La nouvelle région AWS Canada Ouest (Calgary) est désormais ouverte
La région AWS Canada Ouest (Calgary), également connue sous le nom de ca-west-1, est désormais disponible. Cette deuxième région canadienne permet aux clients de concevoir des infrastructures multirégionales qui répondent aux cinq neuf normes de disponibilité tout en conservant les données dans le pays.
Cette page fournit aux institutions financières clientes d'AWS des informations sur les obligations réglementaires et juridiques au Canada qui peuvent s'appliquer à leur utilisation des services AWS.
Réglementations
-
Les institutions financières peuvent-elles utiliser AWS ?
Oui. Les institutions financières au Canada sont autorisées à utiliser des services infonuagiques, à condition qu'elles se conforment aux obligations réglementaires et juridiques applicables, telles que celles décrites ci-dessous.
-
Qui sont les régulateurs financiers ?
Le Bureau du surintendant des institutions financières (BSIF) est le régulateur fédéral pour toutes les banques au Canada, ainsi que des sociétés de fiducie et de prêt, des compagnies d'assurance, des associations coopératives de crédit, des sociétés de secours mutuel et des régimes de retraite privés constitués ou enregistrés au niveau fédéral. Le BSIF est chargé de surveiller les institutions financières et les régimes de retraite sous réglementation fédérale afin de déterminer s'ils sont en bonne santé financière et s'ils respectent les exigences applicables. Il publie également des réglementations et des directives qui peuvent avoir une incidence sur la manière dont les clients des services financiers utilisent AWS.
La Banque du Canada, la banque centrale du pays, exerce une surveillance directe sur les systèmes de compensation et de règlement, c'est-à-dire les infrastructures des marchés financiers. La Banque du Canada a la capacité de qualifier certaines infrastructures des marchés financiers comme des « systèmes de paiement importants » ou des « infrastructures des marchés financiers d'importance systémique » et exige que les infrastructures des marchés financiers se conforment à des normes de gestion des risques.
Chaque province et territoire canadien dispose de son propre régulateur chargé de faire respecter les réglementations sur les valeurs mobilières. Les Autorités canadiennes en valeurs mobilières sont une organisation parapluie composée des régulateurs des valeurs mobilières de chaque province et territoire, dont l'objectif est d'améliorer, de coordonner et d'harmoniser la réglementation des valeurs mobilières.
-
Quelles sont les réglementations applicables aux institutions financières utilisant AWS ?
Les institutions financières au Canada peuvent être soumises à un certain nombre de considérations juridiques et réglementaires différentes lorsqu'elles ont recours à des services cloud. Les réglementations et directives applicables aux institutions financières fédérales (« IFF ») sont notamment les suivantes :
La ligne directrice no B-10 du BSIF expose les attentes du BSIF en matière de gestion des risques associés aux accords conclus avec des tiers. La ligne directrice s'applique à tous les accords conclus avec des tiers, y compris les services cloud, mais les attentes du BSIF sont évaluées en fonction du niveau de risque évalué et de l'importance de l'accord pour les activités de l'institution financière. La B-10 inclut des attentes spécifiques concernant la gestion des technologies et des cyber-risques dans le cadre d'accords avec des tiers, ainsi que des attentes spécifiques à l'adoption du cloud.
La directive B-13 du BSIF décrit les attentes du BSIF en matière de saine gestion des risques technologiques et cybernétiques. Bien qu'il n'y ait pas d'exigences spécifiques aux services cloud, les résultats, les principes et les attentes s'appliquent à tous les aspects de la gestion des technologies et des risques cybernétiques, y compris le cloud computing.
La directive E-21 du BSIF énonce les attentes du BSIF en matière de gestion du risque opérationnel par les entités réglementées, défini comme « le risque d'encourir des pertes découlant de lacunes ou de défauts attribuables aux ressources humaines et matérielles, telles que des procédures et des systèmes internes, ou résultant d'événements déclencheurs externes. » Bien qu'elles ne soient pas spécifiques à l'utilisation du cloud, les attentes de cette directive s'appliquent à tous les aspects des opérations d'une entité réglementée, y compris celles qui sont rendues possibles par les services de cloud.
L'avis du BSIF sur la Déclaration des incidents liés à la technologie et à la cybersécurité régit la manière dont les institutions financières sous réglementation fédérale doivent divulguer et déclarer les incidents liés à la technologie et à la cybersécurité au BSIF.
Le BSIF a également publié une Auto-évaluation de la cybersécurité actualisée qui aide les IFF à évaluer et à améliorer leur niveau de préparation face aux nouvelles cybermenaces. L'auto-évaluation de la cybersécurité examine la capacité d'une IFF à réagir à un cyberincident dans des domaines allant de l'organisation et des ressources à la façon dont elle gère les menaces, les risques et les incidents, et permet aux IFF d'évaluer chaque élément sur une échelle allant de l'inexistant à l'amélioration continue.
La Banque du Canada a publié des normes de gestion des risques pour les IMF désignées sur la base des « Principes pour les IMF » établis par le Comité sur les paiements et les infrastructures de marché (CPIM) de la Banque des règlements internationaux (BRI) et l'Organisation internationale des commissions de valeurs (OICV). Outre ces normes générales de gestion des risques, la Banque du Canada a publié des directives spécifiques sur les attentes en matière de cyberrésilience des infrastructures des marchés financiers et les rapports sur les incidents liés à la cybertechnologie et aux technologies de l'information.
Les réglementations évoluent rapidement dans ce domaine et AWS s'efforce d'aider ses clients à répondre de manière proactive aux nouvelles règles et directives. AWS encourage ses institutions financières clientes à obtenir des conseils appropriés sur leur conformité à toutes les exigences réglementaires et légales qui sont pertinentes pour leur activité, ainsi qu'aux réglementations, directives et lois locales.
-
Principales considérations pour les institutions financières utilisant AWS
AWS s'engage à offrir aux clients un référentiel de conformité solide, ainsi que des mesures de sécurité et des outils avancés que les clients peuvent utiliser pour évaluer, respecter et démontrer la conformité aux obligations réglementaires et juridiques applicables.
Les institutions financières qui utilisent ou prévoient d'utiliser les services AWS peuvent prendre les mesures suivantes pour mieux cerner leurs besoins en matière de conformité :
1. Tenir compte de la finalité de la ou des charges de travail envisagées et des catégories de données pertinentes afin d'anticiper les obligations réglementaires et légales susceptibles de s'appliquer.
2. Évaluez le niveau de risque et la criticité de la ou des charges de travail pertinentes par rapport aux opérations de l'institution financière. Ligne directrice no B-10 décrit les considérations relatives à l'évaluation du risque et de la criticité des accords avec des tiers.
3. Examinez le modèle de responsabilité partagée d'AWS et mettez en correspondance les responsabilités d'AWS et celles du client en fonction de chaque service AWS qui sera utilisé. Les clients peuvent également utiliser AWS Artifact pour accéder aux rapports d'audit d'AWS et mener leur évaluation des responsabilités en matière de contrôle.
Les clients qui ont d'autres questions sur la façon dont les services AWS peuvent répondre à leurs besoins en matière de sécurité et de conformité, ou qui souhaitent obtenir plus d'informations, peuvent contacter leur représentant.
-
Principales considérations en matière de protection et de la confidentialité des données pour les institutions financières utilisant AWS
Les institutions financières au Canada qui ont recours à AWS doivent également tenir compte des exigences applicables en matière de protection de la vie privée, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi fédérale canadienne qui régit la collecte, l'utilisation et la divulgation de renseignements personnels dans le cadre d'activités commerciales dans toutes les provinces canadiennes.
Certaines provinces canadiennes peuvent avoir adopté une législation sur la protection de la vie privée essentiellement similaire à la LPRPDE. Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Une liste actualisée des réglementations en matière de protection de la vie privée est disponible dans le Centre de protection de la confidentialité des données.
Le livre blanc AWS intitulé Utilisation d'AWS afin de répondre aux exigences de confidentialité et de protection des données communes fournit des informations utiles aux clients qui utilisent les services cloud AWS pour stocker ou traiter des données personnelles.
Ressources
-
Spécifique à un pays
-
Généralités
-
Programmes de conformité
-
Spécifique à un pays
-
Évaluation du Centre canadien pour la cybersécurité (CCCS)
Le Centre canadien pour la cybersécurité (CCCS) fait autorité en matière de conseils d'experts en cybersécurité pour le gouvernement canadien, l'industrie et le grand public. Les organisations des secteurs public et commercial à travers le Canada prennent leur décision d'utiliser Amazon Web Services (AWS) en se fondant sur le processus d'évaluation de la sécurité des technologies de l'information (STI) du fournisseur de services cloud (CSP) du CCCS.
Fournit des informations pour aider les organisations de défense et de sécurité canadiennes qui sont réglementées par Services publics et Approvisionnement Canada (SPAC) dans le cadre du Programme des marchandises contrôlées (PCM) à adopter et à accélérer leur utilisation du cloud d'Amazon Web Services (AWS).
Le guide décrit les rôles respectifs du client et d'AWS dans la gestion et la sécurisation de l'environnement cloud, donne un aperçu des exigences réglementaires et des conseils du SPAC, et fournit des ressources supplémentaires que les organisations de défense et de sécurité peuvent utiliser pour concevoir et architecturer leur environnement AWS afin qu'il soit sécurisé et qu'il réponde aux attentes réglementaires du PCM.
Ce guide fournit des informations pour aider les institutions financières fédérales au Canada à accélérer leur utilisation des services cloud d'Amazon Web Services (AWS). Il décrit les rôles respectifs du client et d'AWS dans la gestion et la sécurisation de l'environnement cloud, et donne un aperçu des exigences réglementaires et des orientations applicables à l'utilisation des services cloud AWS.
-
Généralités
-
Norme de sécurité des données relatives à l'industrie des cartes de paiement (PCI DSS) 3.2.1 sur AWS
Ce guide fournit aux clients suffisamment d'informations pour pouvoir se préparer et documenter la conformité de leurs charges de travail AWS avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Il aborde la sélection des contrôles qui répondent aux exigences spécifiques de la norme PCI DSS 3.2.1, la planification de la collecte de preuves pour respecter les procédures de test d'évaluation et l'explication de la mise en œuvre des contrôles à l'évaluateur de sécurité qualifié PCI (QSA).
Ce document fournit des informations pour aider les clients qui souhaitent utiliser AWS pour stocker ou traiter du contenu intégrant des données à caractère personnel, dans le contexte des considérations courantes en matière de protection de la vie privée et de protection des données. Il aidera les clients à comprendre le mode de fonctionnement des services AWS, notamment la manière dont ils peuvent aborder la sécurité et chiffrer leur contenu, les emplacements géographiques où les clients peuvent choisir de stocker le contenu et d'autres considérations pertinentes. Découvrez les rôles respectifs du client et d'AWS dans la gestion et la sécurisation du contenu stocké sur les services AWS.
AWS propose de nombreuses fonctionnalités de conformité que vous pouvez utiliser pour vos charges de travail réglementées dans le Nuage AWS. Ces fonctionnalités vous permettent d'atteindre un niveau de sécurité supérieur à grande échelle. La conformité basée sur le nuage présente un coût d'entrée plus faible, des opérations simplifiées et une agilité accrue en offrant une meilleure supervision, davantage de contrôles de sécurité et une plus grande automatisation centrale.
L'objectif de ce document est de décrire comment AWS et nos clients du secteur des services financiers atteignent une résilience opérationnelle grâce aux services AWS.
Ce document donne un aperçu des systèmes de classification que les organisations publiques et privées peuvent exploiter lorsqu'elles transfèrent des données vers le nuage. Il identifie les pratiques et les modèles actuellement implémentés par les pionniers et les précurseurs au niveau mondial, examine comment l'implémentation de ces schémas peut simplifier l'adoption du nuage et recommande des pratiques visant à harmoniser les exigences nationales avec les normes et les référentiels reconnus au niveau international.
Ce document aborde les risques réels et perçus pour la sécurité exprimés par les gouvernements quand ils exigent la localisation des données dans le pays. Impact commercial, économique et pour le secteur public des stratégies de localisation des données dans le pays, en mettant l'accent sur les données gouvernementales. Remarques visant à inciter les gouvernements à évaluer les exigences pouvant limiter, de façon non intentionnelle, les objectifs de transformation numérique du secteur public et conduire à une augmentation du risque de cybersécurité, avant de les appliquer.
Ce document vise à fournir des informations afin d'aider les clients AWS à intégrer AWS à leur référentiel de contrôle existant, sur lequel repose leur environnement informatique. Ce document décrit une approche de base pour l'évaluation des contrôles mis en place par AWS et fournit des informations destinées à aider les clients dans leurs efforts d'intégration à leur environnement de contrôle. Il contient également des informations spécifiques concernant AWS et des questions générales de conformité par rapport à l'utilisation de l’infonuagique.
Directive pour l'examen et la surveillance systématiques de vos ressources AWS pour les bonnes pratiques de sécurité.
-
Programmes de conformité
-
CSA
ISO 27018
ISO 9001
RGPD
ISO 27001
PCI DSS, niveau 1
ISO 27017
Contrôles des organisations et systèmes, SOC
Nous nous adaptons constamment à l'évolution de la réglementation. Vérifiez fréquemment les mises à jour.