de serviços cloud empresariais da Microsoft.
- Casos de utilização financeira do Azure: utilize descrições geral de casos, tutoriais e outros recursos para criar soluções do Azure para serviços financeiros.
Perguntas frequentes
Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?
Sim. As orientações mencionadas acima estipulam alguns pontos específicos que as instituições financeiras têm de incorporar nos seus contratos de serviços cloud. A parte 2 da lista de verificação (página 70) mapeia-as nas secções nos documentos contratuais da Microsoft onde são endereçadas.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.