FinancialFederal — CanadaEn vigueur May 1, 2024 (revised)

OSFI B-10

OSFI Guideline B-10 — Third-Party Risk Management

Le cadre de risque technologique des institutions financières fédérales du Canada

Effectuer une évaluation OSFI B-10 ← Tous les cadres

Aperçu

La Ligne directrice B-10 du BSIF établit les attentes pour les institutions financières réglementées au niveau fédéral (IFRF) en matière de gestion des risques liés aux arrangements avec des tiers — y compris les fournisseurs de technologie, les fournisseurs de services infonuagiques et les services externalisés. La révision de 2024 a considérablement élargi la portée pour couvrir tous les arrangements avec des tiers comportant un risque important.

Autorité

Office of the Superintendent of Financial Institutions (OSFI)

Territoire

Federal — Canada

Date d'entrée en vigueur

May 1, 2024 (revised)

Applicabilité

Qui doit se conformer à OSFI B-10?

Les institutions financières réglementées au niveau fédéral — banques, compagnies d'assurance, sociétés de fiducie, coopératives de crédit réglementées au niveau fédéral et autres entités réglementées par le BSIF. Les sociétés d'investissement hypothécaire et les IFRF plus petites ont des exigences proportionnelles.

Portée de la conformité

Votre organisation collecte des renseignements personnels

Vous exercez vos activités dans le territoire applicable

Des activités commerciales sont impliquées

Vous utilisez ou communiquez des données personnelles

Vous n'êtes pas certain que OSFI B-10 s'applique? Effectuez une évaluation gratuite →

Obligations

Principales obligations en vertu de OSFI B-10

Cadre de gestion du risque lié aux tiers

Maintenez un cadre documenté de GRLT régissant le cycle de vie complet des arrangements avec des tiers — de la sélection à la sortie.

Risque de concentration

Identifiez et gérez le risque de concentration lorsque plusieurs fonctions critiques dépendent d'un seul tiers ou d'une région géographique.

Surveillance des sous-traitants

Connaissez les fournisseurs de vos fournisseurs — les IFRF doivent évaluer les sous-traitants importants utilisés par leurs tiers.

Risque lié aux données et à la technologie

Évaluez la sécurité des données, la résidence et les contrôles d'accès pour tous les arrangements avec des tiers impliquant des données clients ou institutionnelles.

Plans de sortie

Maintenez des plans de sortie viables pour les arrangements critiques avec des tiers — vous devez pouvoir effectuer une transition ou vous rétablir si un fournisseur défaille.

Responsabilisation du conseil

La haute direction et le conseil doivent approuver le cadre de GRLT et recevoir des rapports réguliers sur les risques — ce n'est pas seulement une fonction TI.

Application

Pénalités et application de la loi

Pénalité maximale

Administrative monetary penalties; supervisory directives

Appliqué par : Office of the Superintendent of Financial Institutions

Cas notable

OSFI issued a supervisory letter to several major banks following cloud concentration risk assessments (2023)

Comment Canuckt vous protège des pénalités :

Outil d'inventaire des fournisseurs tiers qui associe les niveaux de criticité B-10 du BSIF à tous vos fournisseurs SaaS et technologiques

Modèles de questionnaires GRLT alignés sur les attentes B-10 du BSIF pour les fournisseurs critiques, importants et standard

Cartographie de la chaîne des sous-traitants pour identifier et documenter les sous-traitants importants de vos fournisseurs

Modèles de rapports au conseil du BSIF montrant votre posture GRLT et votre exposition au risque de concentration

Connexes

Cadres qui se recoupent souvent avec OSFI B-10

Financial

FINTRAC

Canada's AML/CFT compliance framework

Privacy

PIPEDA

Canada's federal private-sector privacy law

Standards

ISO 27001

The international gold standard for information security

Effectuez une analyse des écarts OSFI B-10 gratuitement

Répondez à 47 questions, obtenez un rapport d'écarts noté, et voyez exactement ce que vous devez faire pour vous conformer à OSFI B-10 — en moins de 3 heures. Gratuit pour toujours.

Commencer l'évaluation gratuite

Sans carte de crédit

Résultats en quelques heures

Données hébergées au Canada