Резервный банк Индии (RBI) и Управление по регулированию и развитию страхования Индии (IRDAI)
Сведения о RBI и IRDAI
Резервный банк Индии (RBI), центральное банковское учреждение Индии, Управление по регулированию и развитию страхования Индии (IRDAI) и Министерство электроники и информационных технологий (MeitY) составляют три ключевых регулятора финансовой отрасли, которые контролируют банки, страховые организации и институты рыночной инфраструктуры. Их директивы включают в себя рекомендации по аутсорсингу и управлению рисками, а также требования к соблюдению правил конфиденциальности, регулирующих конфиденциальные данные.
Руководство по аутсорсингу и управлению рисками включает в себя:
- Руководящие принципы по управлению рисками и кодекс поведения при аутсорсинге финансовых услуг банками (RBI) касаются рисков, которым подвергаются регулируемые банки при аутсорсинге финансовых услуг, и помогают гарантировать, что аутсорсинг не препятствует надзорной роли RBI. RBI не требует предварительного утверждения для банков, стремящихся передать финансовые услуги на аутсорсинг; однако основные банковские функции, такие как внутренний аудит и функции соответствия требованиям, не должны передаваться на внешний подряд.
- Рекомендации по информационной безопасности, электронным банковским операциям, управлению технологическими рисками и кибер-мошенничествам (RBI). Финансовые учреждения должны сообщать о механизмах аутсорсинга, в которых масштабы и характер деятельности являются значительными или требуют широкого обмена данными с поставщиками услуг за пределами Индии. Это руководство применяется, в частности, если операционные данные хранятся или обрабатываются за пределами Индии.
- Аутсорсинг деятельности индийскими страховщиками ( IRDAI). Каждый год страховые организации обязаны сообщать об аутсорсинге IRDAI о некоторых вспомогательных функциях основной деятельности в течение 45 дней с закрытия финансового года. На странице 7 в контрольном списке Майкрософт описывается, что представляет собой "функции поддержки основных действий".
Финансовые компании, использующие облачные службы, также должны соблюдать правила конфиденциальности, включая правила информационной технологии (разумные методы и процедуры безопасности и конфиденциальные персональные данные или информация), 2011 (MeitY). Эти правила, разработанные для укрепления законов о защите данных в Индии, регулируют защиту и обработку конфиденциальных персональных данных.
Microsoft, RBI и IRDAI
Чтобы помочь финансовым учреждениям в Индии рассмотреть возможность аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала контрольный список соответствия для финансовых учреждений в Индии. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.
Когда индийские финансовые учреждения передают бизнес-деятельность в облако, они должны следовать рекомендациям Резервного банка Индии по управлению рисками и решению проблем, возникающих в ходе использования информационных технологий. Они также должны соблюдать требования к безопасности и конфиденциальности данных, установленные Министерством электроники и информационных технологий (MeitY). Кроме того, страховые организации должны следовать рекомендациям по аутсорсингу, опубликованным Управлением по регулированию и развитию страхования Индии (IRDAI).
Контрольный список Майкрософт помогает финансовым фирмам в Индии, которые проводят оценку надлежащей осмотрительности облачных служб Майкрософт для бизнеса, и включает в себя:
- Обзор нормативно-правовой среды для соответствующего контекста.
- Контрольный список, который определяет проблемы, которые необходимо решить, и сопоставляет Microsoft Azure, Microsoft Dynamics 365 и службы Microsoft Office 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Dynamics 365
- Microsoft 365
Методика реализации
- Контрольный список соответствия требованиям для Индии. Финансовые фирмы могут получить помощь в проведении оценки рисков в облачных службах Майкрософт для бизнеса.
- Варианты использования финансовых ресурсов Azure. Обзор вариантов использования, учебники и другие ресурсы для создания решений Azure для финансовых служб.
Вопросы и ответы
Существуют ли обязательные условия, которые требуется включать в договор с поставщиком облачных служб?
Да. В указанных выше руководящих принципах определены некоторые конкретные моменты, которые финансовые учреждения должны включать в свои контракты на облачные службы. Часть 2 контрольного списка (страница 70) сопоставляет их с разделами договорных документов Майкрософт, в которых они рассматриваются.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.