保留印度銀行 (RBI) 以及印度保險法規與開發機構 (IRDAI)
關於 RBI 和 IRDAI
印度保留銀行 (RBI) 、印度中央銀行機構、印度保險監管及開發機構 (IRDAI) ,以及電子和資訊技術 (MeitY) 三個主要金融業監管者,負責監管銀行、保險組織和市場基礎結構機構。 其指示詞包括外包和風險管理指導方針,以及遵循控管敏感數據之隱私權規則的需求。
外包和風險管理指引包括:
- 在銀行外包金融服務中管理風險和管理辦法的指導方針 (RBI) 解決受管制銀行在外包金融服務時會暴露的風險,並協助確保外包不會妨礙 RBI 的監管角色。 對於尋求外包金融服務的銀行,RBI 不需要事先核准;不過,核心銀行功能,例如內部稽核和合規性功能,不應外包。
- 資訊安全性、電子銀行、技術風險管理和網路詐騙的指導方針 (RBI) 。 金融機構必須回報外包安排,其中活動的規模和本質很重要,或需要與印度以外的服務提供者共用大量數據。 本指引特別適用於將作業數據儲存或處理到印度外部時。
- IRDAI) (印度隊規定將活動外包。 每年,保險組織都必須報告在財務年度關閉后的 45 天內,將核心活動的特定支援功能外包給 IRDAI。 Microsoft 檢查清單 中的第 7 頁說明什麼是「核心活動的支援功能」。
使用雲端服務的金融公司也必須遵守隱私權規則,包括 資訊技術 (合理安全性做法和程式和敏感性個人資料或資訊) 規則,2011 (MeitY) 。 這些規則是為了加強印度的數據保護法而開發,可控管敏感性個人資料的保護和處理。
Microsoft、RBI 和 IRDAI
為了協助引導印度的金融機構考慮將商務功能外包給雲端,Microsoft已發佈印度金融機構的合規性檢查清單。 藉由檢閱並完成 檢查清單,金融組織可以採用Microsoft商務雲端服務,並確信其符合適用的法規需求。
當印度金融機構將商務活動外包至雲端時,必須遵循印度保留銀行的指導方針來管理風險,並解決使用資訊技術所產生的問題。 它們也必須符合電子與資訊技術 (MeitY) 所建立的數據安全性和隱私權需求。 此外,保險組織必須遵循印度保險法規和開發機構單位所發佈的外包指導方針, (IRDAI) 。
Microsoft檢查列表可協助印度的金融公司進行Microsoft商務雲端服務的盡責評估,包括:
- 內容的法規環境概觀。
- 此檢查清單會列出要解決的問題,並Microsoft Azure、Microsoft Dynamics 365和 Microsoft Office 365 服務對應這些法規義務。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365
- Microsoft 365
實作方法
- 印度的合規性檢查清單:金融公司可協助進行Microsoft商務雲端服務的風險評估。
- Azure 的財務使用案例:使用案例概觀、教學課程和其他資源來建置適用於金融服務的 Azure 解決方案。
常見問題集
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是。 上述指導方針會規定一些金融機構必須併入其雲端服務合約的特定點。 第 70 頁 (檢查清單 的第 2 部分) 會將這些內容對應至Microsoft合約檔中尋址的章節。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。