- Centre de conformité AWS›
- Canada
Canada
La nouvelle région AWS Canada Ouest (Calgary) est désormais ouverte
Réglementations
Cette page fournit aux institutions financières clientes d'AWS des informations sur les obligations réglementaires et juridiques au Canada qui peuvent s'appliquer à leur utilisation des services AWS.
Le Bureau du surintendant des institutions financières, ou « BSIF », est l'organisme fédéral de réglementation de toutes les banques au Canada, ainsi que des sociétés de fiducie et de prêt constituées ou enregistrées par le gouvernement fédéral, des compagnies d'assurance, des associations coopératives de crédit, des sociétés de secours mutuels et des régimes de retraite privés. Le BSIF est chargé de superviser les institutions financières sous réglementation fédérale (IFF) et les régimes de retraite afin de déterminer s'ils sont en bonne santé financière et conformes aux exigences applicables. Il publie également des réglementations et des directives qui peuvent avoir une incidence sur la manière dont les clients des services financiers utilisent AWS.
La Banque du Canada, la banque centrale du Canada, supervise directement les systèmes de compensation et de règlement, c'est-à-dire les infrastructures des marchés financiers (IMF). La Banque du Canada a la capacité de désigner certaines infrastructures des marchés financiers comme des « principaux systèmes de paiement » ou des « IMF d'importance systémique » et exige de ces entités qu'elles se conforment aux normes de gestion des risques. La Banque du Canada agit également en tant qu'autorité de surveillance pour les fournisseurs de services de paiement de détail (PSP) en vertu de la Loi sur les activités de paiement de détail (RPAA).
Chaque province et territoire du Canada possède ses propres organismes de réglementation chargés de faire appliquer la réglementation des valeurs mobilières et de superviser les autres activités de services financiers qui ne relèvent pas de la compétence des organismes de réglementation fédéraux. Les Autorités canadiennes en valeurs mobilières sont une organisation-cadre composée des autorités en valeurs mobilières de chaque province et territoire dans le but d'améliorer, de coordonner et d'harmoniser la réglementation des valeurs mobilières. L'Organisme canadien de réglementation des investissements (CIRO) est un organisme d'autoréglementation qui supervise les courtiers en valeurs mobilières, les courtiers en fonds communs de placement et les activités de négociation sur les marchés obligataires et boursiers du Canada.
Les institutions financières au Canada peuvent être soumises à un certain nombre de considérations juridiques et réglementaires différentes lorsqu'elles ont recours à des services cloud. Les réglementations et directives applicables aux institutions financières fédérales (« IFF ») sont notamment les suivantes :
- Ligne directrice no. du BSIF Le B-10 définit les attentes du BSIF en matière de gestion des risques associés aux arrangements avec des tiers. La ligne directrice s'applique à tous les accords conclus avec des tiers, y compris les services cloud, mais les attentes du BSIF sont évaluées en fonction du niveau de risque évalué et de l'importance de l'accord pour les activités de l'institution financière. La B-10 inclut des attentes spécifiques concernant la gestion des technologies et des cyber-risques dans le cadre d'accords avec des tiers, ainsi que des attentes spécifiques à l'adoption du cloud.
- Ligne directrice no. du BSIF Le B-13 décrit les attentes du BSIF en matière de saine gestion des risques technologiques et cybernétiques. Bien qu'il n'y ait pas d'exigences spécifiques aux services cloud, les résultats, les principes et les attentes s'appliquent à tous les aspects de la gestion des technologies et des risques cybernétiques, y compris le cloud computing.
- Ligne directrice no. du BSIF Le document E-21 définit les attentes du BSIF en matière de gestion du risque opérationnel par les entités réglementées, défini comme « le risque de perte résultant de personnes, de processus et de systèmes internes inadéquats ou défaillants, ou d'événements externes ». « Bien qu'elles ne soient pas spécifiques à l'utilisation du cloud, les attentes de cette directive s'appliquent à tous les aspects des opérations d'une entité réglementée, y compris celles qui sont rendues possibles par les services de cloud.
- L'avis du BSIF sur la déclaration des incidents liés à la technologie et à la cybersécurité régit la manière dont les institutions financières sous réglementation fédérale devraient divulguer et signaler les incidents liés à la technologie et à la cybersécurité au BSIF.
- Le BSIF a publié une auto-évaluation de la cybersécurité qui aide les IFF à évaluer et à améliorer leur état de préparation actuel face aux cybermenaces émergentes. L'auto-évaluation de la cybersécurité examine la capacité d'une IFF à réagir à un cyberincident dans des domaines allant de l'organisation et des ressources à la façon dont elle gère les menaces, les risques et les incidents, et permet aux IFF d'évaluer chaque élément sur une échelle allant de l'inexistant à l'amélioration continue.
La Banque du Canada a publié des normes de gestion des risques pour les IMF désignées sur la base des « Principes pour les IMF » établis par le Comité des paiements et des infrastructures de marché (CPMI) de la Banque des règlements internationaux (BRI) et l'Organisation internationale des commissions de valeurs (OICV). Outre ces normes générales de gestion des risques, la Banque du Canada a publié des lignes directrices spécifiques sur les attentes en matière de cyberrésilience des infrastructures des marchés financiers et sur le signalement des incidents liés à la cybersécurité et aux technologies de l'information.
La Loi sur les activités de paiement de détail (RPAA), ainsi que le Règlement sur les activités de paiement de détail (RPAR) connexe, créent un cadre pour réglementer les fournisseurs de services de paiement (PSP) au Canada. Les PSP qui entrent dans le champ d'application de la RPAA doivent s'enregistrer auprès de la Banque du Canada, mettre en œuvre des cadres de gestion des risques opérationnels, protéger les fonds des utilisateurs finaux, signaler les incidents importants et soumettre des rapports annuels pour rester en conformité avec la Loi.
Certains organismes de réglementation provinciaux tels que l'Autorité de réglementation des services financiers de l'Ontario (ARSF), l'Autorité des marchés financiers (AMF) au Québec et la British Columbia Financial Services Authority (BCFSA) ont publié des directives sur des sujets tels que la gestion des risques informatiques et l'externalisation qui peuvent s'appliquer à l'utilisation d'AWS par une institution financière dans ces provinces. Consultez le site Web de l'organisme de réglementation concerné pour plus de détails.
Les réglementations évoluent rapidement dans ce domaine et AWS s'efforce d'aider ses clients à répondre de manière proactive aux nouvelles règles et directives. AWS encourage les clients des services de ses institutions financières à obtenir des conseils appropriés sur leur conformité à toutes les exigences réglementaires et légales applicables à leur activité.
AWS s'engage à proposer à ses clients un cadre de conformité solide ainsi que des outils avancés et des mesures de sécurité que les clients peuvent utiliser pour évaluer et démontrer la conformité aux exigences légales et réglementaires applicables.
Les institutions financières qui utilisent ou prévoient d'utiliser les services AWS peuvent prendre les mesures suivantes pour mieux cerner leurs besoins en matière de conformité :
1. Tenir compte de la finalité de la ou des charges de travail envisagées et des catégories de données pertinentes afin d'anticiper les obligations réglementaires et légales susceptibles de s'appliquer.
2. Évaluez le niveau de risque et la criticité de la ou des charges de travail pertinentes par rapport aux opérations de l'institution financière. Ligne directrice no Le B-10 décrit les considérations relatives à l'évaluation du risque et de la criticité des arrangements avec des tiers.
3. Examiner le modèle de responsabilité partagée d'AWS et mettre en correspondance les responsabilités d'AWS et celles du client en fonction de chaque service AWS qui sera utilisé. Les clients peuvent également utiliser AWS Artifact pour accéder aux rapports d'audit d'AWS et évaluer les responsabilités en matière de contrôle.
Les clients qui ont d'autres questions sur la façon dont les services AWS peuvent répondre à leurs besoins en matière de sécurité et de conformité, ou qui souhaitent obtenir plus d'informations, peuvent contacter leur représentant.
Les institutions financières au Canada qui ont recours à AWS doivent également tenir compte des exigences applicables en matière de protection de la vie privée, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi fédérale canadienne qui régit la collecte, l'utilisation et la divulgation d'informations personnelles dans le cadre d'activités commerciales dans toutes les provinces canadiennes.
Certaines provinces canadiennes peuvent avoir adopté une législation sur la protection de la vie privée essentiellement similaire à la LPRPDE. Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Une liste actualisée des règles de confidentialité est disponible dans le Centre de confidentialité des données.
Le livre blanc AWS intitulé Utilisation d'AWS afin de répondre aux considérations de confidentialité et de protection des données communes fournit des informations utiles aux clients qui utilisent les services du Nuage AWS pour stocker ou traiter des données personnelles.
Ressources
Spécifique à un pays
Guide de l'utilisateur AWS pour les institutions financières sous réglementation fédérale au Canada
Ce guide fournit des informations pour aider les institutions financières fédérales au Canada à accélérer leur utilisation des services cloud d'Amazon Web Services (AWS). Il décrit les rôles respectifs du client et d'AWS dans la gestion et la sécurisation de l'environnement cloud, et donne un aperçu des exigences réglementaires et des orientations applicables à l'utilisation des services cloud AWS.
Loi sur les activités de paiement de détail (RPAA)
Cette page fournit des conseils aux PSP sur la manière de comptabiliser leur utilisation d'AWS dans le respect de leurs obligations en vertu de la RPAA.
Évaluation du Centre canadien pour la cybersécurité (CCCS)
Le Centre canadien pour la cybersécurité (CCCS) est la source canadienne faisant autorité en matière de conseils d'experts en cybersécurité pour le gouvernement canadien, l'industrie et le grand public. Les organisations des secteurs public et commercial à travers le Canada prennent leur décision d'utiliser Amazon Web Services (AWS) en se fondant sur le processus d'évaluation de la sécurité des technologies de l'information (STI) du fournisseur de services cloud (CSP) du CCCS.
Guide de l'utilisateur AWS sur le programme des marchandises contrôlées (CGP) du Canada
Fournit des informations pour aider les organisations de défense et de sécurité canadiennes qui sont réglementées par Services publics et Approvisionnement Canada (SPAC) dans le cadre du Programme des marchandises contrôlées (PCM) à adopter et à accélérer leur utilisation du cloud d'Amazon Web Services (AWS).
Le guide décrit les rôles respectifs du client et d'AWS dans la gestion et la sécurisation de l'environnement cloud, donne un aperçu des exigences réglementaires et des conseils du SPAC, et fournit des ressources supplémentaires que les organisations de défense et de sécurité peuvent utiliser pour concevoir et architecturer leur environnement AWS afin qu'il soit sécurisé et qu'il réponde aux attentes réglementaires du PCM.
Généralités
Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) sur AWS
Ce guide fournit aux clients des informations leur permettant de planifier et de documenter la conformité de leurs charges de travail AWS à la norme PCI DSS (Payment Card Industry Data Security Standard). Cela inclut la sélection des contrôles qui répondent aux exigences spécifiques de la norme PCI DSS, la planification de la collecte de preuves pour répondre aux procédures de test d'évaluation et l'explication de leur mise en œuvre à leur évaluateur de sécurité qualifié PCI (QSA).
Ce document fournit des informations pour aider les clients qui souhaitent utiliser AWS pour stocker ou traiter du contenu intégrant des données à caractère personnel, dans le contexte des considérations courantes en matière de protection de la vie privée et de protection des données. Il aidera les clients à comprendre le mode de fonctionnement des services AWS, notamment la manière dont ils peuvent aborder la sécurité et chiffrer leur contenu, les emplacements géographiques où les clients peuvent choisir de stocker le contenu et d'autres considérations pertinentes. Découvrez les rôles respectifs du client et d'AWS dans la gestion et la sécurisation du contenu stocké sur les services AWS.
Guide de référence rapide sur la conformité AWS
AWS propose de nombreuses fonctionnalités de conformité que vous pouvez utiliser pour vos charges de travail réglementées dans le Nuage AWS. Ces fonctionnalités vous permettent d'atteindre un niveau de sécurité supérieur à grande échelle. La conformité basée sur le nuage présente un coût d'entrée plus faible, des opérations simplifiées et une agilité accrue en offrant une meilleure supervision, davantage de contrôles de sécurité et une plus grande automatisation centrale.
L'objectif de ce document est de décrire comment AWS et nos clients du secteur des services financiers atteignent une résilience opérationnelle grâce aux services AWS.
Classification des données et adoption sécurisée du nuage
Ce document donne un aperçu des systèmes de classification que les organisations publiques et privées peuvent exploiter lorsqu'elles transfèrent des données vers le nuage. Il identifie les pratiques et les modèles actuellement implémentés par les pionniers et les précurseurs au niveau mondial, examine comment l'implémentation de ces schémas peut simplifier l'adoption du nuage et recommande des pratiques visant à harmoniser les exigences nationales avec les normes et les référentiels reconnus au niveau international.
Perspectives de la stratégie AWS : localisation des données
Ce document aborde les risques réels et perçus pour la sécurité exprimés par les gouvernements quand ils exigent la localisation des données dans le pays. Impact commercial, économique et pour le secteur public des stratégies de localisation des données dans le pays, en mettant l'accent sur les données gouvernementales. Remarques visant à inciter les gouvernements à évaluer les exigences pouvant limiter, de façon non intentionnelle, les objectifs de transformation numérique du secteur public et conduire à une augmentation du risque de cybersécurité, avant de les appliquer.
Ce document vise à fournir des informations afin d'aider les clients AWS à intégrer AWS à leur référentiel de contrôle existant, sur lequel repose leur environnement informatique. Ce document décrit une approche de base pour l'évaluation des contrôles mis en place par AWS et fournit des informations destinées à aider les clients dans leurs efforts d'intégration à leur environnement de contrôle. Il contient également des informations spécifiques concernant AWS et des questions générales de conformité par rapport à l'utilisation du cloud computing.
Conseils en matière d'audit de sécurité AWS
Directive pour l'examen et la surveillance systématiques de vos ressources AWS pour les bonnes pratiques de sécurité.
Avez-vous trouvé les informations que vous recherchiez ?
Faites-nous part de vos commentaires afin que nous puissions améliorer le contenu de nos pages