Compte infonuagique Se connecter au nuage Inscrivez-vous au palier infonuagique gratuitement

Compte Oracle

Conformité en nuage d'Oracle

Oracle s'engage à aider les clients à exercer leurs activités dans un environnement d'affaires en rapide évolution et à répondre aux défis d'un environnement réglementaire de plus en plus complexe.

Modèle de gestion partagée

L'informatique en nuage est fondamentalement différente de l'informatique traditionnelle sur place. Dans le modèle traditionnel, les organisations contrôlent généralement entièrement leur infrastructure technologique située sur place (par exemple, le contrôle physique du matériel et le contrôle complet de la pile de technologies en production). Dans le nuage, les organisations tirent parti des ressources et des pratiques sous le contrôle d'un fournisseur de services en nuage, tout en gardant le contrôle et la responsabilité des autres composants de leur solution informatique. Par conséquent, la gestion de la sécurité et de la confidentialité dans le nuage est souvent une responsabilité partagée entre le client du nuage et le fournisseur de services infonuagiques. La répartition des responsabilités entre le fournisseur de services infonuagiques et le client varie également selon la nature du service en nuage (infrastructure-service, plateforme-service, logiciel-service).

Avant le déploiement des services en nuage d'Oracle, Oracle recommande fortement aux clients du nuage d'analyser officiellement leur stratégie infonuagique afin de déterminer s'il convient d'utiliser les services en nuage d'Oracle applicables en fonction de leurs propres obligations juridiques et réglementaires en matière de conformité. Cette détermination demeure la seule responsabilité des clients.

Attestations
Avis

Attestations

Oracle fournit des renseignements sur les cadres pour lesquels un secteur d'activité d'Oracle a obtenu une attestation ou une certification de tierce partie pour un ou plusieurs de ses services sous la forme d'« attestations ». Ces attestations peuvent vous aider sur le plan de la conformité et de la production de rapports. Elles permettent une évaluation indépendante des contrôles de sécurité, de confidentialité et de conformité des services en nuage applicables d'Oracle. Au moment d'examiner ces attestations de tierce partie, il importe de tenir compte du fait qu'elles sont généralement propres à un service en nuage donné et qu'elles peuvent également être propres à un centre de données particulier ou à une région géographique particulière. Cliquer sur un cadre de conformité extrait les détails pertinents. Veuillez noter que ces renseignements peuvent être modifiés et mis à jour fréquemment, sont fournis « tels quels » et sans garantie et ne sont pas intégrés aux contrats.

Les clients peuvent obtenir plus de renseignements sur les attestations offertes en communiquant avec leur représentant d'Oracle.

Global

Attestation	Oracle Cloud Infrastructure	Applications d'Oracle	NetSuite	Secteurs d’activité d’Oracle	Santé Oracle
Attestation STAR de CSA Attestation Security Trust Assurance and Risk de la Cloud Security Alliance Attestation STAR de la CSA La Cloud Security Alliance (CSA) est une organisation qui fait la promotion de pratiques exemplaires pour fournir l'assurance de sécurité dans l'informatique en nuage. L'attestation Security Trust, Assurance and Risk (STAR) de la CSA prévoit qu'une évaluation doit être effectuée par un tiers réputé pour confirmer la mise en œuvre des contrôles de sécurité nécessaires. Cette évaluation se fonde sur la Cloud Controls Matrix (CCM) de la CSA et sur les contrôles des normes SOC 2 et ISO/IEC 27001. Pour plus de renseignements, se reporter à https://cloudsecurityalliance.org/star/	oui	oui
GSMA SAS-SM Opérations et gestion de centre de données GSMA SAS-SM GSMA SAS-SM Global System for Mobile Communications Association (GSMA) est une organisation mondiale qui représente les intérêts des opérateurs de réseaux mobiles et des entreprises connexes dans le secteur des télécommunications. Le système d'accréditation de sécurité (SAS) de la GSMA vise à permettre aux opérateurs de services mobiles d'évaluer la sécurité de leurs fournisseurs de cartes de circuits intégrés universels (UICC) et d'UICC intégrés (eUICC), ainsi que de leurs fournisseurs de services de gestion des abonnements eUICC. Pour plus de renseignements, consultez la page https://www.gsma.com/security/security-accreditation-scheme/	oui
ISO 9001 ISO 9001 : Systèmes de gestion de la qualité ISO 9001 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) forment le système spécialisé de normalisation mondiale. La famille de normes ISO 9001 repose sur un certain nombre de principes de gestion de la qualité, y compris un fort accent sur les clients. Elle est destinée à « aider les entreprises à démontrer qu'elles sont en mesure de fournir systématiquement à leurs clients des produits et services de bonne qualité ». Pour plus de renseignements, consultez la page https://www.iso.org/fr/standard/62085.html	oui			oui
ISO/IEC 20000-1 ISO/IEC 20000-1 : Systèmes de management des services ISO/IEC 20000-1 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont élaboré la norme ISO/CEI 20000-1 (SMS) reconnue sur le plan international. Elle a pour but de faciliter la conception, la transition, la prestation et l'amélioration des services pour répondre aux exigences convenues en matière de service. Pour plus de renseignements, consultez la page https://www.iso.org/fr/standard/70636.html	oui
ISO/IEC 27001 ISO/IEC 27001 : Systèmes de management de la sécurité de l'information ISO/IEC 27001 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont élaboré la norme ISO/CEI 27001 internationalement reconnue. Elle vise à fournir des orientations pour la mise en place et l'amélioration continue d'un système de management de la sécurité de l'information dans le cadre de l'organisation. Elle comprend également des exigences pour l'évaluation et le traitement des risques liés à la sécurité de l'information, adaptés aux besoins de l'organisation. Pour plus de renseignements, consultez la page https://www.iso.org/fr/isoiec-27001-information-security.html	oui	oui	oui	oui	oui
ISO/IEC 27017 ISO/IEC 27017 : Contrôles propres au nuage ISO/IEC 27017 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont élaboré la norme ISO/CEI 27017, un ensemble de lignes directrices pour les contrôles de sécurité des informations applicables à la prestation et à l'utilisation de services infonuagiques. Elle vise à fournir des conseils de mise en oeuvre supplémentaires pour les contrôles pertinents précisés dans la norme ISO/IEC 27002 et des conseils qui concernent expressément les services en nuage. Pour plus de renseignements, consultez la page https://www.iso.org/fr/standard/82878.html	oui	oui			oui
ISO/IEC 27018 ISO/IEC 27018 : Contrôles de protection des informations personnelles ISO/IEC 27018 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont élaboré la norme ISO/CEI 27018, qui sera utilisée conjointement avec les objectifs et contrôles de sécurité des informations de la norme ISO/CEI 27002. Elle vise à créer un ensemble commun de catégories et de contrôles de sécurité pouvant être mis en oeuvre par un fournisseur de services infonuagiques publics agissant en tant que processeur d'informations personnelles identifiables. Pour plus de renseignements, consultez la page https://www.iso.org/fr/standard/76559.html	oui	oui	oui	oui	oui
ISO/IEC 27701 ISO/IEC 27701 : Management de la protection de la vie privée ISO/IEC 27701 L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont rédigé la norme ISO/CEI 27701. Elle vise à fournir des conseils pour la mise en place et l'amélioration continue d'un système de management de la protection de la vie privée (PIMS) qui traite les informations personnelles identifiables (PII). Cette norme est une extension de la norme ISO/IEC 27001 et ISO/IEC 27002 pour la protection de la vie privée. Pour plus de renseignements, consultez la page https://www.iso.org/fr/standard/71670.html	oui
PCI DSS Norme de sécurité des données de l'industrie des cartes de paiement Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) La Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l'information pour les organisations qui gèrent des cartes de crédit de marque à partir des principaux systèmes de cartes. Elle a pour but d'encourager et d'améliorer la sécurité des données des titulaires de carte et de faciliter l'adoption généralisée de pratiques de sécurité des données cohérentes à l'échelle mondiale. La Norme de sécurité de l'industrie des cartes de paiement est mandatée par les marques de cartes, mais administrée par le Conseil des normes de sécurité de l'industrie des cartes de paiement. Pour plus de renseignements, consultez la page https://fr.pcisecuritystandards.org/minisite/env2/	oui	oui	oui	oui	oui
SOC 1 System and Organization Controls 1 SOC 1 Les System and Organization Controls (SOC) sont un programme de l'American Institute of Certified Public Accountants (AICPA). Il est destiné à fournir des rapports de contrôle interne sur les services fournis par une organisation de service. Un rapport des SOC 1 aide les entreprises à établir la confiance dans les processus et les contrôles de prestation de service. Ces rapports ont pour objet les contrôles internes à l’égard de l’information financière. Pour plus de renseignements, consultez la page https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-1	oui	oui	oui	oui	oui
SOC 2 System and Organization Controls 2 SOC 2 Les System and Organization Controls (SOC) sont un programme de l'American Institute of Certified Public Accountants (AICPA). Il est destiné à fournir des rapports de contrôle interne sur les services fournis par une organisation de service. Un rapport des SOC 2 fournit des renseignements sur les contrôles internes d'une organisation de service à des fins de sécurité, de disponibilité, d'intégrité de traitement, de confidentialité ou de protection de la vie privée. Ce rapport vise à fournir des renseignements détaillés et une assurance sur les contrôles pertinents pour la sécurité, la disponibilité et l'intégrité de traitement des systèmes utilisés pour traiter les données des utilisateurs ainsi que la confidentialité et la protection des renseignements traités par ces systèmes. Pour plus de renseignements, consultez la page https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-1	oui	oui	oui	oui	oui
SOC 3 System and Organization Controls 3 SOC 3 Les System and Organization Controls (SOC) sont un programme de l'American Institute of Certified Public Accountants (AICPA). Il est destiné à fournir des rapports de contrôle interne sur les services fournis par une organisation de service. Un rapport des SOC 3 fournit des renseignements sur les contrôles internes d'une organisation de service à des fins de sécurité, de disponibilité, d'intégrité de traitement, de confidentialité ou de protection de la vie privée. Ces rapports sont plus courts que les rapports des SOC 2 et comportent moins de détails. Pour plus de renseignements, consultez la page https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-1	oui	oui			oui

Amériques

Attestation	Oracle Cloud Infrastructure	Applications d'Oracle	NetSuite	Secteurs d’activité d’Oracle	Santé Oracle
DoD DISA SRG Department of Defense, Defense Information Systems Agency, Systems Requirement Guide DoD DISA SRG Le Cloud Computing Security Requirements Guide (CC SRG) de la Defense Information Systems Agency (DISA) des États-Unis indique comment le département de la Défense (DoD) américain évaluera la posture de sécurité des fournisseurs de services en nuage distincts du DoD. En outre, le CC SRG explique comment les fournisseurs de services en nuage distincts du DoD peuvent démontrer qu'ils respectent les contrôles de sécurité et les exigences avant de traiter les données du DoD. Le CC SRG prévoit la catégorisation suivante : Niveau d'incidence 2 : Données autorisées pour divulgation publique (remarque : le niveau 1 été combiné avec le niveau 2) Niveau d'incidence 4 : Informations non classifiées contrôlées (CUI) sur le Non-Secure Internet Protocol Router Network (NIPRNet). Les CUI incluent les informations protégées sur la santé, les informations personnelles identifiables (PII) et les données contrôlées sur l'exportation (remarque : le niveau 3 a été combiné avec le niveau 4) Niveau d'incidence 5 : CUI plus sensibles, informations critiques à la mission ou NSS sur NIPRNet Niveau d'incidence 6 : Données classifiées sur le Secret Internet Protocol Router Network (SIPRNet) Pour plus de renseignements, consultez la page https://dl.dod.cyber.mil/wp-content/uploads/cloud/zip/U_Cloud_Computing_SRG_V1R4.zip	oui	oui
FedRAMP Federal Risk and Authorization Management Program FedRAMP Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement américain conçu pour fournir une approche normalisée en matière d'évaluation de la sécurité, d'autorisation et de surveillance continue pour les produits et services en nuage. L'Office of Management and Budget (OMB) exige des organismes fédéraux américains qu'ils utilisent FedRAMP pour garantir la sécurité lors de l'accès à des produits et à des services en nuage. FedRAMP utilise la National Institute of Standards and Technology (NIST) Special Publication 800-53, qui fournit un catalogue de contrôles de sécurité pour tous les systèmes d'information fédéraux américains. FedRAMP exige des fournisseurs de services en nuage qu'un examen de sécurité indépendant soit effectué par une organisation d'évaluation tierce (3PAO) afin de s'assurer que les autorisations sont conformes à la loi FISMA (Federal Information Security Management Act). Pour plus de renseignements, consultez la page https://marketplace.fedramp.gov/#!/products?sort=productName&productNameSearch=oracle	oui	oui
FIPS 140 Federal Information Processing Standards Publication 140 FIPS 140 La Federal Information Processing Standards Publication 140-2 (FIPS 140-2) est une norme de sécurité du gouvernement américain publiée par le National Institute of Standards and Technology (NIST) qui précise les exigences de sécurité liées à la conception et à la mise en oeuvre de modules de cryptographie pour protéger les données sensibles. Pour plus de renseignements, consultez la page https://csrc.nist.gov/publications/detail/fips/140/2/final Pour en savoir plus sur les certifications FIPS d'Oracle : https://www.oracle.com/corporate/security-practices/assurance/development/external-security-evaluations/fips/certifications.html	Sans objet	Sans objet	Sans objet	Sans objet
HITRUST CSF Health Information Trust Alliance Common Security Framework HITRUST CSF La Health Information Trust Alliance (HITRUST) est une organisation qui représente le secteur de la santé. Elle a créé et tient à jour le Common Security Framework (CSF), un cadre par lequel les fournisseurs de services en nuage et les entités de santé couvertes peuvent démontrer leur conformité aux exigences de la loi américaine HIPAA (Health Insurance Portability and Accountability Act). Pour plus de renseignements, consultez la page https://hitrustalliance.net/	oui				oui
HIPAA Health Insurance Portability and Accountability Act HIPAA La loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 est une loi fédérale américaine. Elle exige la création de normes nationales pour protéger les informations sensibles sur la santé des patients contre toute divulgation sans le consentement ou la connaissance du patient. Pour plus de renseignements, consultez la page https://www.hhs.gov/hipaa/	oui	oui	oui	oui	oui
StateRAMP : TX-RAMP Programme de gestion des risques et des autorisations du Texas (TX-RAMP) StateRAMP : TX-RAMP Le programme de gestion des risques et des autorisations du Texas (TX-RAMP) permet de collecter des informations sur la situation en matière de sécurité des services en nuage et d'évaluer si les réponses sont conformes à la documentation et aux contrôles requis. Pour plus d'informations, consultez https://dir.texas.gov/texas-risk-and-authorization-management-program-tx-ramp	oui	oui	oui

Europe, Moyen-Orient et Afrique

Attestation	Oracle Cloud Infrastructure	Applications d'Oracle	NetSuite	Secteurs d’activité d’Oracle	Santé Oracle
ACN Décret dela direction de l'administration publique italienne Prot. N. 5489 ACN L'Agence nationale italienne de cybersécurité (Agenzia Per La Cybersicurezza nazionale ou ACN) est un organisme gouvernemental italien qui gère le « catalogue des services infonuagiques qualifiés pour l'administration publique (AP) ». L'ACN fournit « un cheminement de qualification pour les entités publiques et privées afin de fournir des infrastructures et des services en nuage à l'administration publique (AP) avec des normes élevées de sécurité, d'efficacité et de fiabilité ». Pour plus de renseignements, consultez la page https://www.acn.gov.it/strategia/strategia-cloud-italia/qualificazione-cloud	oui	oui
C5 Cloud Computing Compliance Controls Catalog C5 Le Cloud Computing Compliance Controls Catalog (C5) a été créé par l'Office fédéral allemand de la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) en 2016. L'objectif de cette norme consiste à établir une ligne de base minimale obligatoire pour la sécurité du nuage et l'adoption de solutions de nuage public par les organismes et organisations gouvernementaux allemands qui travaillent avec le gouvernement. Pour plus de renseignements, consultez la page https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_Einfuehrung/C5_Einfuehrung_node.html	oui	oui
CST CCRF Cadre réglementaire de l'informatique en nuage (CST CCRF) CST CCRF La Commission des communications, de l'espace et de la technologie (CST) d'Arabie saoudite a publié le cadre de réglementation de l'informatique en nuage (CCRF). Le cadre réglementaire s'applique aux services d'informatique en nuage fournis aux abonnés habitant ou ayant une adresse d'abonné dans le Royaume et établit un certain nombre d'exigences en matière de sécurité et de confidentialité. Pour plus de renseignements, consultez la page https://www.cst.gov.sa/en/RulesandSystems/RegulatoryDocuments/ Documents/CCRF_En.pdf	oui
Cyber Essentials Cyber Essentials Cyber Essentials Cyber Essentials est un système gouvernemental britannique destiné à aider les organisations participantes à se protéger contre toute une gamme des cyberattaques les plus courantes. Le programme vise à établir des tests plus rigoureux des systèmes de cybersécurité de l'organisation, dans le cadre desquels les experts en cybersécurité effectuent des tests de vulnérabilité pour s'assurer que l'organisation est protégée contre les attaques de piratage et d'hameçonnage de base. Pour plus de renseignements, consultez la page https://www.ncsc.gov.uk/cyberessentials/overview	oui	oui		oui
DESC CSPSS Dubai Electronic Security Center (DESC) Cloud Service Provider (CSP) Security Standard (norme de sécurité pour fournisseurs de services infonuagiques du Dubai Electronic Security Center) DESC CSPSS La norme de sécurité pour fournisseurs de services infonuagiques produite par Dubai Electronic Security Center (DESC) est un ensemble d'exigences et de directives pour les fournisseurs de services infonuagiques et les organisations qui utilisent des services en nuage. La norme de sécurité pour fournisseurs de services infonuagiques comprend des exigences en matière de conformité avec les pratiques exemplaires internationales propres aux services en nuage. Ces pratiques sont basées sur des normes mondiales de sécurité de l'information comme ISO/IEC 27001:2013; ISO/IEC 27002:2013; ISO/IEC 27017:2015; ISR:2017 v.02, et Cloud Control Matrix 3.0.1 de CSA. Pour plus d'informations, consultez https://www.desc.gov.ae/regulations/certifications/	oui	oui
ENS Esquema Nacional de Seguridad (loi 11/2007) ENS La loi espagnole 11/2007 établit un cadre juridique permettant aux citoyens d'accéder aux services publics et gouvernementaux par voie électronique. Conformément à la norme ISO/IEC 27001, le cadre définit un ensemble de contrôles de sécurité pour la disponibilité, l'authenticité, l'intégrité, la confidentialité et la traçabilité. La certification établit des normes de sécurité qui s'appliquent à tous les organismes gouvernementaux et organisations publiques en Espagne, ainsi qu'aux fournisseurs de services connexes. Pour plus de renseignements, consultez la page https://administracionelectronica.gob.es/pae_Home/pae_Estrategias/pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html?idioma=en#.YH9f2edlCUm	oui	oui		oui
Code de conduite cloud de l'UE Code de conduite cloud de l'Union européenne (UE) Code de conduite cloud de l'UE Le Code de conduite cloud de l'Union européenne (UE) est un ensemble d'exigences qui peuvent aider les fournisseurs de services infonuagiques à documenter leurs contrôles par rapport au Règlement général sur la protection des données (RGPD) de l'Union européenne. L'intention de l'UE est de permettre aux clients du nuage de déterminer plus facilement si certains services infonuagiques sont adaptés à leur objectif désigné. Pour plus de renseignements, consultez la page https://eucoc.cloud/en/about/about-eu-cloud-coc/		oui	oui
HDS Hébergeur de Données de Santé HDS Hébergeur de Données de Santé (HDS) est une certification formelle requise par les lois françaises. Elle est requise pour toute organisation commerciale qui contrôle, stocke, traite ou transmet des informations de santé personnellement identifiables en France. Pour plus de renseignements, consultez la page https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante	oui	oui			oui
TISAX Trusted Information Security Assessment Exchange TISAX Le Trusted Information Security Assessment Exchange (TISAX) est un mécanisme d'évaluation et d'échange pour la sécurité de l'information des entreprises et permet de reconnaître les résultats de l'évaluation parmi les participants. Il est maintenu par l'ENX Association, une organisation composée de constructeurs automobiles, de fournisseurs et d'associations automobiles nationales. Pour plus de renseignements, consultez la page https://enx.com/en-US/TISAX/	oui	oui
UAE IAR Information Security Requirements United Arab Emirates (UAE) Information Assurance Regulation (IAR) Information Security Requirements UAE IAR Information Security Requirements La Telecommunication Regulatory Authority (TRA) des Émirats arabes unis a publié l'Information Assurance Regulation (IAR) afin de fournir des exigences en matière de sécurité de l'information pour les secteurs critiques des infrastructures aux Émirats arabes unis. Les entités désignées par la TRA sont tenues de mettre en œuvre le cadre de l'IAR et d'appliquer ses exigences à l'utilisation, au traitement, au stockage et à la transmission d'informations ou de données. Pour plus de renseignements, consultez la page https://www.tdra.gov.ae/en/about-tra/telecommunication-sector/regulations-and-ruling/details.aspx#documents		oui

Asie-Pacifique

Attestation	Oracle Cloud Infrastructure	Applications d'Oracle
Cadre de certification d'hébergement Australia Hosting Certification Framework (le cadre) Cadre de certification d'hébergement Le cadre de certification d'hébergement du gouvernement australien vise à fournir des « directives aux clients du gouvernement australien leur permettant d'identifier et de rechercher des services d'hébergement qui répondent à des exigences améliorées en matière de confidentialité, de souveraineté et de sécurité ». Pour plus de renseignements, consultez la page https://www.hostingcertification.gov.au/framework	oui
IRAP Information Security Registered Assessor Program IRAP L'Information Security Registered Assessors Program (IRAP) est une initiative de l'Australian Signals Directorate (ASD). IRAP est le programme des évaluateurs développé par le Cyber Security Centre (ASD/ACSC) du gouvernement australien pour évaluer les services en nuage destinés à l'utilisation des organismes gouvernementaux et non gouvernementaux. Il est destiné à « fournir le cadre nécessaire pour approuver les personnes des secteurs privé et public afin de fournir des services d'évaluation de la cybersécurité aux gouvernements australiens ». Pour plus de renseignements, consultez la page https://www.cyber.gov.au/irap	oui	oui
ISMAP Information System Security Management and Assessment Program ISMAP L'Information System Security Management and Assessment Program (ISMAP) est un programme gouvernemental japonais pour l'évaluation de la sécurité des services en nuage publics. Il est destiné à « favoriser un ensemble commun de normes de sécurité pour le fournisseur de services infonuagiques afin de se conformer aux exigences de base en matière d'approvisionnement gouvernemental ». Pour plus de renseignements, consultez la page https://www.oracle.com/jp/cloud/compliance/ismap/	oui
ISMS (anciennement K-ISMS) Information Security Management System ISMS (anciennement K-ISMS) Le Information Security Management System de la Corée (anciennement K-ISMS, maintenant ISMS) est un cadre ISMS propre au pays. Il vise à définir un ensemble d'exigences de contrôle visant à garantir que les organisations en Corée protègent de manière cohérente et sécurisée leurs actifs d'information. Pour plus de renseignements, consultez la page https://elaw.klri.re.kr/eng_service/ebook.do?hseq=38422#68	oui
Directives de sécurité informatique du MeitY Directives de sécurité informatique du Ministère de l'Électronique et des Technologies de l'information (MeitY) Directives de sécurité informatique du MeitY Le ministère indien de l'Électronique et des Technologies de l'information (MeitY) a défini les lignes directrices sur la sécurité informatique dans un ensemble de normes et de directives qui permettent de certifier les services infonuagiques sur certains aspects comme la sécurité, l'interopérabilité, la portabilité des données, le contrat de niveau de service, et les conditions contractuelles. Ces directives sont basées sur des normes mondiales de sécurité de l'information comme ISO/IEC 27001:2013; ISO/IEC 20000:1; ISO/IEC 27017:2015; ISO/IEC 27018:2014; et TIA-942/ UPTIME (niveau III ou supérieur). Pour plus d'informations, consultez https://www.meity.gov.in/writereaddata/files/act2000_0.pdf	oui
MTCS Multi-Tier Cloud Security Standard de Singapour MTCS La norme Multi-Tier Cloud Security (MTCS) Standard (MTCS) de Singapour a été établie sous la direction de l'Information Technology Standards Committee (ITSC) de l'Infocomm Development Authority (IDA) de Singapour. Il vise « à promouvoir et à faciliter les programmes nationaux de normalisation des technologies de l'information et des communications et la participation de Singapour aux activités de normalisation internationale ». Pour plus de renseignements, consultez la page https://www.imda.gov.sg/regulations-and-licensing-listing/ict-standards-and-quality-of-service/it-standards-and-frameworks/compliance-and-certification	oui	oui
OSPAR Rapport de vérification du fournisseur de services externalisés OSPAR L’Association des banques de Singapour (ABS) fournit des lignes directrices sur les objectifs et les procédures de contrôle pour les fournisseurs de services externalisés de l’institution financière (OSP) opérant à Singapour. L’ABS définit des directives pour les fournisseurs de services externalisés qui sont importants pour les banques ou qui ont accès aux informations des clients de l’institution financière. Pour plus d’informations, consultez le site https://www.abs.org.sg/industry-guidelines/outsourcing

Avis et informations générales

Oracle fournit des renseignements généraux sur certains des cadres de conformité énumérés ci-dessous sous la forme d'avis. Ces avis sont fournis pour vous aider à déterminer l'aptitude à utiliser des services en nuage particuliers d'Oracle et pour vous aider à mettre en oeuvre des contrôles techniques particuliers qui peuvent vous aider à vous acquitter de vos obligations de conformité. Ces avis ne sont pas des conseils juridiques et vous demeurez l'unique responsable de déterminer si un service ou une configuration particulière d'Oracle en nuage, ou les deux, respecte vos obligations juridiques et réglementaires.

Région	Pays	Avis
Global		Directives sur les bonnes pratiques (GxP) U.S. Food & Drug Administration Electronic Records; Electronic Signatures Rule:21 CFR 11 and General GxP Applicability for Oracle Fusion Cloud Supply Chain and Manufacturing (PDF) Directives sur Oracle Cloud Infrastructure et bonnes pratiques (GxP) (PDF) Services en nuage des sciences de la vie Oracle et directives GxP (PDF) Directives sur les bonnes pratiques (GxP) Les directives sur les bonnes pratiques (GxP) et les règlements comprennent un ensemble de directives mondiales pour la traçabilité, la responsabilité et l'intégrité des données. Elles visent à assurer l'innocuité de la nourriture, des dispositifs médicaux, des médicaments et d'autres produits de sciences de la vie, tout en maintenant la qualité des processus tout au long de chaque étape de fabrication, de contrôle, de stockage et de distribution. Certains des principaux organismes de réglementation comprennent la Food & Drug Administration (FDA) aux États-Unis, la Therapeutic Goods Administration (TGA) en Australie et Santé Canada (SC) au Canada. GxP comprend des ensembles de réglementations variés, mais les plus courants sont GCP, GLP et GMP. Pour plus de renseignements, consultez la page https://www.fda.gov/drugs/guidance-compliance-regulatory-information.
Amériques	Brésil	Exigences en matière de services numériques de la résolution 4893 de la Banque centrale du Brésil (BACEN) Résolution 4 893 de CMN d'Oracle Cloud Infrastructure et de la Banque centrale du Brésil (BACEN) du 26 février 2021 (PDF) Liste de vérification des contrats Oracle pour la résolution CMN 4 893 de la Banque centrale du Brésil (BACEN) du 26 février 2021 (PDF) Applications Oracle Cloud (SaaS) et résolution 4893 BACEN CMN (PDF) Exigences en matière de services numériques de la résolution 4893 de la banque centrale du Brésil (BACEN) La BACEN a émis la résolution n 4893 le 26 février 2021. Cette résolution décrit plusieurs exigences en matière de services numériques concernant les institutions financières réglementées, dont la politique de cybersécurité, le traitement des données, le stockage, et les services informatiques en nuage. Cette résolution vise à guider les institutions financières dans l'évaluation des fournisseurs de services en nuage et à établir des contrôles pour gérer cette relation. Pour plus d'informations, consultez https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolução CMN&numero=4893
Lei Geral de Proteção de Dados (LGPD), loi fédérale 13 709/18 Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) Lei Geral de Proteção de Dados Lei (LGPD), loi fédérale 13.709/18 La Lei Geral de Proteção de Dados Lei (LGPD), loi fédérale13.709/18 du Brésil est passée en août 2018 dans le but de promouvoir et de protéger la confidentialité, ainsi que de réguler la façon dont les entreprises brésiliennes traitent les renseignements personnels. La loi couvre toutes les entreprises qui offrent des services ou ont des opérations impliquant le traitement des données au Brésil. Pour plus d'information, consultez https://www.lgpdbrasil.com.br/o-que-muda-com-a-lei/
Canada	Exigences de sécurité canadiennes pour les renseignements de niveau « Protégé B » Exigences de sécurité canadiennes pour les renseignements de niveau « Protégé B » Les contrats du gouvernement fédéral au Canada contiennent des clauses ayant des exigences de sécurité qui précisent les niveaux de sécurité pour les renseignements, les actifs et les lieux de travail sensibles. Le gouvernement canadien a établi des niveaux de protection de l'information et des biens, et le niveau B s'applique aux renseignements ou aux biens dont la perte ou les dommages pourraient causer des dommages graves à une personne, à une organisation ou à un gouvernement. Pour plus de renseignements, consultez la page https://www.tpsgc-pwgsc.gc.ca/esc-src/protection-safeguarding/niveaux-levels-fra.html
Lignes directrices du Bureau du surintendant des institutions financières (BSIF) : impartition d'activités, de fonctions et de méthodes commerciales (B-10) Liste de vérification des contrats Oracle pour le Bureau du surintendant des institutions financières (BSIF) – Ligne directrice B-10 (PDF) Applications Oracle Cloud (SaaS) et directives B-10 du BSIF (PDF) Ligne directrice du Bureau du surintendant des institutions financières (BSIF) : impartition d’activités, de fonctions et de méthodes commerciales (B-10) Le Bureau du surintendant des institutions financières (BSIF) est une agence indépendante du gouvernement canadien qui supervise et réglemente les institutions financières fédérales enregistrées au Canada. Dans le cadre de son rôle de régulateur, le BSIF publie des lignes directrices destinées aux institutions financières. La ligne directrice B-10 sur l’impartition d’activités, de fonctions et de méthodes commerciales (ligne directrice B-10) a d’abord été émise par le BSIF en 2001, et révisée en 2009. Elle énonce les attentes en ce qui concerne les entités fédérales qui confient des activités commerciales à des fournisseurs de services. Ces attentes servent de pratiques, de procédures ou de normes avisées qui doivent être appliquées en fonction des caractéristiques de l’arrangement d’impartition et des circonstances de chaque entité. Pour plus de renseignements, consultez la page https://www.osfi-bsif.gc.ca/fr/consignes/repertoire-consignes/impartition-dactivites-fonctions-methodes-commerciales
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi canadienne relative à la confidentialité des données. Elle est destinée à « régir la manière dont les organisations du secteur privé recueillent, utilisent et communiquent des renseignements personnels dans le cadre d'activités commerciales ». Pour plus d'informations, consultez https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/
Mexique	Circular Única de Seguros y Fianzas (CUSF) Liste de vérification des contrats Oracle pour les exigences du CNSF pour les établissements d'assurance et de sûreté en vertu du LISF et du CUSF du Mexique (PDF) Circular Única de Seguros y Fianzas (CUSF) Law on Insurance and Surety Institutions (LISF) et Circular Única de Seguros y Fianzas (CUSF) Fournit aux institutions financières des directives sur l'externalisation des services, les droits de vérification, la conformité, la sécurité, la continuité des affaires et la sous-traitance. Pour plus de renseignements, consultez la page https://www.diputados.gob.mx/LeyesBiblio/pdf/LISF.pdf https://www.gob.mx/cnsf/documentos/circular-unica-de-seguros-y-fianzas
Ley General de Protección de Datos Personales en Posesión de sujetos Obligados (LGPDPPSO) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) Ley General de Protección de Datos Personales en Posesión de sujetos Obligados (LGPDPPSO) La loi générale mexicaine pour la protection des données personnelles en possession de personnes soumises à des obligations s'applique au traitement des données par des « personnes soumises à des obligations », c'est-à-dire les entités gouvernementales aux niveaux fédéral, étatique et municipal mexicain, y compris les autorités, les agences ou les organes des pouvoirs exécutif, législatif ou judiciaire, ainsi que les organismes autonomes, les partis politiques, les fiducies et les fonds publics. La fin convenue du LGPDPPSO est d'établir des principes pour garantir le droit à la protection des données à caractère personnel, y compris le droit d'accès, de rectification, de suppression et d'opposition au traitement des données. Pour plus de renseignements, consultez la page https://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
Ley de Instituciones de Crédito (LIC) et Circular única de bancos (CUB) Ley de Instituciones de Crédito (LIC) & Circular única de bancos (CUB) Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (LIC) & Circular única de bancos (CUB) définit des règles sur la gouvernance d'entreprise et les contrôles internes pour les opérations bancaires, ainsi que pour l'organisation et le fonctionnement des institutions bancaires. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley de Instituciones de Crédito.pdf https://www.cnbv.gob.mx/Normatividad/Disposiciones de carácter general aplicables a las instituciones de crédito.pdf
Ley del Mercado de Valores (LMV) Liste de vérification des contrats Oracle pour le Mexique – Exigences relatives à la CNBV – Marché des titres et maisons de courtage (LMV/CUCB) (PDF) Ley del Mercado de Valores (LMV) Ley del Mercado de Valores (LMV) définit le cadre opérationnel général des actes commerciaux liés aux titres et les règles générales émises par la National Banking Securities Commission, la Banque centrale et la Bourse. Il s'agit notamment d'exigences en matière de surveillance du service, de la sous-traitance, de la confidentialité, des droits d'audit et d'accès, de la continuité des activités et de la portabilité des données. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley del Mercado de Valores.pdf https://www.cnbv.gob.mx/Normatividad/Disposiciones de carácter general aplicables a las casas de bolsa.pdf
Ley Para Regular Las Instituciones De Tecnologia Financiera Liste de vérification des contrats Oracle pour les exigences CNBV du Mexique pour les établissements de technologie financière en vertu de la LTF et du CUF (PDF) Ley Para Regular Las Instituciones De Tecnologia Financiera La National Banking Securities Commission, la Banque centrale mexicaine et le Ministère des finances au Mexique ont publié une loi de 2018 pour réglementer les institutions technologiques financières et fournir des directives aux institutions de financement participatif, aux institutions de monnaie électronique et aux entreprises en démarrage modèles novatrices pour mener des opérations de technologie financière au Mexique. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley para Regular las Instituciones de Tecnología Financiera.pdf
États-Unis	LCalifornia Consumer Privacy Act (CCPA) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) California Consumer Privacy Act (CCPA) La California Consumer Privacy Act (CCPA) est un projet de loi adopté par la législature de l'État de Californie, promulgué le 28 juin 2018 et modifié le 23 septembre 2018. La CCPA prévoit ce qui suit : Le droit des Californiens de savoir quels renseignements personnels sont recueillis à leur sujet. Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou divulgués et à qui. Le droit des Californiens de dire non à la vente de renseignements personnels. Le droit des Californiens d'accéder à leurs renseignements personnels. Le droit des Californiens à un service et à un prix équivalent, même s'ils exercent leurs droits en matière de protection de la vie privée. Pour plus de renseignements, consultez la page https://cppa.ca.gov/regulations/pdf/cppa_act.pdf
La politique de sécurité de la Criminal Justice Information Services (CJIS) La politique de sécurité de la Criminal Justice Information Services (CJIS) La Criminal Justice Information Services Division (CJIS) du Federal Bureau of Investigation (FBI) des États-Unis définit des normes pour la sécurité de l'information, des directives et des accords pour la protection des renseignements sur la justice pénale. La politique de sécurité de la CJIS décrit les contrôles visant à protéger les sources, la transmission, le stockage et l'accès aux données. Pour plus de renseignements, consultez la page https://www.fbi.gov/services/cjis/cjis-security-policy-resource-center
Defense Federal Acquisition Regulation Supplement (DFARS) Parties 7010 et 7012 Defense Federal Acquisition Regulation Supplement (DFARS) Parties 7010 et 7012 Le Defense Federal Acquisition Regulation Supplement (DFARS) englobe les exigences du ministère de la Défense (DoD) à suivre pour les entrepreneurs et les fournisseurs lorsqu'ils fournissent des services d'infonuagique dans le cadre de l'exécution d'un contrat couvert. Pour plus de renseignements, consultez la page https://www.acquisition.gov/dfars/part-252-solicitation-provisions-and-contract-clauses#DFARS_252.204-7010
Outil d'évaluation de la Federal Financial Institutions Examination Council (FFIEC) Outil d'évaluation de la Federal Financial Institutions Examination Council (FFIEC) Le Federal Financial Institutions Examination Council (FFIEC) est un organisme interinstitutions responsable de l'examen fédéral des institutions financières américaines. Le FFIEC a mis au point un outil d'évaluation de la cybersécurité (évaluation) pour aider les institutions financières à définir leurs risques et à déterminer leur maturité en matière de cybersécurité. L'évaluation fournit des conseils aux institutions financières pour l'élaboration d'un profil de risque inhérent et l'identification de leur niveau de maturité en matière de cybersécurité. Pour plus de renseignements, consultez la page https://www.ffiec.gov/cyberassessmenttool.htm.
Intelligence Community (IC) Information Technology Systems Security Risk Management Directive 503 Intelligence Community (IC) Information Technology Systems Security Risk Management Directive 503 Le directeur américain du renseignement national a publié la Intelligence Community Directive (ICD) 503 Intelligence Community (IC) Information Technology Systems Security Risk Management, Certification, and Accreditation en septembre 2008. ICD 503 définit la politique de la communauté du renseignement pour les processus liés à la gestion des risques de sécurité, à la certification et à l'accréditation. Pour plus de renseignements, consultez la page https://www.dni.gov/files/documents/ICD/ICD-503.pdf.
Publication 1075 du Internal Revenue Service (IRS) Oracle Cloud Infrastructure et la Publication 1075, Tax Information Security Guidelines for Federal, State and Local Agencies (publication 1075, directives de sécurité des informations fiscales pour les agences fédérales, étatiques et locales) (PDF) Publication 1075 du Internal Revenue Service (IRS) La publication 1075 du Internal Revenue Service (IRS) (IRS 1075) s'applique aux organisations qui traitent ou tiennent à jour les renseignements fiscaux fédéraux américains. L'intention consiste « à répondre à toute demande publique de renseignements sensibles et d'empêcher la divulgation de données qui mettraient en danger les renseignements fiscaux fédéraux ». Pour plus de renseignements, consultez la page https://www.irs.gov/pub/irs-pdf/p1075.pdf
International Traffic in Arms Regulations (ITAR) International Traffic in Arms Regulations (ITAR) L'International Traffic in Arms Regulations (ITAR) est une exigence américaine. Elle vise à restreindre et à contrôler l'exportation de technologies de défense et de technologies militaires pour protéger la sécurité nationale américaine et d'autres objectifs de politique étrangère des États-Unis. Pour plus d'informations, consultez la page https://www.federalregister.gov/documents/2020/01/23/2020-00574/international-traffic-in-arms-regulations-us-munitions-list-categories-i-ii-and-iii
Minimum Acceptable Risk Standards for Exchanges (MARS-E) Minimum Acceptable Risk Standards for Exchanges (MARS-E) L'U.S. Department of Health and Human Services a établi les Minimum Acceptable Risk Standards for Exchanges (MARS-E) en vertu de la loi ACA (Affordable Care Act) de 2010. Elles visent à assurer la transmission sécurisée des informations personnelles identifiables (PII), des informations de santé protégées (PHI) et des renseignements fiscaux fédéraux (FTI) des citoyens américains. Pour plus de renseignements, consultez la page https://www.hhs.gov/guidance/document/minimum-acceptable-risk-standards-exchanges-mars-e-20
NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations La National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171) “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations” fournit des exigences de sécurité pour protéger la confidentialité des renseignements non classifiés contrôlés (CUI). Les agences fédérales utilisent les exigences dans les mécanismes contractuels ou autres accords établis entre ces agences et des organisations non fédérales. Les exigences s'appliquent à tous les systèmes d'information et organisations non fédéraux qui traitent, stockent ou transmettent des CUI. Pour plus de renseignements, consultez la page https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) Oracle Cloud Infrastructure et les normes de protection des infrastructures critiques de la North American Electric Reliability Corporation (PDF) North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) North American Electric Reliability Corporation (NERC) est une autorité de réglementation internationale sans but lucratif qui vise à assurer une réduction efficace et efficiente des risques pour la fiabilité et la sécurité du réseau en masse. La NERC élabore et applique des normes de fiabilité et est soumise à la surveillance de la US Federal Energy Regulatory Commission (FERC) et des autorités gouvernementales au Canada. Les normes de cybersécurité de la NERC Critical Infrastructure Protection (CIP) exigent une gamme de programmes de sécurité pour l'industrie de l'électricité aux États-Unis et au Canada. Pour plus de renseignements, consultez la page https://www.nerc.com/comm/RSTC/Pages/default.aspx
Exigences de conservation des enregistrements électroniques de la Securities and Exchange Commission (SEC Rule 17a-4(f)), de la Financial Industry Financial Authority (FINRA Rule 4511(c)) et de la Commodities Futures Trading Commission (CFTC Rule 1.31(c)-(d)) Exigences de conservation des enregistrements électroniques de la Securities and Exchange Commission (SEC Rule 17a-4(f)), de la Financial Industry Financial Authority (FINRA Rule 4511(c)) et de la Commodities Futures Trading Commission (CFTC Rule 1.31(c)-(d)) Les institutions financières négociant des titres réglementés aux États-Unis peuvent faire l'objet d'exigences réglementaires spéciales pour la conservation des documents électroniques par la Securities and Exchange Commission (SEC), la Financial Industry Financial Authority (FINRA) et la Commodities Futures Trading Commission (CFTC). Ces exigences peuvent comprendre la SEC Rule 17a-4(f), la FINRA Rule 4511(c), et la CFTC Regulation 1.31(c)-(d). Pour plus de renseignements, consultez les ressources suivantes : SEC 17a-4(f) - https://www.sec.gov/rules/interp/34-47806.htm FINRA Rule 4511(c) - https://www.finra.org/rules-guidance/rulebooks/finra-rules/4511 CFTC Rule 1.31(c)-(d) - https://www.cftc.gov/sites/default/files/opa/press99/opa4266-99-attch.htm
Europe, Moyen-Orient et Afrique	Union européenne	Loi sur la résilience opérationnelle numérique (DORA) Liste de vérification des contrats Oracle pour la loi de l'UE sur la résilience opérationnelle numérique (DORA) (PDF) Loi sur la résilience opérationnelle numérique (DORA) La Loi sur la résilience opérationnelle numérique (DORA) a été adoptée en tant que règlement 2022/2554 par l'Union européenne (UE) afin d'établir les règles régissant l'utilisation des technologies de l'information et de la communication (TIC) par les entités financières opérant dans l'UE. DORA vise à traiter les risques résultant de l'augmentation de la numérisation et de l'interconnexion liés à l'utilisation des TIC dans le secteur financier. Elle crée également un cadre de contrôle pour les fournisseurs de services TIC au secteur financier qui sont jugés essentiels. Les dispositions de la DORA s'appliquent à partir du 17 janvier 2025, pour une période de mise en œuvre de 24 mois. Pour plus de renseignements, consultez la page https://eur-lex.europa.eu/eli/reg/2022/2554/oj?locale=fr.
Lignes directrices sur les accords d'externalisation de l'Autorité bancaire européenne (ABE) Liste de vérification des contrats pour les directives EBA-EIOPA-ESMA (PDF) Oracle Cloud Infrastructure et Oracle Cloud Applications et les directives européennes sur l'externalisation (EBA, EIOPA, ESMA) (PDF) Lignes directrices sur les accords d'externalisation de l'Autorité bancaire européenne (ABE) L'Autorité bancaire européenne (ABE), une autorité de surveillance financière de l'UE, produit les lignes directrices de l'ABE sur les accords d'externalisation afin de fournir aux institutions financières des conseils concernant les accords de sous-traitance tels que les services en nuage. Pour plus de renseignements, consultez la page https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements
Cadre d'assurance des informations pour l'informatique en nuage de l'European Union Agency for Cybersecurity (ENISA) Cadre d'assurance des informations pour l'informatique en nuage de l'European Union Agency for Cybersecurity (ENISA) L'European Union Agency for Cybersecurity (ENISA) est une agence européenne qui contribue à la politique européenne de cybersécurité et soutient les États membres et les autres parties prenantes de l'union, lorsque des cyberincidents de grande envergure se produisent. L'ENISA a créé un ensemble de critères d'assurance appelés Information Assurance Framework (IAF) conçus pour aider les consommateurs de services infonuagiques à : Évaluer le risque d'adoption de services en nuage Comparer différentes offres de fournisseurs infonuagiques Obtenir des assurances des fournisseurs infonuagiques sélectionnés Réduire le fardeau en matière d'assurances pour les fournisseurs infonuagiques Pour plus de renseignements, consultez la page https://www.enisa.europa.eu/publications/cloud-computing-information-assurance-framework
Règlement général sur la protection des données (RGPD) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) Oracle Cloud Infrastructure et Règlement général sur la protection des données (RGPD) (PDF) Règlement général sur la protection des données (RGPD) Le Règlement général sur la protection des données (RGPD) 2016/679 est un règlement du droit de l'Union européenne (UE) sur la protection des données et la confidentialité. Il s'applique à toutes les entités traitant des données relatives aux résidents de l'UE, indépendamment de l'emplacement de l'entreprise ou des paramètres régionaux de stockage des données. Pour plus d'informations, consultez https://ec.europa.eu/info/law/law-topic/data-protection_en
Allemagne	Lignes directrices de BaFin en matière de sous-traitance effectuée par des fournisseurs de services infonuagiques Les applications en nuage Oracle et l'Autorité fédérale allemande de supervision financière (BaFin) (PDF) Lignes directrices de BaFin en matière de sous-traitance effectuée par des fournisseurs de services infonuagiques La Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) est responsable de la supervision des banques, des établissements de crédit, des assureurs, des fonds et des institutions financières en Allemagne. BaFin et la Deutsche Bundesbank ont publié des lignes directrices sur la sous-traitance dans le but de « donner plus de transparence à l’évaluation de contrôle du secteur financier avec sous-traitance effectuée par des fournisseurs infonuagiques ». Pour plus de renseignements, consultez la page https://www.bafin.de/SharedDocs/Downloads/EN/Merkblatt/BA/ dl_181108_orientierungshilfe_zu_auslagerungen_an_cloud_anbieter_ba_en.html?nn=9866146
IT Grundschutz IT Grundschutz L'Office fédéral allemand de la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik) a créé un cadre pour la sécurité de l'information (IT-Grundschutz). IT-Grunschutz comprend : BSI Standard 200-1 : fournit les exigences générales pour un système de management de la sécurité des informations. BSI Standard 200-2: explique comment un système de management de la sécurité des informations peut être construit selon l'une des trois approches suivantes : BSI Standard 200-3 : contient toutes les tâches liées au risque BSI Standard 100-4 : couvre la gestion de la continuité des activités (GCA) Pour plus de renseignements, consultez la page https://www.bsi.bund.de
Kritische Infrastrukturen - Abschnitt 8a Applications Oracle Cloud (SaaS) et lignes directrices sur les infrastructures critiques allemandes (KRITIS) (PDF) Kritische Infrastrukturen - Abschnitt 8a L'Office fédéral allemand de la sécurité de l'information (BSI) a publié la section 8a de BSIG (loi sur l'Office fédéral de la sécurité de l'information) qui se rapporte à KRITIS, ce qui signifie « Kritische Infrastruckturen » ou infrastructures critiques. Elle fournit des lignes directrices pour identifier les infrastructures critiques, effectuer des évaluations des risques, mettre en œuvre des mesures de sécurité, signaler les incidents, subir des audits et améliorer continuellement la sécurité pour protéger les services essentiels en Allemagne. Pour plus de renseignements, consultez la page https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html
Kenya	Guidelines on Cybersecurity for Payment Service Providers Applications Oracle Cloud (SaaS) et certaines directives réglementaires kenyanes (PDF) Guidelines on Cybersecurity for Payment Service Providers La Banque centrale du Kenya a publié les Guidelines on Cybersecurity for Payment Service Providers concernant l'évaluation du risque, la protection des données, la réponse aux incidents et la sécurité de tierce partie. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2019/07/GuidelinesonCybersecurityforPSPs.pdf
Prudential Guidelines for Institutions Licensed under the Banking Act Applications Oracle Cloud (SaaS) et certaines directives réglementaires kenyanes (PDF) Prudential Guidelines for Institutions Licensed under the Banking Act En vertu de l'article 33(4) de la loi bancaire, la Banque centrale du Kenya a publié des lignes directrices pour les institutions. Certaines de ces lignes directrices visent à établir des normes minimales de sécurité des données et des réseaux et de continuité des activités. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2016/08/PRUDENTIAL-GUIDELINES.pdf
Prudential Guideline on Outsourcing (CBK/PG/16) Liste de vérification des contrats Oracle pour la ligne directrice de la Banque centrale du Kenya sur l'externalisation (CBK/PG/16) (PDF) Prudential Guideline on Outsourcing (CBK/PG/16) Dans le cadre de sa fonction de surveillance, la Banque centrale du Kenya a publié des directives prudentielles pour les institutions autorisées en vertu de la loi sur les banques, qui comprennent des directives sur l'externalisation (CBK/PG/16). Les lignes directrices s'appliquent à toutes les banques autorisées qui sous-traitent des activités.Elles englobent les politiques d'externalisation, la gouvernance, la gestion des risques, la continuité des activités, la sécurité des données et les contrats avec les fournisseurs de services. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2016/08/PRUDENTIAL-GUIDELINES.pdf
Koweït	Cadre de réglementation de l'informatique en nuage (CITRA CCRF) Cadre de réglementation de l'informatique en nuage (CITRA CCRF) L'autorité de réglementation des technologies de l'information et des communications du Koweït a établi un cadre pour régir l'utilisation des services d'informatique en nuage au Koweït. Il fournit des lignes directrices pour la protection des données, la confidentialité et la sécurité, facilitant ainsi l'adoption des services infonuagiques. Pour plus de renseignements, consultez la page https://www.citra.gov.kw/sites/en/LegalReferences/Cloud_computing_regulatory_framework.pdf
Pays-Bas	Government Information Security Baseline (BIO) Les applications en nuage Oracle (SaaS) et la norme du BIO (Baseline Information Security Government) des Pays-Bas (PDF) Référence en matière de sécurité de l’information au sein du gouvernement (BIO) La Baseline informatiebeveiliging overheid (BIO) est une norme de sécurité de l’information pour le secteur public néerlandais, notamment les organismes gouvernementaux, les municipalités, les provinces et les offices des eaux. Elle repose sur les normes et les pratiques exemplaires en matière de sécurité de l'information reconnues à l’échelle mondiale, telles que ISO 27001 et ISO 27002. Puisque la norme BIO a été émise par le conseil ministériel, elle constitue la seule référence pour l’ensemble du gouvernement. Pour plus de renseignements, consultez le document PDF https://bio-overheid.nl/media/1572/bio-versie-104zv_def.pdf
NEN 7510 : gestion de la sécurité de l'information en soins de santé Les applications en nuage Oracle et la norme 7510 du Standards Institute des Pays-Bas (NEN) (PDF) NEN 7510 : gestion de la sécurité de l’information en soins de santé La norme NEN 7510 a été développée par le Royal Netherlands Standardization Institute (Stichting Koninklijk Nederlands Normalisatie Instituut ou NEN). La norme Nen 7510 fournit des lignes directrices et des principes de base pour déterminer, établir et maintenir des mesures destinées aux organismes de soins de santé pour sécuriser les informations sur la santé. Pour plus de renseignements, consultez la page https://www.nen.nl/en/nen-7510-1-2017-a1-2020-nl-267179
Wet op het financeieel toezicht ou Wft Oracle Cloud Applications (SaaS) et certaines réglementations et directives relatives aux services financiers aux Pays-Bas (PDF) Wet op het financeieel toezicht ou WFT La loi sur la surveillance financière (FSA) aux Pays-Bas constitue un cadre réglementaire complet visant à préserver la stabilité et l'intégrité du système financier. La WFT comprend un grand nombre de règles et de règlements pour les marchés financiers et leur supervision, y compris les bonnes pratiques d'externalisation des assureurs et les bonnes pratiques de gestion des risques d'externalisation. Pour plus de renseignements, consultez la page https://wetten.overheid.nl/BWBR0020368/2023-07-01 Bonnes pratiques en matière d'externalisation pour les assureurs - https://www.dnb.nl/media/rikf4hxv/good-practice-outsourcing-insurers.pdf Bonnes pratiques en matière de gestion des risques d'externalisation - https://www.dnb.nl/en/sector-information/open-book-supervision/open-book-supervision-themes/prudential-supervision/governance/good-practices-for-managing-outsourcing-risks/
Norvège	Forskrift om bruk av informasjons- og kommunikasjonsteknologi Liste de vérification des contrats Oracle pour le Règlement sur les services financiers norvégiens applicable à l'externalisation des TI (PDF) Forskrift om bruk av informasjons- og kommunikasjonsteknologi La réglementation norvégienne sur l'utilisation des technologies de l'information et de la communication (TIC) fournit des directives pour assurer une utilisation responsable et sécurisée des outils et des plates-formes numériques. Cette réglementation accorde la priorité à la protection des données, à la confidentialité, à la cybersécurité et à l'accessibilité dans les secteurs public et privé. Pour plus de renseignements, consultez la page https://lovdata.no/dokument/SF/forskrift/2003-05-21-630
Veiledning om utkontraktering Liste de vérification des contrats Oracle pour le Règlement sur les services financiers norvégiens applicable à l'externalisation des TI (PDF) Veiledning om utkontraktering La circulaire 7/2021 de l'Autorité financière norvégienne (Finanstilsynet) fournit des directives sur les activités d'externalisation et fait la promotion de pratiques d'affaires responsables. Pour plus de renseignements, consultez la page https://www.finanstilsynet.no/contentassets/9f76ac1a390a44218b285b61bb13e19a/veiledning-om-utkontraktering.pdf
Arabie saoudite	National Cybersecurity Authority (NCA) Essential Cybersecurity Controls (ECC) National Cybersecurity Authority (NCA) Essential Cybersecurity Controls (ECC) La National Cybersecurity Authority (NCA) a élaboré Essential Cyber Security Controls (ECC) pour définir l'ensemble minimal d'exigences de cybersécurité pour les organisations nationales en Arabie saoudite. L'objectif consiste à établir des contrôles définissant les exigences minimales pour les ressources informatiques et technologiques dans les organisations. Pour plus de renseignements, consultez la page https://nca.gov.sa/ecc-en.pdf.
Cadre de cybersécurité de la Saudi Arabian Monetary Authority (SAMA CSF) Oracle Contract Checklist for Saudi Arabian Monetary Authority Cyber Security Framework (PDF) Oracle Fusion Cloud Applications et le cadre de cybersécurité de l'Autorité monétaire de l'Arabie saoudite (SAMA) (PDF) Cadre de cybersécurité de la Saudi Arabian Monetary Authority (SAMA CSF) Le cadre de cybersécurité a été élaboré par la Saudi Arabian Monetary Authority (SAMA) pour permettre aux institutions financières de définir et de traiter les risques liés à la cybersécurité. Pour plus d'informations, consultez https://www.sama.gov.sa/en-US/RulesInstructions/CyberSecurity/Cyber%20Security%20Framework.pdf
Règles de la Saudi Arabian Monetary Authority (SAMA) sur l'externalisation Liste de vérification d'Oracle pour les règles de la Saudi Arabian Monetary Authority sur l'externalisation (PDF) Règles de la Saudi Arabian Monetary Authority (SAMA) sur l'externalisation La Saudi Arabian Monetary Authority (SAMA) est la banque centrale du Royaume d'Arabie saoudite et l'autorité de surveillance pour les banques, les fournisseurs de paiement, les compagnies d'assurance, les sociétés financières et les bureaux de crédit opérant au Royaume. Les règles de la SAMA sur l'externalisation s'appliquent aux banques autorisées en vertu de la Loi sur le contrôle bancaire (décret royal n° M/5 en date du 22/2/1386 H), et exige de ces banques qu'elles gèrent de manière appropriée les risques découlant de l'externalisation, notamment en veillant à ce que leurs arrangements d'externalisation soient soumis à une diligence raisonnable, à l'approbation et au suivi en cours. Pour plus de renseignements, consultez la page https://www.sama.gov.sa/en-US/RulesInstructions/FinanceRules/Outsourcing%20Rules%20-%20Revised%20v2%20Final%20Draft-Dec-2019.pdf
Afrique du Sud	Directive 159.A.i Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF) Directive 159.A.i Le Conseil des services financiers d'Afrique du Sud, qui fait partie de l'Autorité de déontologie du secteur financier, a mis en œuvre la directive 159.A.i, qui spécifie les règles applicables à l'externalisation par les assureurs d'Afrique du Sud. Pour plus de renseignements, consultez la page https://www.fsca.co.za/Enforcement-Matters/Directives/Forms/DispForm.aspx?ID=436.
Note d'orientation 4 (G5/2014) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience (G5/2014) Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF) Note d'orientation 4 (G5/2014) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience Le bureau du registraire des banques en Afrique du Sud a publié des conseils aux banques concernant les fonctions d'externalisation au sein d'une banque et la cyber résilience dans la note d'orientation 5 de 2014 (G5/2014). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-guidance-notes/2014/6320.
Note d'orientation 4 (G4/2017) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience (G4/2017) Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF) Note d'orientation 4 (G4/2017) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience Le bureau du registraire des banques en Afrique du Sud a publié des conseils aux banques concernant les fonctions d'externalisation au sein d'une banque et la cyber résilience dans la note d'orientation 4 de 2017 (G4/2017). Pour plus de renseignements, consultez la page https://www.resbank.co.za/content/dam/sarb/publications/prudential-authority/pa-deposit-takers/banks-guidance-notes/2017/7803/G4-of-2017.pdf.
Protection of Personal Information Act (POPIA) Oracle Cloud Infrastructure et la Protection of Personal Information Act 2013 de l'Afrique du Sud (PDF) Protection of Personal Information Act (POPIA) La Protection of Personal Information Act (POPIA) est une loi sud-africaine visant à « promouvoir la protection des renseignements personnels traités par des organismes publics et privés. » La POPIA définit les conditions générales permettant aux entités publiques et privées de traiter légalement les renseignements personnels des personnes concernées. Pour plus de renseignements, consultez la page https://www.justice.gov.za/legislation/acts/2013-004.pdf
Directive 3 (D3/2018) Prudential Authority Cloud Computing and Offshoring of Data Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF) Directive 3 (D3/2018) Prudential Authority Cloud Computing and Offshoring of Data L'Autorité prudentielle réglemente les banques commerciales, les banques mutuelles, les banques coopératives, les assureurs, les institutions financières coopératives, les sociétés financières et les infrastructures de marché sous la supervision de la Banque de réserve sud-africaine. L'Autorité prudentielle a publié une directive relative à l'informatique en nuage et à la délocalisation des données dans le secteur des services financiers, appelée directive 3 de 2018 (D3/2018). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-directives/2018/8749.
Note d'orientation 5 (G5/2018) Prudential Authority Cloud Computing and Offshoring of Data Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF) Note d'orientation 5 (G5/2018) Prudential Authority Cloud Computing and Offshoring of Data L'Autorité prudentielle réglemente les banques commerciales, les banques mutuelles, les banques coopératives, les assureurs, les institutions financières coopératives, les sociétés financières et les infrastructures de marché sous la supervision de la Banque de réserve sud-africaine. L'Autorité prudentielle a publié des directives concernant l'informatique en nuage et la délocalisation des données dans le secteur des services financiers, appelées note d'orientation 5 de 2018 (G5/2018). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-guidance-notes/2018/8747.
Espagne	Pinakes Applications Oracle Fusion Cloud et cadre de cybersécurité PINAKES du Centre de coopération interbancaire espagnol (PDF) Pinakes Créé par le Centre de coopération interbancaire (CCI), une association professionnelle sans but lucratif, Pinakes est une plate-forme qui fournit la qualification, la gestion et la surveillance des services aux fournisseurs de services financiers. Il vise à permettre aux organisations de vérifier les niveaux de cybersécurité des services qu'elles utilisent, de permettre aux fournisseurs de démontrer leurs avantages en matière de sécurité aux clients et d'aider les organisations à se conformer aux lignes directrices de l'ABE en matière d'évaluation de la sécurité des fournisseurs. Pour plus de renseignements, consultez la page https://asociacioncci.es/pinakes.
Suisse	Circulaire 2018/3 de l'Autorité fédérale de surveillance des marchés financiers Contrat Checklist_FINMA_Lignes directrices (PDF) Oracle Fusion Cloud Applications and the Swiss Financial Market Supervisory Authority (FINMA) (PDF) Les applications en nuage Oracle et l'Autorité suisse de supervision financière du marché (FINMA) (PDF) Circulaire 2018/3 de l'Autorité fédérale de surveillance des marchés financiers L'Autorité fédérale de surveillance des marchés financiers (FINMA) de la Suisse est responsable de la supervision et de la réglementation des banques, des compagnies d'assurance et des courtiers en valeurs mobilières suisses. La circulaire 2018/3 sur les services d'externalisation pour les banques et les assureurs de la FINMA définit un certain nombre d'exigences pour les organisations de services financiers lorsqu'elles sous-traitent toute activité commerciale importante. L'association suisse des banquiers (ASB) a élaboré de nouvelles lignes directrices pour l'utilisation sécurisée des services infonuagiques par les banques et les négociants en valeurs mobilières. Pour plus de renseignements, consultez la page https://www.finma.ch/fr/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2018-03-01012021_de.pdf?la=fr .
Émirats arabes unis	United Arab Emirates (UAE) Federal Law No. 2 of 2019 Oracle Cloud Infrastructure et la Health Data Law des Émirats arabes unis (PDF) UAE Federal Law No. 2 of 2019 Les Émirats arabes unis ont publié la loi fédérale n° 2 de 2019 le 6 février 2019 relative à l'utilisation des technologies de l'information et de la communication (TIC) dans le domaine de la santé (la « Health Data Law »). La Health Data Law s'applique à toutes les méthodes et utilisations des TIC dans les domaines de la santé des Émirats arabes unis, y compris les zones franches. La loi vise à : (1) assurer l'utilisation optimale des TIC dans les domaines de la santé; (2) assurer la compatibilité des principes, des normes et des pratiques applicables dans l'État avec leurs pratiques internes. les contreparties reconnues; (3) permettre au ministère de la Santé et de la Prévention de recueillir, d'analyser et de conserver les renseignements sur la santé au niveau des Émirats arabes unis; et (4) assurer la sécurité des données et des renseignements sur la santé. Pour plus de renseignements, consultez la page https://mohap.gov.ae/app_content/legislations/php-law-en-77/mobile/index.html.
Royaume-Uni	Règlement délégué (UE) 2015/35 (Solvency II Delegated Regulation) Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Règlement délégué (UE) 2015/35 (Solvency II Delegated Regulation) Le règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014 (Solvency II Delegated Regulation) fait partie du cadre d'un régime de solvabilité et de surveillance pour les assureurs et réassureurs. Il définit les exigences et procédures organisationnelles pour diverses questions, y compris les accords d'externalisation. La version britannique du règlement délégué Solvency II a fait partie du droit britannique en vertu de la loi European Union (Withdrawal) Act 2018 et de la législation connexe. Pour plus de renseignements, consultez la page https://www.legislation.gov.uk/uksi/2019/407/contents/made
Markets in Financial Instruments Directive MiFID II and MiFIR 600/2014 de l'Autorité européenne des marchés financiers (AEMF) Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Markets in Financial Instruments Directive MiFID II and MiFIR 600/2014 de l'Autorité européenne des marchés financiers (AEMF) L'Autorité européenne des marchés financiers (AEMF) et l'Union européenne ont publié la Markets in Financial Instruments Directive MiFID II et le règlement connexe Markets in Financial Instruments (MiFIR) 600/2014 pour promouvoir des marchés plus équitables, plus sûrs et plus efficaces et faciliter une plus grande transparence pour tous les participants. Pour plus de renseignements, consultez la page https://www.esma.europa.eu/publications-and-data/interactive-single-rulebook/mifid-ii
Manuel des règles et des directives de la Financial Conduct Authority (FCA) Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Applications Oracle Cloud (SaaS) et une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Manuel des règles et des directives de la Financial Conduct Authority (FCA) La Financial Conduct Authority (FCA) est responsable de l'autorisation et de la supervision des institutions financières au Royaume-Uni. Le manuel de la FCA énonce les dispositions législatives et autres de la FCA prises en vertu des pouvoirs qui lui sont conférés par la Loi de 2000 sur les services et marchés financiers. Les parties Senior Management Arrangements, Systems and Controls (SYSC) et de supervision (SUP) du manuel FCA contiennent des règles et des directives pertinentes aux accords d'externalisation. Pour plus de renseignements, consultez la page https://www.handbook.fca.org.uk/.
National Cyber Security Centre IT Health Check (ITHC) National Cyber Security Centre IT Health Check (ITHC) Le IT Health Check (ITHC) est une évaluation de la sécurité informatique requise dans le cadre d'un processus d'accréditation pour de nombreux systèmes informatiques gouvernementaux au Royaume-Uni. Pour plus de renseignements, consultez la page https://www.gov.uk/government/publications/it-health-check-ithc-supporting-guidance.
Déclaration de surveillance de la Prudential Regulation Authority (PRA SS2/21) sur l'externalisation et la gestion du risque de tiers Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Applications Oracle Cloud (SaaS) et une sélection du Règlement sur les services financiers du Royaume-Uni (PDF) Déclaration de surveillance de la Prudential Regulation Authority (PRA SS2/21) sur l'externalisation et la gestion du risque de tiers La Prudential Regulation Authority (PRA) est responsable de la supervision prudentielle des banques, des compagnies d'assurance, des sociétés de construction, des coopératives de crédit et des grandes sociétés d'investissement au Royaume-Uni. Le mandat de la PRA comprend la supervision de l'externalisation des entreprises et d'autres arrangements tiers. La déclaration de surveillance 2/21 de la PRA sur les accords d'externalisation et la gestion des risques par des tiers publiée le 29 mars 2021 (SS2/21) énonce les attentes de la PRA quant à la manière dont les entreprises réglementées par la PRA devraient se conformer aux exigences réglementaires relatives à l'externalisation et à la gestion des risques par des tiers. Pour plus de renseignements, consultez la page https://www.bankofengland.co.uk/prudential-regulation/publication/2021/march/outsourcing-and-third-party-risk-management-ss.
UK Government G-Cloud Framework UK Government G-Cloud Framework Le UK Government G-Cloud est une initiative d'approvisionnement visant à simplifier les achats liés au nuage par des organismes du secteur public au sein des ministères du gouvernement du Royaume-Uni. Le G-Cloud Framework permet aux entités publiques d'acheter des services en nuage en fonction de contrats approuvés par le gouvernement au moyen d'un marché numérique en ligne. Pour plus de renseignements, consultez la page https://www.gov.uk/digital-marketplace.
UK National Cyber Security Centre (NCSC) Cloud Security Principles UK National Cyber Security Centre (NCSC) Cloud Security Principles Le National Cyber Security Centre (NCSC) du Royaume-Uni est responsable d'améliorer la sécurité et de protéger Internet et les services critiques du Royaume-Uni contre les cyberattaques. Les 14 principes de la sécurité en nuage du NCSC décrivent les exigences que les services infonuagiques doivent respecter et incluent des considérations sur la protection des données en transit, la sécurité de la chaîne d'approvisionnement, l'identité et l'authentification, et l'utilisation sécurisée du service. Pour plus de renseignements, consultez la page https://www.ncsc.gov.uk/collection/cloud-security/implementing-the-cloud-security-principles.
UK NHS Data Security and Protection Toolkit (DSPT) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) UK NHS Data Security and Protection Toolkit (DSPT) La trousse à outils Data Security and Protection Toolkit (DSPT) permet l'auto-évaluation de la performance en fonction des dix normes de sécurité des données du National Health Service (NHS) du Royaume-Uni. Toutes les organisations qui ont accès aux données et aux systèmes de patients du NHS doivent utiliser cette boîte à outils pour s'assurer qu'elles assurent la bonne sécurité des données et que les renseignements personnels sont traités correctement. Pour plus de renseignements, consultez la page https://www.dsptoolkit.nhs.uk/.
Asie-Pacifique	Australie	Australian Prudential Regulation Authority (APRA) pour l'externalisation : CPS 231, SPS 231 et HPS 231 Australian Prudential Regulation Authority (APRA) et Oracle Cloud Infrastructure (PDF) Liste de vérification des contrats Oracle pour la norme prudentielle CPS 231 de l'Australian Prudential Regulation Authority (APRA) (PDF) Oracle Cloud Applications (SaaS), APRA Prudential Standards CPS 231 et CPS 234 (PDF) Australian Prudential Regulation Authority (APRA) pour l'externalisation : CPS 231, SPS 231 et HPS 231 L'Australian Prudential Regulation Authority (APRA) est l'autorité de réglementation des services financiers en Australie. L'APRA est responsable de l'émission de normes régissant les opérations des banques, des coopératives de crédit et des compagnies d'assurance qui exercent leurs activités en Australie. Les normes Prudential Standard CPS 231 Outsourcing (CPS 231), Prudential Standard SPS 231 Outsourcing (SPS 231), and Prudential Standard HPS 231 Outsourcing (HPS 231) de l'APRA énoncent les exigences pour s'assurer que les risques associés aux accords d'externalisation sont définis, évalués, gérés et déclarés. L'APRA a également publié un document d'information sur l'externalisation impliquant des services infonuagiques. Pour plus de renseignements, consultez la page https://www.apra.gov.au/sites/default/files/information_paper_-_outsourcing_involving_cloud_computing_services.pdf.
Australian Prudential Regulation Authority (APRA) Prudential Standard CPS 234 Oracle Cloud Applications (SaaS), APRA Prudential Standards CPS 231 et CPS 234 (PDF) Australian Prudential Regulation Authority (APRA) CPS 234 L'Australian Prudential Regulation Authority (APRA) réglemente les services financiers en Australie. L'APRA a publié des normes qui réglementent les banques, les coopératives de crédit et les compagnies d'assurance. La norme prudentielle CPS 234 de l'APRA définit les exigences pour que les entités mettent en œuvre des mesures de sécurité de l'information afin de protéger leurs ressources d'information, notamment le traitement des violations de données et des incidents de cybersécurité. Pour plus de renseignements, consultez la page https://www.apra.gov.au/sites/default/files/cps_234_july_2019_for_public_release.pdf
Hong Kong	Principes généraux de la Hong Kong Monetary Authority (HKMA) pour la gestion du risque technologique TM-G-1 Manuels de politique de surveillance de la Hong Kong Monetary Authority sur l'externalisation et les principes généraux pour la gestion du risque technologique (PDF) Principes généraux de la Hong Kong Monetary Authority (HKMA) pour la gestion du risque technologique TM-G-1 La Hong Kong Monetary Authority (HKMA) définit des normes minimales que les institutions autorisées (IA) doivent respecter pour satisfaire aux exigences et aux meilleures pratiques de l'ordonnance bancaire qui réglemente les activités bancaires. La politique de surveillance des principes généraux pour la gestion du risque technologique TM-G-1 comprend des lignes directrices que la HKMA s'attend à ce que les entités réglementées prennent en compte lors de la gestion des risques liés à la technologie. Pour plus de renseignements, consultez la page https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/TM-G-1.pdf
Normes d'externalisation SA-2 de la Hong Kong Monetary Authority (HKMA) Manuels de politique de surveillance de la Hong Kong Monetary Authority sur l'externalisation et les principes généraux pour la gestion du risque technologique (PDF) Normes d'externalisation SA-2 de la Hong Kong Monetary Authority (HKMA) L'Autorité monétaire de Hong Kong (HKMA) définit les normes minimales que les institutions autorisées doivent atteindre pour satisfaire aux exigences et aux pratiques exemplaires de l'ordonnance bancaire qui réglemente les activités bancaires.Le manuel de politique de surveillance de l'externalisation SA-2 présente l'approche de la gestion des risques lors de l'externalisation et les principaux points que la HKMA recommande aux entités réglementées de traiter lors des activités d'externalisation. Pour plus de renseignements, consultez la page https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/TM-G-1.pdf
Inde	Guide de mise en œuvre de l'ICAI sur les rapports en vertu de la règle 11(g) de la Companies Act Guide de mise en oeuvre de l'ICAI sur la production de rapports en vertu de la règle 11(g) de la Companies Act La Companies Act de 2013 réglemente la formation et le fonctionnement des sociétés ou des entreprises en Inde. Administrée par le ministère des Affaires corporatives (MCA), la loi régit l'incorporation, la dissolution et le fonctionnement des entreprises et définit les exigences en matière de gouvernance d'entreprise. Par la suite, le conseil des normes d'audit et d'assurance de l'Institut des comptables agréés de l'Inde (ICAI) a publié le guide de mise en œuvre sur la déclaration en vertu de la règle 11(g) des règles des sociétés (auditeurs et vérificateurs), 2014 en mars 2023. La règle 11(g) vise à établir des rapports sur l'utilisation d'un logiciel de comptabilité pour tenir à jour les livres de comptes d'une entreprise, y compris les pistes de vérification. Pour plus d'informations sur la Companies Act, consultez https://www.mca.gov.in/Ministry/pdf/CompaniesAct2013.pdf. Pour plus d'informations sur les directives de la règle 11(g) de l'ICAI, consultez https://resource.cdn.icai.org/73438aasb59254.pdf
Insurance Regulatory and Development Authority of India (IRDAI) Regulation /5/142/2017, Outsourcing of Activities by Indian Insurers Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Infrastructure et le Insurance Regulatory and Development Authority of India (IRDAI) (activités d'externalisation par les assureurs de l'Inde), 2017 (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Insurance Regulatory and Development Authority of India (IRDAI) Regulation /5/142/2017, Outsourcing of Activities by Indian Insurers L'Insurance Regulatory and Development Authority of India (IRDAI) a publié les règlements de l'IRDAI, externalisation des activités par les assureurs indiens. Ces règlements portent sur l'externalisation et fournissent des directives et des exigences de gestion du risque pour le secteur de l'assurance dans toute l'Inde. Pour plus de renseignements, consultez la page https://irdai.gov.in/document-detail?documentId=822221.
Cadre de cybersécurité de la Reserve Bank of India (RBI) pour les banques coopératives principales (2018) Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Cadre de cybersécurité de la Reserve Bank of India (RBI) pour les banques coopératives principales (2018) La Reserve Bank of India (RBI) a publié un ensemble de directives pour les banques coopératives principales afin d'améliorer la sécurité et la résilience, protégeant leurs actifs contre les cyberattaques en continu. Il souligne la nécessité de mettre en œuvre un cadre robuste de cybersécurité et de résilience et recommande des contrôles de sécurité particuliers pour soutenir une préparation adéquate à la cybersécurité. Pour plus de renseignements, consultez la page https://www.rbi.org.in/Scripts/NotificationUser.aspx?Id=11397&Mode=0.
Cadre de cybersécurité de la Reserve Bank of India (RBI) des banques protégeant l'utilisation des technologies de l'information (2016) Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Accélérez votre préparation à la surveillance des activités de base de données pour vous conformer aux directives de la Reserve Bank of India (RBI) (PDF) (en anglais) Cadre de cybersécurité de la Reserve Bank of India (RBI) des banques protégeant l'utilisation des technologies de l'information (2016) La Reserve Bank of India a fourni des directives sur la circulaire DBS relative au cadre de cybersécurité. CO/CSITE/BC.11/33.01.001/2015-16 du 2 juin 2016. Ces directives sont conçues pour fournir un cadre robuste de cybersécurité et de résilience afin d'assurer une préparation adéquate en matière de cybersécurité entre les banques, sur une base continue. Les directives RBI relatives au cadre de cybersécurité permettront aux banques de formaliser et d'adopter une politique de cybersécurité et un plan de gestion des cybercrise. Pour plus de renseignements, consultez la page https://www.rbi.org.in/Scripts/NotificationUser.aspx?Id=10435&Mode=0.
Reserve Bank of India (RBI) Guidelines on Information Security, Electronic Banking, Technology Risk Management and Cyber Frauds Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Lignes directrices 2011 d'Oracle Cloud Infrastructure et de la Reserve Bank of India sur la sécurité de l'information, les services bancaires électroniques, la gestion des risques technologiques et la fraude informatique (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Reserve Bank of India (RBI) Guidelines on Information Security, Electronic Banking, Technology Risk Management and Cyber Frauds La Reserve Bank of India (RBI) a publié des lignes directrices sur la sécurité de l'information, les services bancaires électroniques, la gestion des risques technologiques et la cyberfraude pour les institutions financières. Ces directives comprennent des exigences en matière de gouvernance de la sécurité de l'information et des technologies de l'information (TI) au sein des banques. Pour plus de renseignements, consultez la page https://rbidocs.rbi.org.in/rdocs/content/PDFs/GBS300411F.pdf.
Lignes directrices de la Reserve Bank of India (RBI) pour la gestion des risques et l'établissement d'un code de conduite pour les activités d'externalisation des services financiers des banques (2006) Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Lignes directrices de la Reserve Bank of India (RBI) pour la gestion des risques et l'établissement d'un code de conduite pour les activités d'externalisation des services financiers des banques (2006) Les lignes directrices de la Reserve Bank of India (RBI) pour la gestion des risques et l'établissement d'un code de conduite pour les activités d'externalisation des services financiers des banques ont pour but de répondre aux attentes de RBI concernant les banques qui gèrent les risques en sous-traitance envers les tiers. Les directives de la RBI fournissent des conseils particuliers sur les pratiques de gestion des risques pour les services financiers externalisés et l'externalisation des services financiers à l'étranger. Pour plus de renseignements, consultez la page https://rbidocs.rbi.org.in/rdocs/notification/PDFs/73713.PDF
Circulaire (2015) du Exchange Board of India (SEBI) à propos de l'externalisation par les dépositaires Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Circulaire (2015) du Exchange Board of India (SEBI) à propos de l'externalisation par les dépositaires Les directives visent à garantir que les dépositaires ne sous-traitent pas leurs activités essentielles et critiques, à assurer une vérification adéquate de la mise en oeuvre des mesures d'évaluation des risques et d'atténuation, à surveiller les vérifications et les contrôles globaux de l'entité externalisée en temps réel. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/dec-2015/outsourcing-by-depositories_31219.html
Circulaire (2017) de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation concernant la bourse et les chambres de compensation Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Circulaire (2017) de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation concernant la bourse et les chambres de compensation La circulaire sur les activités d'externalisation concernant la bourse et les chambres de compensation fournit des conseils particuliers sur : la diligence raisonnable, la sous-traitance, les contrats avec les fournisseurs de services, la surveillance du rendement du fournisseur de services, la continuité des affaires, la confidentialité, la résiliation, l'accès aux informations et autres enregistrements et la vérification. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/sep-2017/outsourcing-of-activities-by-stock-exchanges-and-clearing-corporations_35932.html
Lignes directrices de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation par les intermédiaires (2011) Liste de vérification des contrats Oracle pour certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Oracle Cloud Application Services et certains règlements, certaines directives et certaines circulaires de services financiers de l'Inde (PDF) Lignes directrices de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation par les intermédiaires (2011) Les lignes directrices sur l'externalisation des activités par les intermédiaires fournissent des directives précises sur les droits de vérification, la confidentialité et la sécurité des données, la surveillance des services externalisés, la sous-traitance et la continuité des affaires. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/dec-2011/guidelines-on-outsourcing-of-activities-by-intermediaries_21752.html
Japon	Lignes directrices de la Financial Industry Information Systems (FISC) Lignes directrices de la Financial Industry Information Systems (FISC) Le Center for Financial Industry Information Systems (FISC), créé par le ministère japonais des finances, se compose d'institutions financières, de compagnies d'assurance et de sociétés de titres, ainsi que de fabricants d'ordinateurs et de sociétés de télécommunications. L'organisme a défini les directives de sécurité du FISC en 1985. Ces lignes directrices fournissent des normes de base en matière d'architecture et d'exploitation des systèmes d'information pour les banques et autres institutions financières connexes. Pour plus de renseignements, consultez la page https://www.fisc.or.jp
National Center of Incident Readiness and Strategy for Cybersecurity (NISC) National Center of Incident Readiness and Strategy for Cybersecurity (NISC) Le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) a été créé en 2015. L'organe directeur est chargé de surveiller les organisations gouvernementales qui gèrent de grands volumes d'informations personnelles dans le secteur du nuage et en dehors de celui-ci. Il vise à élaborer un large éventail de directives de sécurité à suivre pour les entités gouvernementales, qui favorisent des mesures efficaces et efficaces de cybersécurité et la conformité juridique. Pour plus de renseignements, consultez la page https://www.nisc.go.jp/eng/
Circulaire 2018/3: My Number Act de la Personal Information Protection Commission (PPC) Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF) Circulaire 2018/3: My Number Act de la Personal Information Protection Commission (PPC) La circulaire My Number Act, émise par la Personal Information Protection Commission (PPC), a été adoptée par le gouvernement japonais en 2016. L'objectif consistait à s'assurer que les organisations gèrent et protègent correctement les données personnelles, y compris les données My Number, conformément à la loi. Pour plus de renseignements, consultez la page https://www.irs.gov/pub/irs-pdf/p1075.pdf
Trois ministères : Secteur des soins de santé Trois ministères : Secteur des soins de santé Trois ministères japonais offrent des conseils pour le secteur des soins de santé. Chaque ministère a son propre ensemble de directives et d'exigences pour les fournisseurs infonuagiques. L'objectif consiste à s'assurer que le fournisseur de services infonuagiques est conforme aux directives de sécurité définies par les trois ministères. Pour en savoir plus, consultez les lignes directrices sur la gestion de la sécurité des systèmes d'information et des fournisseurs de services traitant des renseignements médicaux https://www.meti.go.jp/policy/mono_info_service/healthcare/01gl_20230707.pdf Lignes directrices sur la gestion de la sécurité des systèmes d'information médicale version 5.2 https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html Ministry of Economy, Trade and Industry (METI) - https://www.meti.go.jp/ Ministry of Internal Affairs and Communications (MIC) - https://www.soumu.go.jp/ Ministry of Health, Labour & Welfare (MHLW) - https://www.mhlw.go.jp/index.html
Financial Services Agency (FSA) Comprehensive Guidelines for Supervision of Major Bank Financial Services Agency (FSA) Comprehensive Guidelines for Supervision of Major Bank La Financial Services Agency (FSA) du Japon fournit des directives complètes sur la gestion du risque, la gouvernance d'entreprise, la conformité, les contrôles internes, la production de rapports financiers et de supervision pour la supervision des grandes banques. Pour plus de renseignements, consultez la page https://www.fsa.go.jp/common/law/guide/kantokushishin.pdf
Malaisie	Risk Management in Technology (RMiT) Oracle Cloud Infrastructure et Bank Negara Malaysia Risk Management in Technology (PDF) Risk Management in Technology (RMiT) La Bank Negara Malaysia réglemente les pratiques de gestion des risques en matière de technologie pour le secteur des services financiers en Malaisie. Les lignes directrices RMiT visent à fournir aux banques un cadre pour gérer efficacement les risques liés à la technologie dans des domaines tels que la cybersécurité, les risques opérationnels, la gouvernance des données, la gestion des risques liés au nuage et les technologies émergentes. Pour plus de renseignements, consultez la page https://www.bnm.gov.my/documents/20124/938039/PD-RMiT-June2023.pdf
Singapour	Association of Banks in Singapore (ABS) Cloud Computing Implementation Guide Liste de vérification des contrats Oracle Cloud Infrastructure pour les directives ABS sur les objectifs et les procédures de contrôle pour les fournisseurs de services sous-traités (PDF) Association of Banks in Singapore (ABS) Cloud Computing Implementation Guide L'Association of Banks in Singapore (ABS) est une association sectorielle représentant des établissements bancaires commerciaux et d'investissement à Singapour. Le ABS Cloud Computing Implementation Guide 2.0 (guide de l'ABS) fournit des recommandations et des considérations relatives aux pratiques exemplaires pour l'adoption des technologies en nuage, notamment des directives pour la diligence raisonnable, la gestion des fournisseurs et les contrôles clés. Pour plus de renseignements, consultez la page https://abs.org.sg/industry-guidelines/outsourcing
Monetary Authority of Singapore (MAS): Technology Risk Management (TRM) Guidelines Pratiques d'Oracle Cloud Infrastructure dans le contexte des directives de gestion des risques technologiques (PDF) Liste de vérification des contrats Oracle pour Oracle Cloud Infrastructure et les directives de la Monetary Authority of Singapore (MAS) sur l'externalisation (PDF) Monetary Authority of Singapore (MAS) : Technology Risk Management (TRM) Guidelines La Monetary Authority of Singapore (MAS), créée avec l'adoption de la MAS Act en 1970, est la banque centrale et l'organisme de réglementation financière intégré de Singapour. La MAS a fourni une liste de lignes directrices applicables aux établissements financiers opérant à Singapour en matière de gestion des risques, de cybersécurité et d'externalisation des TI. Pour plus de renseignements, consultez la page https://www.mas.gov.sg/-/media/mas/regulations-and-financial-stability/regulatory-and-supervisory-framework/risk-management/trm-guidelines-18-january-2021.pdf.
Monetary Authority of Singapore (MAS) Cyber Hygiene Requirements Notice 655 Applications Oracle Cloud et le Cyber Hygiene Requirements Notice 655 Monetary Authority of Singapore (PDF) Liste de vérification des contrats Oracle pour Oracle Cloud Infrastructure et les directives de la Monetary Authority of Singapore (MAS) sur l'externalisation (PDF) Monetary Authority of Singapore (MAS) Cyber Hygiene Requirements Notice 655 La Monetary Authority of Singapore (MAS), créée avec l'adoption de la MAS Act en 1970, est la banque centrale et l'organisme de réglementation financière intégré de Singapour. La MAS a fourni une liste de lignes directrices applicables aux établissements financiers opérant à Singapour en matière de gestion des risques, de cybersécurité et d'externalisation des TI. Pour plus de renseignements, consultez la page https://www.mas.gov.sg/-/media/mas/notices/pdf/mas-notice-655.pdf.
Corée du Sud	Financial Security Initiative (FSI) Cloud Guidelines Financial Security Initiative (FSI) Cloud Guidelines La Financial Security Initiative (FSI) a publié ses lignes directrices sur l'utilisation des services infonuagiques dans le secteur financier en 2019. Les lignes directrices prévoient des procédures et des mesures de sécurité que les sociétés financières en Corée doivent mettre en œuvre lorsqu'elles utilisent des services infonuagiques. Pour plus d’informations, consultez le site https://www.fsec.or.kr/en.
Thaïlande	Règlement de la Banque de Thaïlande sur la sous-traitance des TI pour les opérations commerciales des institutions financières (numéro FPG. 19/2559) Règlement de la Banque de Thaïlande sur la sous-traitance des TI pour les opérations commerciales des institutions financières (numéro FPG. 19/2559) La Banque de Thaïlande a mis sur pied des règlements concernant la sous-traitance dans les institutions financières qui comprennent des exigences pour l'obtention d'une approbation préalable, la conduite d'évaluation des risques, l'application d'une diligence raisonnable pour les fournisseurs, les contrats de sous-traitance, la surveillance du rendement des fournisseurs, l'établissement de plans de continuité des affaires et la conformité aux lois sur la protection des données. Pour plus de renseignements, consultez la page https://www.bot.or.th/Thai/FIPCS/Documents/FPG/2560/ThaiPDF/25600035.pdf.
Règles, conditions et procédures pour la fonction de sous-traitance liée à l'opération commerciale à une tierce partie (No. Tor Thor. 60/2561) Règles, conditions et procédures pour la fonction de sous-traitance liée à l'opération commerciale à une tierce partie (No. Tor Thor. 60/2561) Le Conseil de surveillance du marché des capitaux a publié des règlements concernant la sous traitance des titres et des transactions dérivées à des tiers qui précisent les exigences, les conditions et les procédures de sous-traitance et qui contiennent des dispositions pour la sélection et la surveillance des fournisseurs de services. Pour plus de renseignements, consultez la page https://publish.sec.or.th/nrs/7820s.pdf

Région

Pays

Avis

Global

Directives sur les bonnes pratiques (GxP)

Directives sur les bonnes pratiques (GxP)
Les directives sur les bonnes pratiques (GxP) et les règlements comprennent un ensemble de directives mondiales pour la traçabilité, la responsabilité et l'intégrité des données. Elles visent à assurer l'innocuité de la nourriture, des dispositifs médicaux, des médicaments et d'autres produits de sciences de la vie, tout en maintenant la qualité des processus tout au long de chaque étape de fabrication, de contrôle, de stockage et de distribution. Certains des principaux organismes de réglementation comprennent la Food & Drug Administration (FDA) aux États-Unis, la Therapeutic Goods Administration (TGA) en Australie et Santé Canada (SC) au Canada. GxP comprend des ensembles de réglementations variés, mais les plus courants sont GCP, GLP et GMP. Pour plus de renseignements, consultez la page https://www.fda.gov/drugs/guidance-compliance-regulatory-information.

Amériques

Brésil

Exigences en matière de services numériques de la résolution 4893 de la Banque centrale du Brésil (BACEN)

Exigences en matière de services numériques de la résolution 4893 de la banque centrale du Brésil (BACEN)
La BACEN a émis la résolution n 4893 le 26 février 2021. Cette résolution décrit plusieurs exigences en matière de services numériques concernant les institutions financières réglementées, dont la politique de cybersécurité, le traitement des données, le stockage, et les services informatiques en nuage. Cette résolution vise à guider les institutions financières dans l'évaluation des fournisseurs de services en nuage et à établir des contrôles pour gérer cette relation. Pour plus d'informations, consultez https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolução CMN&numero=4893

Lei Geral de Proteção de Dados (LGPD), loi fédérale 13 709/18

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

Lei Geral de Proteção de Dados Lei (LGPD), loi fédérale 13.709/18
La Lei Geral de Proteção de Dados Lei (LGPD), loi fédérale13.709/18 du Brésil est passée en août 2018 dans le but de promouvoir et de protéger la confidentialité, ainsi que de réguler la façon dont les entreprises brésiliennes traitent les renseignements personnels. La loi couvre toutes les entreprises qui offrent des services ou ont des opérations impliquant le traitement des données au Brésil. Pour plus d'information, consultez https://www.lgpdbrasil.com.br/o-que-muda-com-a-lei/

Canada

Exigences de sécurité canadiennes pour les renseignements de niveau « Protégé B »

Exigences de sécurité canadiennes pour les renseignements de niveau « Protégé B »
Les contrats du gouvernement fédéral au Canada contiennent des clauses ayant des exigences de sécurité qui précisent les niveaux de sécurité pour les renseignements, les actifs et les lieux de travail sensibles. Le gouvernement canadien a établi des niveaux de protection de l'information et des biens, et le niveau B s'applique aux renseignements ou aux biens dont la perte ou les dommages pourraient causer des dommages graves à une personne, à une organisation ou à un gouvernement. Pour plus de renseignements, consultez la page https://www.tpsgc-pwgsc.gc.ca/esc-src/protection-safeguarding/niveaux-levels-fra.html

Lignes directrices du Bureau du surintendant des institutions financières (BSIF) : impartition d'activités, de fonctions et de méthodes commerciales (B-10)

Ligne directrice du Bureau du surintendant des institutions financières (BSIF) : impartition d’activités, de fonctions et de méthodes commerciales (B-10)
Le Bureau du surintendant des institutions financières (BSIF) est une agence indépendante du gouvernement canadien qui supervise et réglemente les institutions financières fédérales enregistrées au Canada. Dans le cadre de son rôle de régulateur, le BSIF publie des lignes directrices destinées aux institutions financières. La ligne directrice B-10 sur l’impartition d’activités, de fonctions et de méthodes commerciales (ligne directrice B-10) a d’abord été émise par le BSIF en 2001, et révisée en 2009. Elle énonce les attentes en ce qui concerne les entités fédérales qui confient des activités commerciales à des fournisseurs de services. Ces attentes servent de pratiques, de procédures ou de normes avisées qui doivent être appliquées en fonction des caractéristiques de l’arrangement d’impartition et des circonstances de chaque entité. Pour plus de renseignements, consultez la page https://www.osfi-bsif.gc.ca/fr/consignes/repertoire-consignes/impartition-dactivites-fonctions-methodes-commerciales

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi canadienne relative à la confidentialité des données. Elle est destinée à « régir la manière dont les organisations du secteur privé recueillent, utilisent et communiquent des renseignements personnels dans le cadre d'activités commerciales ». Pour plus d'informations, consultez https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/

Mexique

Circular Única de Seguros y Fianzas (CUSF)

Liste de vérification des contrats Oracle pour les exigences du CNSF pour les établissements d'assurance et de sûreté en vertu du LISF et du CUSF du Mexique (PDF)

Circular Única de Seguros y Fianzas (CUSF)
Law on Insurance and Surety Institutions (LISF) et Circular Única de Seguros y Fianzas (CUSF) Fournit aux institutions financières des directives sur l'externalisation des services, les droits de vérification, la conformité, la sécurité, la continuité des affaires et la sous-traitance. Pour plus de renseignements, consultez la page https://www.diputados.gob.mx/LeyesBiblio/pdf/LISF.pdf
https://www.gob.mx/cnsf/documentos/circular-unica-de-seguros-y-fianzas

Ley General de Protección de Datos Personales en Posesión de sujetos Obligados (LGPDPPSO)

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

Ley General de Protección de Datos Personales en Posesión de sujetos Obligados (LGPDPPSO)
La loi générale mexicaine pour la protection des données personnelles en possession de personnes soumises à des obligations s'applique au traitement des données par des « personnes soumises à des obligations », c'est-à-dire les entités gouvernementales aux niveaux fédéral, étatique et municipal mexicain, y compris les autorités, les agences ou les organes des pouvoirs exécutif, législatif ou judiciaire, ainsi que les organismes autonomes, les partis politiques, les fiducies et les fonds publics. La fin convenue du LGPDPPSO est d'établir des principes pour garantir le droit à la protection des données à caractère personnel, y compris le droit d'accès, de rectification, de suppression et d'opposition au traitement des données. Pour plus de renseignements, consultez la page https://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf

Ley de Instituciones de Crédito (LIC) et Circular única de bancos (CUB)

Ley de Instituciones de Crédito (LIC) & Circular única de bancos (CUB)
Disposiciones de Carácter General Aplicables a las Instituciones de Crédito (LIC) & Circular única de bancos (CUB) définit des règles sur la gouvernance d'entreprise et les contrôles internes pour les opérations bancaires, ainsi que pour l'organisation et le fonctionnement des institutions bancaires. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley de Instituciones de Crédito.pdf
https://www.cnbv.gob.mx/Normatividad/Disposiciones de carácter general aplicables a las instituciones de crédito.pdf

Ley del Mercado de Valores (LMV)

Liste de vérification des contrats Oracle pour le Mexique – Exigences relatives à la CNBV – Marché des titres et maisons de courtage (LMV/CUCB) (PDF)

Ley del Mercado de Valores (LMV)
Ley del Mercado de Valores (LMV) définit le cadre opérationnel général des actes commerciaux liés aux titres et les règles générales émises par la National Banking Securities Commission, la Banque centrale et la Bourse. Il s'agit notamment d'exigences en matière de surveillance du service, de la sous-traitance, de la confidentialité, des droits d'audit et d'accès, de la continuité des activités et de la portabilité des données. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley del Mercado de Valores.pdf
https://www.cnbv.gob.mx/Normatividad/Disposiciones de carácter general aplicables a las casas de bolsa.pdf

Ley Para Regular Las Instituciones De Tecnologia Financiera

Liste de vérification des contrats Oracle pour les exigences CNBV du Mexique pour les établissements de technologie financière en vertu de la LTF et du CUF (PDF)

Ley Para Regular Las Instituciones De Tecnologia Financiera
La National Banking Securities Commission, la Banque centrale mexicaine et le Ministère des finances au Mexique ont publié une loi de 2018 pour réglementer les institutions technologiques financières et fournir des directives aux institutions de financement participatif, aux institutions de monnaie électronique et aux entreprises en démarrage modèles novatrices pour mener des opérations de technologie financière au Mexique. Pour plus de renseignements, consultez la page https://www.cnbv.gob.mx/Normatividad/Ley para Regular las Instituciones de Tecnología Financiera.pdf

États-Unis

LCalifornia Consumer Privacy Act (CCPA)

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

California Consumer Privacy Act (CCPA)
La California Consumer Privacy Act (CCPA) est un projet de loi adopté par la législature de l'État de Californie, promulgué le 28 juin 2018 et modifié le 23 septembre 2018. La CCPA prévoit ce qui suit :

Le droit des Californiens de savoir quels renseignements personnels sont recueillis à leur sujet.
Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou divulgués et à qui.
Le droit des Californiens de dire non à la vente de renseignements personnels.
Le droit des Californiens d'accéder à leurs renseignements personnels.
Le droit des Californiens à un service et à un prix équivalent, même s'ils exercent leurs droits en matière de protection de la vie privée.

Pour plus de renseignements, consultez la page https://cppa.ca.gov/regulations/pdf/cppa_act.pdf

La politique de sécurité de la Criminal Justice Information Services (CJIS)

La politique de sécurité de la Criminal Justice Information Services (CJIS)
La Criminal Justice Information Services Division (CJIS) du Federal Bureau of Investigation (FBI) des États-Unis définit des normes pour la sécurité de l'information, des directives et des accords pour la protection des renseignements sur la justice pénale. La politique de sécurité de la CJIS décrit les contrôles visant à protéger les sources, la transmission, le stockage et l'accès aux données. Pour plus de renseignements, consultez la page https://www.fbi.gov/services/cjis/cjis-security-policy-resource-center

Defense Federal Acquisition Regulation Supplement (DFARS) Parties 7010 et 7012

Defense Federal Acquisition Regulation Supplement (DFARS) Parties 7010 et 7012
Le Defense Federal Acquisition Regulation Supplement (DFARS) englobe les exigences du ministère de la Défense (DoD) à suivre pour les entrepreneurs et les fournisseurs lorsqu'ils fournissent des services d'infonuagique dans le cadre de l'exécution d'un contrat couvert. Pour plus de renseignements, consultez la page https://www.acquisition.gov/dfars/part-252-solicitation-provisions-and-contract-clauses#DFARS_252.204-7010

Outil d'évaluation de la Federal Financial Institutions Examination Council (FFIEC)

Outil d'évaluation de la Federal Financial Institutions Examination Council (FFIEC)
Le Federal Financial Institutions Examination Council (FFIEC) est un organisme interinstitutions responsable de l'examen fédéral des institutions financières américaines. Le FFIEC a mis au point un outil d'évaluation de la cybersécurité (évaluation) pour aider les institutions financières à définir leurs risques et à déterminer leur maturité en matière de cybersécurité. L'évaluation fournit des conseils aux institutions financières pour l'élaboration d'un profil de risque inhérent et l'identification de leur niveau de maturité en matière de cybersécurité. Pour plus de renseignements, consultez la page https://www.ffiec.gov/cyberassessmenttool.htm.

Intelligence Community (IC) Information Technology Systems Security Risk Management Directive 503

Intelligence Community (IC) Information Technology Systems Security Risk Management Directive 503
Le directeur américain du renseignement national a publié la Intelligence Community Directive (ICD) 503 Intelligence Community (IC) Information Technology Systems Security Risk Management, Certification, and Accreditation en septembre 2008. ICD 503 définit la politique de la communauté du renseignement pour les processus liés à la gestion des risques de sécurité, à la certification et à l'accréditation. Pour plus de renseignements, consultez la page https://www.dni.gov/files/documents/ICD/ICD-503.pdf.

Publication 1075 du Internal Revenue Service (IRS)

Oracle Cloud Infrastructure et la Publication 1075, Tax Information Security Guidelines for Federal, State and Local Agencies (publication 1075, directives de sécurité des informations fiscales pour les agences fédérales, étatiques et locales) (PDF)

Publication 1075 du Internal Revenue Service (IRS)
La publication 1075 du Internal Revenue Service (IRS) (IRS 1075) s'applique aux organisations qui traitent ou tiennent à jour les renseignements fiscaux fédéraux américains. L'intention consiste « à répondre à toute demande publique de renseignements sensibles et d'empêcher la divulgation de données qui mettraient en danger les renseignements fiscaux fédéraux ». Pour plus de renseignements, consultez la page https://www.irs.gov/pub/irs-pdf/p1075.pdf

International Traffic in Arms Regulations (ITAR)

International Traffic in Arms Regulations (ITAR)
L'International Traffic in Arms Regulations (ITAR) est une exigence américaine. Elle vise à restreindre et à contrôler l'exportation de technologies de défense et de technologies militaires pour protéger la sécurité nationale américaine et d'autres objectifs de politique étrangère des États-Unis. Pour plus d'informations, consultez la page https://www.federalregister.gov/documents/2020/01/23/2020-00574/international-traffic-in-arms-regulations-us-munitions-list-categories-i-ii-and-iii

Minimum Acceptable Risk Standards for Exchanges (MARS-E)

Minimum Acceptable Risk Standards for Exchanges (MARS-E)
L'U.S. Department of Health and Human Services a établi les Minimum Acceptable Risk Standards for Exchanges (MARS-E) en vertu de la loi ACA (Affordable Care Act) de 2010. Elles visent à assurer la transmission sécurisée des informations personnelles identifiables (PII), des informations de santé protégées (PHI) et des renseignements fiscaux fédéraux (FTI) des citoyens américains. Pour plus de renseignements, consultez la page https://www.hhs.gov/guidance/document/minimum-acceptable-risk-standards-exchanges-mars-e-20

NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
La National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171) “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations” fournit des exigences de sécurité pour protéger la confidentialité des renseignements non classifiés contrôlés (CUI). Les agences fédérales utilisent les exigences dans les mécanismes contractuels ou autres accords établis entre ces agences et des organisations non fédérales. Les exigences s'appliquent à tous les systèmes d'information et organisations non fédéraux qui traitent, stockent ou transmettent des CUI. Pour plus de renseignements, consultez la page https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP)

Oracle Cloud Infrastructure et les normes de protection des infrastructures critiques de la North American Electric Reliability Corporation (PDF)

North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP)
North American Electric Reliability Corporation (NERC) est une autorité de réglementation internationale sans but lucratif qui vise à assurer une réduction efficace et efficiente des risques pour la fiabilité et la sécurité du réseau en masse. La NERC élabore et applique des normes de fiabilité et est soumise à la surveillance de la US Federal Energy Regulatory Commission (FERC) et des autorités gouvernementales au Canada. Les normes de cybersécurité de la NERC Critical Infrastructure Protection (CIP) exigent une gamme de programmes de sécurité pour l'industrie de l'électricité aux États-Unis et au Canada. Pour plus de renseignements, consultez la page https://www.nerc.com/comm/RSTC/Pages/default.aspx

Exigences de conservation des enregistrements électroniques de la Securities and Exchange Commission (SEC Rule 17a-4(f)), de la Financial Industry Financial Authority (FINRA Rule 4511(c)) et de la Commodities Futures Trading Commission (CFTC Rule 1.31(c)-(d))
Les institutions financières négociant des titres réglementés aux États-Unis peuvent faire l'objet d'exigences réglementaires spéciales pour la conservation des documents électroniques par la Securities and Exchange Commission (SEC), la Financial Industry Financial Authority (FINRA) et la Commodities Futures Trading Commission (CFTC). Ces exigences peuvent comprendre la SEC Rule 17a-4(f), la FINRA Rule 4511(c), et la CFTC Regulation 1.31(c)-(d). Pour plus de renseignements, consultez les ressources suivantes : SEC 17a-4(f) - https://www.sec.gov/rules/interp/34-47806.htm
FINRA Rule 4511(c) - https://www.finra.org/rules-guidance/rulebooks/finra-rules/4511
CFTC Rule 1.31(c)-(d) - https://www.cftc.gov/sites/default/files/opa/press99/opa4266-99-attch.htm

Europe, Moyen-Orient et Afrique

Union européenne

Loi sur la résilience opérationnelle numérique (DORA)

Liste de vérification des contrats Oracle pour la loi de l'UE sur la résilience opérationnelle numérique (DORA) (PDF)

Loi sur la résilience opérationnelle numérique (DORA)
La Loi sur la résilience opérationnelle numérique (DORA) a été adoptée en tant que règlement 2022/2554 par l'Union européenne (UE) afin d'établir les règles régissant l'utilisation des technologies de l'information et de la communication (TIC) par les entités financières opérant dans l'UE. DORA vise à traiter les risques résultant de l'augmentation de la numérisation et de l'interconnexion liés à l'utilisation des TIC dans le secteur financier. Elle crée également un cadre de contrôle pour les fournisseurs de services TIC au secteur financier qui sont jugés essentiels. Les dispositions de la DORA s'appliquent à partir du 17 janvier 2025, pour une période de mise en œuvre de 24 mois. Pour plus de renseignements, consultez la page https://eur-lex.europa.eu/eli/reg/2022/2554/oj?locale=fr.

Lignes directrices sur les accords d'externalisation de l'Autorité bancaire européenne (ABE)

Lignes directrices sur les accords d'externalisation de l'Autorité bancaire européenne (ABE)
L'Autorité bancaire européenne (ABE), une autorité de surveillance financière de l'UE, produit les lignes directrices de l'ABE sur les accords d'externalisation afin de fournir aux institutions financières des conseils concernant les accords de sous-traitance tels que les services en nuage. Pour plus de renseignements, consultez la page https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements

Cadre d'assurance des informations pour l'informatique en nuage de l'European Union Agency for Cybersecurity (ENISA)

Cadre d'assurance des informations pour l'informatique en nuage de l'European Union Agency for Cybersecurity (ENISA)
L'European Union Agency for Cybersecurity (ENISA) est une agence européenne qui contribue à la politique européenne de cybersécurité et soutient les États membres et les autres parties prenantes de l'union, lorsque des cyberincidents de grande envergure se produisent. L'ENISA a créé un ensemble de critères d'assurance appelés Information Assurance Framework (IAF) conçus pour aider les consommateurs de services infonuagiques à :

Évaluer le risque d'adoption de services en nuage
Comparer différentes offres de fournisseurs infonuagiques
Obtenir des assurances des fournisseurs infonuagiques sélectionnés
Réduire le fardeau en matière d'assurances pour les fournisseurs infonuagiques

Pour plus de renseignements, consultez la page https://www.enisa.europa.eu/publications/cloud-computing-information-assurance-framework

Règlement général sur la protection des données (RGPD)

Règlement général sur la protection des données (RGPD)
Le Règlement général sur la protection des données (RGPD) 2016/679 est un règlement du droit de l'Union européenne (UE) sur la protection des données et la confidentialité. Il s'applique à toutes les entités traitant des données relatives aux résidents de l'UE, indépendamment de l'emplacement de l'entreprise ou des paramètres régionaux de stockage des données. Pour plus d'informations, consultez https://ec.europa.eu/info/law/law-topic/data-protection_en

Allemagne

Lignes directrices de BaFin en matière de sous-traitance effectuée par des fournisseurs de services infonuagiques

Les applications en nuage Oracle et l'Autorité fédérale allemande de supervision financière (BaFin) (PDF)

Lignes directrices de BaFin en matière de sous-traitance effectuée par des fournisseurs de services infonuagiques
La Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) est responsable de la supervision des banques, des établissements de crédit, des assureurs, des fonds et des institutions financières en Allemagne. BaFin et la Deutsche Bundesbank ont publié des lignes directrices sur la sous-traitance dans le but de « donner plus de transparence à l’évaluation de contrôle du secteur financier avec sous-traitance effectuée par des fournisseurs infonuagiques ». Pour plus de renseignements, consultez la page https://www.bafin.de/SharedDocs/Downloads/EN/Merkblatt/BA/
dl_181108_orientierungshilfe_zu_auslagerungen_an_cloud_anbieter_ba_en.html?nn=9866146

IT Grundschutz

IT Grundschutz
L'Office fédéral allemand de la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik) a créé un cadre pour la sécurité de l'information (IT-Grundschutz). IT-Grunschutz comprend :

BSI Standard 200-1 : fournit les exigences générales pour un système de management de la sécurité des informations.
BSI Standard 200-2: explique comment un système de management de la sécurité des informations peut être construit selon l'une des trois approches suivantes :
BSI Standard 200-3 : contient toutes les tâches liées au risque
BSI Standard 100-4 : couvre la gestion de la continuité des activités (GCA)

Pour plus de renseignements, consultez la page https://www.bsi.bund.de

Kritische Infrastrukturen - Abschnitt 8a

Applications Oracle Cloud (SaaS) et lignes directrices sur les infrastructures critiques allemandes (KRITIS) (PDF)

Kritische Infrastrukturen - Abschnitt 8a
L'Office fédéral allemand de la sécurité de l'information (BSI) a publié la section 8a de BSIG (loi sur l'Office fédéral de la sécurité de l'information) qui se rapporte à KRITIS, ce qui signifie « Kritische Infrastruckturen » ou infrastructures critiques. Elle fournit des lignes directrices pour identifier les infrastructures critiques, effectuer des évaluations des risques, mettre en œuvre des mesures de sécurité, signaler les incidents, subir des audits et améliorer continuellement la sécurité pour protéger les services essentiels en Allemagne. Pour plus de renseignements, consultez la page https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html

Kenya

Guidelines on Cybersecurity for Payment Service Providers

Applications Oracle Cloud (SaaS) et certaines directives réglementaires kenyanes (PDF)

Guidelines on Cybersecurity for Payment Service Providers
La Banque centrale du Kenya a publié les Guidelines on Cybersecurity for Payment Service Providers concernant l'évaluation du risque, la protection des données, la réponse aux incidents et la sécurité de tierce partie. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2019/07/GuidelinesonCybersecurityforPSPs.pdf

Prudential Guidelines for Institutions Licensed under the Banking Act

Applications Oracle Cloud (SaaS) et certaines directives réglementaires kenyanes (PDF)

Prudential Guidelines for Institutions Licensed under the Banking Act
En vertu de l'article 33(4) de la loi bancaire, la Banque centrale du Kenya a publié des lignes directrices pour les institutions. Certaines de ces lignes directrices visent à établir des normes minimales de sécurité des données et des réseaux et de continuité des activités. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2016/08/PRUDENTIAL-GUIDELINES.pdf

Prudential Guideline on Outsourcing (CBK/PG/16)

Liste de vérification des contrats Oracle pour la ligne directrice de la Banque centrale du Kenya sur l'externalisation (CBK/PG/16) (PDF)

Prudential Guideline on Outsourcing (CBK/PG/16)
Dans le cadre de sa fonction de surveillance, la Banque centrale du Kenya a publié des directives prudentielles pour les institutions autorisées en vertu de la loi sur les banques, qui comprennent des directives sur l'externalisation (CBK/PG/16). Les lignes directrices s'appliquent à toutes les banques autorisées qui sous-traitent des activités.Elles englobent les politiques d'externalisation, la gouvernance, la gestion des risques, la continuité des activités, la sécurité des données et les contrats avec les fournisseurs de services. Pour plus de renseignements, consultez la page https://www.centralbank.go.ke/wp-content/uploads/2016/08/PRUDENTIAL-GUIDELINES.pdf

Koweït

Cadre de réglementation de l'informatique en nuage (CITRA CCRF)

Cadre de réglementation de l'informatique en nuage (CITRA CCRF)
L'autorité de réglementation des technologies de l'information et des communications du Koweït a établi un cadre pour régir l'utilisation des services d'informatique en nuage au Koweït. Il fournit des lignes directrices pour la protection des données, la confidentialité et la sécurité, facilitant ainsi l'adoption des services infonuagiques. Pour plus de renseignements, consultez la page https://www.citra.gov.kw/sites/en/LegalReferences/Cloud_computing_regulatory_framework.pdf

Pays-Bas

Government Information Security Baseline (BIO)

Les applications en nuage Oracle (SaaS) et la norme du BIO (Baseline Information Security Government) des Pays-Bas (PDF)

Référence en matière de sécurité de l’information au sein du gouvernement (BIO)
La Baseline informatiebeveiliging overheid (BIO) est une norme de sécurité de l’information pour le secteur public néerlandais, notamment les organismes gouvernementaux, les municipalités, les provinces et les offices des eaux. Elle repose sur les normes et les pratiques exemplaires en matière de sécurité de l'information reconnues à l’échelle mondiale, telles que ISO 27001 et ISO 27002. Puisque la norme BIO a été émise par le conseil ministériel, elle constitue la seule référence pour l’ensemble du gouvernement. Pour plus de renseignements, consultez le document PDF https://bio-overheid.nl/media/1572/bio-versie-104zv_def.pdf

NEN 7510 : gestion de la sécurité de l'information en soins de santé

Les applications en nuage Oracle et la norme 7510 du Standards Institute des Pays-Bas (NEN) (PDF)

NEN 7510 : gestion de la sécurité de l’information en soins de santé
La norme NEN 7510 a été développée par le Royal Netherlands Standardization Institute (Stichting Koninklijk Nederlands Normalisatie Instituut ou NEN). La norme Nen 7510 fournit des lignes directrices et des principes de base pour déterminer, établir et maintenir des mesures destinées aux organismes de soins de santé pour sécuriser les informations sur la santé. Pour plus de renseignements, consultez la page https://www.nen.nl/en/nen-7510-1-2017-a1-2020-nl-267179

Wet op het financeieel toezicht ou Wft

Oracle Cloud Applications (SaaS) et certaines réglementations et directives relatives aux services financiers aux Pays-Bas (PDF)

Wet op het financeieel toezicht ou WFT
La loi sur la surveillance financière (FSA) aux Pays-Bas constitue un cadre réglementaire complet visant à préserver la stabilité et l'intégrité du système financier. La WFT comprend un grand nombre de règles et de règlements pour les marchés financiers et leur supervision, y compris les bonnes pratiques d'externalisation des assureurs et les bonnes pratiques de gestion des risques d'externalisation. Pour plus de renseignements, consultez la page https://wetten.overheid.nl/BWBR0020368/2023-07-01

Bonnes pratiques en matière d'externalisation pour les assureurs - https://www.dnb.nl/media/rikf4hxv/good-practice-outsourcing-insurers.pdf

Bonnes pratiques en matière de gestion des risques d'externalisation - https://www.dnb.nl/en/sector-information/open-book-supervision/open-book-supervision-themes/prudential-supervision/governance/good-practices-for-managing-outsourcing-risks/

Norvège

Forskrift om bruk av informasjons- og kommunikasjonsteknologi

Liste de vérification des contrats Oracle pour le Règlement sur les services financiers norvégiens applicable à l'externalisation des TI (PDF)

Forskrift om bruk av informasjons- og kommunikasjonsteknologi
La réglementation norvégienne sur l'utilisation des technologies de l'information et de la communication (TIC) fournit des directives pour assurer une utilisation responsable et sécurisée des outils et des plates-formes numériques. Cette réglementation accorde la priorité à la protection des données, à la confidentialité, à la cybersécurité et à l'accessibilité dans les secteurs public et privé. Pour plus de renseignements, consultez la page https://lovdata.no/dokument/SF/forskrift/2003-05-21-630

Veiledning om utkontraktering

Liste de vérification des contrats Oracle pour le Règlement sur les services financiers norvégiens applicable à l'externalisation des TI (PDF)

Veiledning om utkontraktering
La circulaire 7/2021 de l'Autorité financière norvégienne (Finanstilsynet) fournit des directives sur les activités d'externalisation et fait la promotion de pratiques d'affaires responsables. Pour plus de renseignements, consultez la page https://www.finanstilsynet.no/contentassets/9f76ac1a390a44218b285b61bb13e19a/veiledning-om-utkontraktering.pdf

Arabie saoudite

National Cybersecurity Authority (NCA) Essential Cybersecurity Controls (ECC)

National Cybersecurity Authority (NCA) Essential Cybersecurity Controls (ECC)
La National Cybersecurity Authority (NCA) a élaboré Essential Cyber Security Controls (ECC) pour définir l'ensemble minimal d'exigences de cybersécurité pour les organisations nationales en Arabie saoudite. L'objectif consiste à établir des contrôles définissant les exigences minimales pour les ressources informatiques et technologiques dans les organisations. Pour plus de renseignements, consultez la page https://nca.gov.sa/ecc-en.pdf.

Cadre de cybersécurité de la Saudi Arabian Monetary Authority (SAMA CSF)

Cadre de cybersécurité de la Saudi Arabian Monetary Authority (SAMA CSF)
Le cadre de cybersécurité a été élaboré par la Saudi Arabian Monetary Authority (SAMA) pour permettre aux institutions financières de définir et de traiter les risques liés à la cybersécurité. Pour plus d'informations, consultez https://www.sama.gov.sa/en-US/RulesInstructions/CyberSecurity/Cyber%20Security%20Framework.pdf

Règles de la Saudi Arabian Monetary Authority (SAMA) sur l'externalisation

Liste de vérification d'Oracle pour les règles de la Saudi Arabian Monetary Authority sur l'externalisation (PDF)

Règles de la Saudi Arabian Monetary Authority (SAMA) sur l'externalisation
La Saudi Arabian Monetary Authority (SAMA) est la banque centrale du Royaume d'Arabie saoudite et l'autorité de surveillance pour les banques, les fournisseurs de paiement, les compagnies d'assurance, les sociétés financières et les bureaux de crédit opérant au Royaume. Les règles de la SAMA sur l'externalisation s'appliquent aux banques autorisées en vertu de la Loi sur le contrôle bancaire (décret royal n° M/5 en date du 22/2/1386 H), et exige de ces banques qu'elles gèrent de manière appropriée les risques découlant de l'externalisation, notamment en veillant à ce que leurs arrangements d'externalisation soient soumis à une diligence raisonnable, à l'approbation et au suivi en cours. Pour plus de renseignements, consultez la page https://www.sama.gov.sa/en-US/RulesInstructions/FinanceRules/Outsourcing%20Rules%20-%20Revised%20v2%20Final%20Draft-Dec-2019.pdf

Afrique du Sud

Directive 159.A.i

Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF)

Directive 159.A.i
Le Conseil des services financiers d'Afrique du Sud, qui fait partie de l'Autorité de déontologie du secteur financier, a mis en œuvre la directive 159.A.i, qui spécifie les règles applicables à l'externalisation par les assureurs d'Afrique du Sud. Pour plus de renseignements, consultez la page https://www.fsca.co.za/Enforcement-Matters/Directives/Forms/DispForm.aspx?ID=436.

Note d'orientation 4 (G5/2014) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience (G5/2014)

Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF)

Note d'orientation 4 (G5/2014) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience
Le bureau du registraire des banques en Afrique du Sud a publié des conseils aux banques concernant les fonctions d'externalisation au sein d'une banque et la cyber résilience dans la note d'orientation 5 de 2014 (G5/2014). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-guidance-notes/2014/6320.

Note d'orientation 4 (G4/2017) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience (G4/2017)

Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF)

Note d'orientation 4 (G4/2017) Office of the Registrar of Banks Outsourcing Functions within a Bank and Cyber Resilience
Le bureau du registraire des banques en Afrique du Sud a publié des conseils aux banques concernant les fonctions d'externalisation au sein d'une banque et la cyber résilience dans la note d'orientation 4 de 2017 (G4/2017). Pour plus de renseignements, consultez la page https://www.resbank.co.za/content/dam/sarb/publications/prudential-authority/pa-deposit-takers/banks-guidance-notes/2017/7803/G4-of-2017.pdf.

Protection of Personal Information Act (POPIA)

Oracle Cloud Infrastructure et la Protection of Personal Information Act 2013 de l'Afrique du Sud (PDF)

Protection of Personal Information Act (POPIA)
La Protection of Personal Information Act (POPIA) est une loi sud-africaine visant à « promouvoir la protection des renseignements personnels traités par des organismes publics et privés. » La POPIA définit les conditions générales permettant aux entités publiques et privées de traiter légalement les renseignements personnels des personnes concernées. Pour plus de renseignements, consultez la page https://www.justice.gov.za/legislation/acts/2013-004.pdf

Directive 3 (D3/2018) Prudential Authority Cloud Computing and Offshoring of Data

Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF)

Directive 3 (D3/2018) Prudential Authority Cloud Computing and Offshoring of Data
L'Autorité prudentielle réglemente les banques commerciales, les banques mutuelles, les banques coopératives, les assureurs, les institutions financières coopératives, les sociétés financières et les infrastructures de marché sous la supervision de la Banque de réserve sud-africaine. L'Autorité prudentielle a publié une directive relative à l'informatique en nuage et à la délocalisation des données dans le secteur des services financiers, appelée directive 3 de 2018 (D3/2018). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-directives/2018/8749.

Note d'orientation 5 (G5/2018) Prudential Authority Cloud Computing and Offshoring of Data

Liste de vérification des contrats Oracle pour certaines directives des services financiers sud-africains (PDF)

Note d'orientation 5 (G5/2018) Prudential Authority Cloud Computing and Offshoring of Data
L'Autorité prudentielle réglemente les banques commerciales, les banques mutuelles, les banques coopératives, les assureurs, les institutions financières coopératives, les sociétés financières et les infrastructures de marché sous la supervision de la Banque de réserve sud-africaine. L'Autorité prudentielle a publié des directives concernant l'informatique en nuage et la délocalisation des données dans le secteur des services financiers, appelées note d'orientation 5 de 2018 (G5/2018). Pour plus de renseignements, consultez la page https://www.resbank.co.za/en/home/publications/publication-detail-pages/prudential-authority/pa-deposit-takers/banks-guidance-notes/2018/8747.

Espagne

Pinakes

Applications Oracle Fusion Cloud et cadre de cybersécurité PINAKES du Centre de coopération interbancaire espagnol (PDF)

Pinakes
Créé par le Centre de coopération interbancaire (CCI), une association professionnelle sans but lucratif, Pinakes est une plate-forme qui fournit la qualification, la gestion et la surveillance des services aux fournisseurs de services financiers. Il vise à permettre aux organisations de vérifier les niveaux de cybersécurité des services qu'elles utilisent, de permettre aux fournisseurs de démontrer leurs avantages en matière de sécurité aux clients et d'aider les organisations à se conformer aux lignes directrices de l'ABE en matière d'évaluation de la sécurité des fournisseurs. Pour plus de renseignements, consultez la page https://asociacioncci.es/pinakes.

Suisse

Circulaire 2018/3 de l'Autorité fédérale de surveillance des marchés financiers

Circulaire 2018/3 de l'Autorité fédérale de surveillance des marchés financiers
L'Autorité fédérale de surveillance des marchés financiers (FINMA) de la Suisse est responsable de la supervision et de la réglementation des banques, des compagnies d'assurance et des courtiers en valeurs mobilières suisses. La circulaire 2018/3 sur les services d'externalisation pour les banques et les assureurs de la FINMA définit un certain nombre d'exigences pour les organisations de services financiers lorsqu'elles sous-traitent toute activité commerciale importante. L'association suisse des banquiers (ASB) a élaboré de nouvelles lignes directrices pour l'utilisation sécurisée des services infonuagiques par les banques et les négociants en valeurs mobilières. Pour plus de renseignements, consultez la page https://www.finma.ch/fr/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2018-03-01012021_de.pdf?la=fr .

Émirats arabes unis

United Arab Emirates (UAE) Federal Law No. 2 of 2019

Oracle Cloud Infrastructure et la Health Data Law des Émirats arabes unis (PDF)

UAE Federal Law No. 2 of 2019
Les Émirats arabes unis ont publié la loi fédérale n° 2 de 2019 le 6 février 2019 relative à l'utilisation des technologies de l'information et de la communication (TIC) dans le domaine de la santé (la « Health Data Law »). La Health Data Law s'applique à toutes les méthodes et utilisations des TIC dans les domaines de la santé des Émirats arabes unis, y compris les zones franches. La loi vise à : (1) assurer l'utilisation optimale des TIC dans les domaines de la santé; (2) assurer la compatibilité des principes, des normes et des pratiques applicables dans l'État avec leurs pratiques internes. les contreparties reconnues; (3) permettre au ministère de la Santé et de la Prévention de recueillir, d'analyser et de conserver les renseignements sur la santé au niveau des Émirats arabes unis; et (4) assurer la sécurité des données et des renseignements sur la santé. Pour plus de renseignements, consultez la page https://mohap.gov.ae/app_content/legislations/php-law-en-77/mobile/index.html.

Royaume-Uni

Règlement délégué (UE) 2015/35 (Solvency II Delegated Regulation)

Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF)

Règlement délégué (UE) 2015/35 (Solvency II Delegated Regulation)
Le règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014 (Solvency II Delegated Regulation) fait partie du cadre d'un régime de solvabilité et de surveillance pour les assureurs et réassureurs. Il définit les exigences et procédures organisationnelles pour diverses questions, y compris les accords d'externalisation. La version britannique du règlement délégué Solvency II a fait partie du droit britannique en vertu de la loi European Union (Withdrawal) Act 2018 et de la législation connexe. Pour plus de renseignements, consultez la page https://www.legislation.gov.uk/uksi/2019/407/contents/made

Markets in Financial Instruments Directive MiFID II and MiFIR 600/2014 de l'Autorité européenne des marchés financiers (AEMF)

Liste de vérification des contrats Oracle pour une sélection du Règlement sur les services financiers du Royaume-Uni (PDF)

Markets in Financial Instruments Directive MiFID II and MiFIR 600/2014 de l'Autorité européenne des marchés financiers (AEMF)
L'Autorité européenne des marchés financiers (AEMF) et l'Union européenne ont publié la Markets in Financial Instruments Directive MiFID II et le règlement connexe Markets in Financial Instruments (MiFIR) 600/2014 pour promouvoir des marchés plus équitables, plus sûrs et plus efficaces et faciliter une plus grande transparence pour tous les participants. Pour plus de renseignements, consultez la page https://www.esma.europa.eu/publications-and-data/interactive-single-rulebook/mifid-ii

Manuel des règles et des directives de la Financial Conduct Authority (FCA)

Manuel des règles et des directives de la Financial Conduct Authority (FCA)
La Financial Conduct Authority (FCA) est responsable de l'autorisation et de la supervision des institutions financières au Royaume-Uni. Le manuel de la FCA énonce les dispositions législatives et autres de la FCA prises en vertu des pouvoirs qui lui sont conférés par la Loi de 2000 sur les services et marchés financiers. Les parties Senior Management Arrangements, Systems and Controls (SYSC) et de supervision (SUP) du manuel FCA contiennent des règles et des directives pertinentes aux accords d'externalisation. Pour plus de renseignements, consultez la page https://www.handbook.fca.org.uk/.

National Cyber Security Centre IT Health Check (ITHC)

National Cyber Security Centre IT Health Check (ITHC)
Le IT Health Check (ITHC) est une évaluation de la sécurité informatique requise dans le cadre d'un processus d'accréditation pour de nombreux systèmes informatiques gouvernementaux au Royaume-Uni. Pour plus de renseignements, consultez la page https://www.gov.uk/government/publications/it-health-check-ithc-supporting-guidance.

Déclaration de surveillance de la Prudential Regulation Authority (PRA SS2/21) sur l'externalisation et la gestion du risque de tiers

Déclaration de surveillance de la Prudential Regulation Authority (PRA SS2/21) sur l'externalisation et la gestion du risque de tiers
La Prudential Regulation Authority (PRA) est responsable de la supervision prudentielle des banques, des compagnies d'assurance, des sociétés de construction, des coopératives de crédit et des grandes sociétés d'investissement au Royaume-Uni. Le mandat de la PRA comprend la supervision de l'externalisation des entreprises et d'autres arrangements tiers. La déclaration de surveillance 2/21 de la PRA sur les accords d'externalisation et la gestion des risques par des tiers publiée le 29 mars 2021 (SS2/21) énonce les attentes de la PRA quant à la manière dont les entreprises réglementées par la PRA devraient se conformer aux exigences réglementaires relatives à l'externalisation et à la gestion des risques par des tiers. Pour plus de renseignements, consultez la page https://www.bankofengland.co.uk/prudential-regulation/publication/2021/march/outsourcing-and-third-party-risk-management-ss.

UK Government G-Cloud Framework

UK Government G-Cloud Framework
Le UK Government G-Cloud est une initiative d'approvisionnement visant à simplifier les achats liés au nuage par des organismes du secteur public au sein des ministères du gouvernement du Royaume-Uni. Le G-Cloud Framework permet aux entités publiques d'acheter des services en nuage en fonction de contrats approuvés par le gouvernement au moyen d'un marché numérique en ligne. Pour plus de renseignements, consultez la page https://www.gov.uk/digital-marketplace.

UK National Cyber Security Centre (NCSC) Cloud Security Principles

UK National Cyber Security Centre (NCSC) Cloud Security Principles
Le National Cyber Security Centre (NCSC) du Royaume-Uni est responsable d'améliorer la sécurité et de protéger Internet et les services critiques du Royaume-Uni contre les cyberattaques. Les 14 principes de la sécurité en nuage du NCSC décrivent les exigences que les services infonuagiques doivent respecter et incluent des considérations sur la protection des données en transit, la sécurité de la chaîne d'approvisionnement, l'identité et l'authentification, et l'utilisation sécurisée du service. Pour plus de renseignements, consultez la page https://www.ncsc.gov.uk/collection/cloud-security/implementing-the-cloud-security-principles.

UK NHS Data Security and Protection Toolkit (DSPT)

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

UK NHS Data Security and Protection Toolkit (DSPT)
La trousse à outils Data Security and Protection Toolkit (DSPT) permet l'auto-évaluation de la performance en fonction des dix normes de sécurité des données du National Health Service (NHS) du Royaume-Uni. Toutes les organisations qui ont accès aux données et aux systèmes de patients du NHS doivent utiliser cette boîte à outils pour s'assurer qu'elles assurent la bonne sécurité des données et que les renseignements personnels sont traités correctement. Pour plus de renseignements, consultez la page https://www.dsptoolkit.nhs.uk/.

Asie-Pacifique

Australie

Australian Prudential Regulation Authority (APRA) pour l'externalisation : CPS 231, SPS 231 et HPS 231

Australian Prudential Regulation Authority (APRA) pour l'externalisation : CPS 231, SPS 231 et HPS 231
L'Australian Prudential Regulation Authority (APRA) est l'autorité de réglementation des services financiers en Australie. L'APRA est responsable de l'émission de normes régissant les opérations des banques, des coopératives de crédit et des compagnies d'assurance qui exercent leurs activités en Australie. Les normes Prudential Standard CPS 231 Outsourcing (CPS 231), Prudential Standard SPS 231 Outsourcing (SPS 231), and Prudential Standard HPS 231 Outsourcing (HPS 231) de l'APRA énoncent les exigences pour s'assurer que les risques associés aux accords d'externalisation sont définis, évalués, gérés et déclarés. L'APRA a également publié un document d'information sur l'externalisation impliquant des services infonuagiques. Pour plus de renseignements, consultez la page https://www.apra.gov.au/sites/default/files/information_paper_-_outsourcing_involving_cloud_computing_services.pdf.

Australian Prudential Regulation Authority (APRA) Prudential Standard CPS 234

Oracle Cloud Applications (SaaS), APRA Prudential Standards CPS 231 et CPS 234 (PDF)

Australian Prudential Regulation Authority (APRA) CPS 234
L'Australian Prudential Regulation Authority (APRA) réglemente les services financiers en Australie. L'APRA a publié des normes qui réglementent les banques, les coopératives de crédit et les compagnies d'assurance. La norme prudentielle CPS 234 de l'APRA définit les exigences pour que les entités mettent en œuvre des mesures de sécurité de l'information afin de protéger leurs ressources d'information, notamment le traitement des violations de données et des incidents de cybersécurité. Pour plus de renseignements, consultez la page https://www.apra.gov.au/sites/default/files/cps_234_july_2019_for_public_release.pdf

Hong Kong

Principes généraux de la Hong Kong Monetary Authority (HKMA) pour la gestion du risque technologique TM-G-1

Manuels de politique de surveillance de la Hong Kong Monetary Authority sur l'externalisation et les principes généraux pour la gestion du risque technologique (PDF)

Principes généraux de la Hong Kong Monetary Authority (HKMA) pour la gestion du risque technologique TM-G-1
La Hong Kong Monetary Authority (HKMA) définit des normes minimales que les institutions autorisées (IA) doivent respecter pour satisfaire aux exigences et aux meilleures pratiques de l'ordonnance bancaire qui réglemente les activités bancaires. La politique de surveillance des principes généraux pour la gestion du risque technologique TM-G-1 comprend des lignes directrices que la HKMA s'attend à ce que les entités réglementées prennent en compte lors de la gestion des risques liés à la technologie. Pour plus de renseignements, consultez la page https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/TM-G-1.pdf

Normes d'externalisation SA-2 de la Hong Kong Monetary Authority (HKMA)

Manuels de politique de surveillance de la Hong Kong Monetary Authority sur l'externalisation et les principes généraux pour la gestion du risque technologique (PDF)

Normes d'externalisation SA-2 de la Hong Kong Monetary Authority (HKMA)
L'Autorité monétaire de Hong Kong (HKMA) définit les normes minimales que les institutions autorisées doivent atteindre pour satisfaire aux exigences et aux pratiques exemplaires de l'ordonnance bancaire qui réglemente les activités bancaires.Le manuel de politique de surveillance de l'externalisation SA-2 présente l'approche de la gestion des risques lors de l'externalisation et les principaux points que la HKMA recommande aux entités réglementées de traiter lors des activités d'externalisation. Pour plus de renseignements, consultez la page https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/TM-G-1.pdf

Inde

Guide de mise en œuvre de l'ICAI sur les rapports en vertu de la règle 11(g) de la Companies Act

Guide de mise en oeuvre de l'ICAI sur la production de rapports en vertu de la règle 11(g) de la Companies Act
La Companies Act de 2013 réglemente la formation et le fonctionnement des sociétés ou des entreprises en Inde. Administrée par le ministère des Affaires corporatives (MCA), la loi régit l'incorporation, la dissolution et le fonctionnement des entreprises et définit les exigences en matière de gouvernance d'entreprise. Par la suite, le conseil des normes d'audit et d'assurance de l'Institut des comptables agréés de l'Inde (ICAI) a publié le guide de mise en œuvre sur la déclaration en vertu de la règle 11(g) des règles des sociétés (auditeurs et vérificateurs), 2014 en mars 2023. La règle 11(g) vise à établir des rapports sur l'utilisation d'un logiciel de comptabilité pour tenir à jour les livres de comptes d'une entreprise, y compris les pistes de vérification. Pour plus d'informations sur la Companies Act, consultez https://www.mca.gov.in/Ministry/pdf/CompaniesAct2013.pdf. Pour plus d'informations sur les directives de la règle 11(g) de l'ICAI, consultez https://resource.cdn.icai.org/73438aasb59254.pdf

Insurance Regulatory and Development Authority of India (IRDAI) Regulation /5/142/2017, Outsourcing of Activities by Indian Insurers

Insurance Regulatory and Development Authority of India (IRDAI) Regulation /5/142/2017, Outsourcing of Activities by Indian Insurers
L'Insurance Regulatory and Development Authority of India (IRDAI) a publié les règlements de l'IRDAI, externalisation des activités par les assureurs indiens. Ces règlements portent sur l'externalisation et fournissent des directives et des exigences de gestion du risque pour le secteur de l'assurance dans toute l'Inde. Pour plus de renseignements, consultez la page https://irdai.gov.in/document-detail?documentId=822221.

Cadre de cybersécurité de la Reserve Bank of India (RBI) pour les banques coopératives principales (2018)

Cadre de cybersécurité de la Reserve Bank of India (RBI) pour les banques coopératives principales (2018)
La Reserve Bank of India (RBI) a publié un ensemble de directives pour les banques coopératives principales afin d'améliorer la sécurité et la résilience, protégeant leurs actifs contre les cyberattaques en continu. Il souligne la nécessité de mettre en œuvre un cadre robuste de cybersécurité et de résilience et recommande des contrôles de sécurité particuliers pour soutenir une préparation adéquate à la cybersécurité. Pour plus de renseignements, consultez la page https://www.rbi.org.in/Scripts/NotificationUser.aspx?Id=11397&Mode=0.

Cadre de cybersécurité de la Reserve Bank of India (RBI) des banques protégeant l'utilisation des technologies de l'information (2016)

Cadre de cybersécurité de la Reserve Bank of India (RBI) des banques protégeant l'utilisation des technologies de l'information (2016)
La Reserve Bank of India a fourni des directives sur la circulaire DBS relative au cadre de cybersécurité. CO/CSITE/BC.11/33.01.001/2015-16 du 2 juin 2016. Ces directives sont conçues pour fournir un cadre robuste de cybersécurité et de résilience afin d'assurer une préparation adéquate en matière de cybersécurité entre les banques, sur une base continue. Les directives RBI relatives au cadre de cybersécurité permettront aux banques de formaliser et d'adopter une politique de cybersécurité et un plan de gestion des cybercrise. Pour plus de renseignements, consultez la page https://www.rbi.org.in/Scripts/NotificationUser.aspx?Id=10435&Mode=0.

Reserve Bank of India (RBI) Guidelines on Information Security, Electronic Banking, Technology Risk Management and Cyber Frauds

Reserve Bank of India (RBI) Guidelines on Information Security, Electronic Banking, Technology Risk Management and Cyber Frauds
La Reserve Bank of India (RBI) a publié des lignes directrices sur la sécurité de l'information, les services bancaires électroniques, la gestion des risques technologiques et la cyberfraude pour les institutions financières. Ces directives comprennent des exigences en matière de gouvernance de la sécurité de l'information et des technologies de l'information (TI) au sein des banques. Pour plus de renseignements, consultez la page https://rbidocs.rbi.org.in/rdocs/content/PDFs/GBS300411F.pdf.

Lignes directrices de la Reserve Bank of India (RBI) pour la gestion des risques et l'établissement d'un code de conduite pour les activités d'externalisation des services financiers des banques (2006)
Les lignes directrices de la Reserve Bank of India (RBI) pour la gestion des risques et l'établissement d'un code de conduite pour les activités d'externalisation des services financiers des banques ont pour but de répondre aux attentes de RBI concernant les banques qui gèrent les risques en sous-traitance envers les tiers. Les directives de la RBI fournissent des conseils particuliers sur les pratiques de gestion des risques pour les services financiers externalisés et l'externalisation des services financiers à l'étranger. Pour plus de renseignements, consultez la page https://rbidocs.rbi.org.in/rdocs/notification/PDFs/73713.PDF

Circulaire (2015) du Exchange Board of India (SEBI) à propos de l'externalisation par les dépositaires

Circulaire (2015) du Exchange Board of India (SEBI) à propos de l'externalisation par les dépositaires
Les directives visent à garantir que les dépositaires ne sous-traitent pas leurs activités essentielles et critiques, à assurer une vérification adéquate de la mise en oeuvre des mesures d'évaluation des risques et d'atténuation, à surveiller les vérifications et les contrôles globaux de l'entité externalisée en temps réel. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/dec-2015/outsourcing-by-depositories_31219.html

Circulaire (2017) de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation concernant la bourse et les chambres de compensation

Circulaire (2017) de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation concernant la bourse et les chambres de compensation
La circulaire sur les activités d'externalisation concernant la bourse et les chambres de compensation fournit des conseils particuliers sur : la diligence raisonnable, la sous-traitance, les contrats avec les fournisseurs de services, la surveillance du rendement du fournisseur de services, la continuité des affaires, la confidentialité, la résiliation, l'accès aux informations et autres enregistrements et la vérification. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/sep-2017/outsourcing-of-activities-by-stock-exchanges-and-clearing-corporations_35932.html

Lignes directrices de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation par les intermédiaires (2011)

Lignes directrices de la Securities and Exchange Board of India (SEBI) sur les activités d'externalisation par les intermédiaires (2011)
Les lignes directrices sur l'externalisation des activités par les intermédiaires fournissent des directives précises sur les droits de vérification, la confidentialité et la sécurité des données, la surveillance des services externalisés, la sous-traitance et la continuité des affaires. Pour plus de renseignements, consultez la page https://www.sebi.gov.in/legal/circulars/dec-2011/guidelines-on-outsourcing-of-activities-by-intermediaries_21752.html

Japon

Lignes directrices de la Financial Industry Information Systems (FISC)

Lignes directrices de la Financial Industry Information Systems (FISC)
Le Center for Financial Industry Information Systems (FISC), créé par le ministère japonais des finances, se compose d'institutions financières, de compagnies d'assurance et de sociétés de titres, ainsi que de fabricants d'ordinateurs et de sociétés de télécommunications. L'organisme a défini les directives de sécurité du FISC en 1985. Ces lignes directrices fournissent des normes de base en matière d'architecture et d'exploitation des systèmes d'information pour les banques et autres institutions financières connexes. Pour plus de renseignements, consultez la page https://www.fisc.or.jp

National Center of Incident Readiness and Strategy for Cybersecurity (NISC)

National Center of Incident Readiness and Strategy for Cybersecurity (NISC)
Le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) a été créé en 2015. L'organe directeur est chargé de surveiller les organisations gouvernementales qui gèrent de grands volumes d'informations personnelles dans le secteur du nuage et en dehors de celui-ci. Il vise à élaborer un large éventail de directives de sécurité à suivre pour les entités gouvernementales, qui favorisent des mesures efficaces et efficaces de cybersécurité et la conformité juridique. Pour plus de renseignements, consultez la page https://www.nisc.go.jp/eng/

Circulaire 2018/3: My Number Act de la Personal Information Protection Commission (PPC)

Caractéristiques de confidentialité d'Oracle Cloud Infrastructure (PDF)

Circulaire 2018/3: My Number Act de la Personal Information Protection Commission (PPC)
La circulaire My Number Act, émise par la Personal Information Protection Commission (PPC), a été adoptée par le gouvernement japonais en 2016. L'objectif consistait à s'assurer que les organisations gèrent et protègent correctement les données personnelles, y compris les données My Number, conformément à la loi. Pour plus de renseignements, consultez la page https://www.irs.gov/pub/irs-pdf/p1075.pdf

Trois ministères : Secteur des soins de santé

Trois ministères : Secteur des soins de santé
Trois ministères japonais offrent des conseils pour le secteur des soins de santé. Chaque ministère a son propre ensemble de directives et d'exigences pour les fournisseurs infonuagiques. L'objectif consiste à s'assurer que le fournisseur de services infonuagiques est conforme aux directives de sécurité définies par les trois ministères. Pour en savoir plus, consultez les lignes directrices sur la gestion de la sécurité des systèmes d'information et des fournisseurs de services traitant des renseignements médicaux https://www.meti.go.jp/policy/mono_info_service/healthcare/01gl_20230707.pdf

Lignes directrices sur la gestion de la sécurité des systèmes d'information médicale version 5.2 https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html
Ministry of Economy, Trade and Industry (METI) - https://www.meti.go.jp/
Ministry of Internal Affairs and Communications (MIC) - https://www.soumu.go.jp/
Ministry of Health, Labour & Welfare (MHLW) - https://www.mhlw.go.jp/index.html

Financial Services Agency (FSA) Comprehensive Guidelines for Supervision of Major Bank

Financial Services Agency (FSA) Comprehensive Guidelines for Supervision of Major Bank
La Financial Services Agency (FSA) du Japon fournit des directives complètes sur la gestion du risque, la gouvernance d'entreprise, la conformité, les contrôles internes, la production de rapports financiers et de supervision pour la supervision des grandes banques. Pour plus de renseignements, consultez la page https://www.fsa.go.jp/common/law/guide/kantokushishin.pdf

Malaisie

Risk Management in Technology (RMiT)

Oracle Cloud Infrastructure et Bank Negara Malaysia Risk Management in Technology (PDF)

Risk Management in Technology (RMiT)
La Bank Negara Malaysia réglemente les pratiques de gestion des risques en matière de technologie pour le secteur des services financiers en Malaisie. Les lignes directrices RMiT visent à fournir aux banques un cadre pour gérer efficacement les risques liés à la technologie dans des domaines tels que la cybersécurité, les risques opérationnels, la gouvernance des données, la gestion des risques liés au nuage et les technologies émergentes. Pour plus de renseignements, consultez la page https://www.bnm.gov.my/documents/20124/938039/PD-RMiT-June2023.pdf

Singapour

Association of Banks in Singapore (ABS) Cloud Computing Implementation Guide

Liste de vérification des contrats Oracle Cloud Infrastructure pour les directives ABS sur les objectifs et les procédures de contrôle pour les fournisseurs de services sous-traités (PDF)

Association of Banks in Singapore (ABS) Cloud Computing Implementation Guide
L'Association of Banks in Singapore (ABS) est une association sectorielle représentant des établissements bancaires commerciaux et d'investissement à Singapour. Le ABS Cloud Computing Implementation Guide 2.0 (guide de l'ABS) fournit des recommandations et des considérations relatives aux pratiques exemplaires pour l'adoption des technologies en nuage, notamment des directives pour la diligence raisonnable, la gestion des fournisseurs et les contrôles clés. Pour plus de renseignements, consultez la page https://abs.org.sg/industry-guidelines/outsourcing

Monetary Authority of Singapore (MAS): Technology Risk Management (TRM) Guidelines

Monetary Authority of Singapore (MAS) : Technology Risk Management (TRM) Guidelines
La Monetary Authority of Singapore (MAS), créée avec l'adoption de la MAS Act en 1970, est la banque centrale et l'organisme de réglementation financière intégré de Singapour. La MAS a fourni une liste de lignes directrices applicables aux établissements financiers opérant à Singapour en matière de gestion des risques, de cybersécurité et d'externalisation des TI. Pour plus de renseignements, consultez la page https://www.mas.gov.sg/-/media/mas/regulations-and-financial-stability/regulatory-and-supervisory-framework/risk-management/trm-guidelines-18-january-2021.pdf.

Monetary Authority of Singapore (MAS) Cyber Hygiene Requirements Notice 655

Monetary Authority of Singapore (MAS) Cyber Hygiene Requirements Notice 655
La Monetary Authority of Singapore (MAS), créée avec l'adoption de la MAS Act en 1970, est la banque centrale et l'organisme de réglementation financière intégré de Singapour. La MAS a fourni une liste de lignes directrices applicables aux établissements financiers opérant à Singapour en matière de gestion des risques, de cybersécurité et d'externalisation des TI. Pour plus de renseignements, consultez la page https://www.mas.gov.sg/-/media/mas/notices/pdf/mas-notice-655.pdf.

Corée du Sud

Financial Security Initiative (FSI) Cloud Guidelines

Financial Security Initiative (FSI) Cloud Guidelines
La Financial Security Initiative (FSI) a publié ses lignes directrices sur l'utilisation des services infonuagiques dans le secteur financier en 2019. Les lignes directrices prévoient des procédures et des mesures de sécurité que les sociétés financières en Corée doivent mettre en œuvre lorsqu'elles utilisent des services infonuagiques. Pour plus d’informations, consultez le site https://www.fsec.or.kr/en.

Thaïlande

Règlement de la Banque de Thaïlande sur la sous-traitance des TI pour les opérations commerciales des institutions financières (numéro FPG. 19/2559)

Règlement de la Banque de Thaïlande sur la sous-traitance des TI pour les opérations commerciales des institutions financières (numéro FPG. 19/2559)
La Banque de Thaïlande a mis sur pied des règlements concernant la sous-traitance dans les institutions financières qui comprennent des exigences pour l'obtention d'une approbation préalable, la conduite d'évaluation des risques, l'application d'une diligence raisonnable pour les fournisseurs, les contrats de sous-traitance, la surveillance du rendement des fournisseurs, l'établissement de plans de continuité des affaires et la conformité aux lois sur la protection des données. Pour plus de renseignements, consultez la page https://www.bot.or.th/Thai/FIPCS/Documents/FPG/2560/ThaiPDF/25600035.pdf.

Règles, conditions et procédures pour la fonction de sous-traitance liée à l'opération commerciale à une tierce partie (No. Tor Thor. 60/2561)

Règles, conditions et procédures pour la fonction de sous-traitance liée à l'opération commerciale à une tierce partie (No. Tor Thor. 60/2561)
Le Conseil de surveillance du marché des capitaux a publié des règlements concernant la sous traitance des titres et des transactions dérivées à des tiers qui précisent les exigences, les conditions et les procédures de sous-traitance et qui contiennent des dispositions pour la sélection et la surveillance des fournisseurs de services. Pour plus de renseignements, consultez la page https://publish.sec.or.th/nrs/7820s.pdf

Conformité en nuage d'Oracle

Modèle de gestion partagée

Attestations

Global

Attestation

Attestation STAR de la CSA

GSMA SAS-SM

ISO 9001

ISO/IEC 20000-1

ISO/IEC 27001

ISO/IEC 27017

ISO/IEC 27018

ISO/IEC 27701

Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

SOC 1

SOC 2

SOC 3

Amériques

Attestation

DoD DISA SRG

FedRAMP

FIPS 140

HITRUST CSF

HIPAA

StateRAMP : TX-RAMP

Europe, Moyen-Orient et Afrique

Attestation

ACN

C5

CST CCRF

Cyber Essentials

DESC CSPSS

ENS

Code de conduite cloud de l'UE

HDS

TISAX

UAE IAR Information Security Requirements

Asie-Pacifique

Attestation

Cadre de certification d'hébergement

IRAP

ISMAP

ISMS (anciennement K-ISMS)

Directives de sécurité informatique du MeitY

MTCS

OSPAR

Avis et informations générales