Autoridad de supervisión financiera (KNF) de Polonia

Acerca de la KNF

La Autoridad de supervisión financiera polaca (Komisja Nadzoru Finansowego, KNF) es la autoridad de reglamentación financiera de Polonia. Es responsable de la supervisión del mercado financiero, que engloba las instituciones bancarias y las de mercados de capitales, seguros, planes de pensiones y dinero electrónico.

La KNF actúa de forma conjunta con la Autoridad Bancaria Europea (ABE), «una autoridad independiente de la UE, que trabaja para garantizar una regulación y supervisión prudencial eficaz y coherente en todo el sector bancario europeo». Para este fin, la EBA ha descrito un enfoque global para el uso de la computación en la nube por parte de instituciones financieras en la UE: Recomendaciones para externalizar a proveedores de servicios en la nube.

Existen varios requisitos y directrices que las instituciones financieras de Polonia deben tener en cuenta al trasladar los datos y las funciones empresariales a la nube:

• La Ley bancaria de 1997 no regula directamente los servicios en la nube, sino que establece los requisitos legales para subcontratar operaciones bancarias, incluida la forma en que se puede procesar la información personal. Los servicios en la nube pueden estar sujetos a las disposiciones de la Ley bancaria si los servicios subcontratados cumplen un papel fundamental para la entidad bancaria o si la subcontratación implica que el proveedor de servicios obtenga acceso a datos confidenciales que estén sujetos a los requisitos de secreto bancario.
• El anuncio, emitido por la oficina de la KNF en el año 2017, proporciona una lista de comprobación y un plan de acción detallados dirigidos a las instituciones reguladas que tienen planeado trasladar las funciones empresariales a la nube.
• Recomendación D: Administración de las tecnologías de la información y la seguridad del entorno TIC en las entidades bancarias. Define las expectativas de la KNF de una administración cautelosa de la seguridad de TI por parte de las entidades bancarias, en particular en lo que respecta a la gestión de riesgos. La KNF hace 22 recomendaciones en materia de seguridad y ha publicado directrices equiparables para empresas de seguros, sociedades de inversión y empresas generales de pensiones.

Además, el uso de los servicios en la nube por parte de las instituciones financieras debe cumplir con la Ley de protección de datos personales de 1997 de Polonia, de carácter fundamental para el tratamiento de los datos personales. Para ajustarse al RGPD, fue modificado a finales de 2018 por la Ley de Facilitación del Rendimiento de la Actividad Empresarial (polaco) y entró en vigor el 1 de enero de 2019.

Microsoft y la KNF

Para guiar a las instituciones financieras de Polonia que consideren la externalización de funciones empresariales a la nube, Microsoft ha publicado Ábrete camino hacia la nube: Una lista de comprobación de cumplimiento para las instituciones financieras en Polonia. Al revisar y completar la lista de comprobación, las organizaciones financieras pueden adoptar servicios en la nube empresarial de Microsoft con la confianza de que cumplen los requisitos normativos aplicables.

Al externalizar actividades empresariales a la nube, las instituciones financieras de Polonia deben cumplir los requisitos de la Ley bancaria de 1997 y el anuncio de la KNF de 2017 con respecto al uso de servicios de procesamiento de datos en la nube, que están en el ámbito del marco normativo general de la Autoridad Bancaria Europea. Además, las sociedades financieras que usan servicios en la nube deben cumplir con la enmienda del 2018 adaptada al RGPD a la Ley de protección de datos personales de 1997, que se ha modificado para adaptar la ley al RGPD.

La lista de comprobación de Microsoft ayuda a las empresas financieras polacas a realizar evaluaciones de diligencia debida de los servicios empresariales en la nube de Microsoft e incluye:

• Información general sobre el panorama normativo para dar contexto.
• Una lista de comprobación que describe las cuestiones que deben tratarse y asigna los servicios de Microsoft Azure, Microsoft Dynamics 365 y Microsoft 365 frente a dichas obligaciones reglamentarias. La lista de comprobación puede usarse como una herramienta para medir el cumplimiento con un marco normativo y proporcionar una estructura interna para documentar el cumplimiento, así como para ayudar a los clientes a llevar a cabo sus propias evaluaciones de riesgo de los servicios empresariales en la nube de Microsoft.

Servicios y plataformas en la nube dentro de Microsoft

• Azure
• Dynamics 365
• Microsoft 365

Cómo se debe implementar

• Lista de comprobación de cumplimiento: Polonia: Las instituciones financieras pueden obtener ayuda para llevar a cabo evaluaciones de riesgos de los servicios en la nube de Microsoft.
• Casos de uso financiero: Información general de casos de uso, tutoriales y otros recursos para crear soluciones de Azure para servicios financieros.
• Privacidad en la nube de Microsoft: Obtenga más información sobre los principios y estándares de privacidad de Microsoft y sobre las leyes de privacidad específicas para Polonia.

Preguntas más frecuentes

¿Se necesita la aprobación de normativas?

No. No obstante, de conformidad con la Ley bancaria de 1997, si el prestador de servicios no tiene sede en el Espacio Económico Europeo (EEE) o si se van a llevar a cabo operaciones subcontratadas fuera del EEE, las entidades bancarias deberán obtener la autorización de la KNF antes de formalizar contrato alguno.

¿Hay términos obligatorios que se deban incluir en el contrato con el proveedor de servicios en la nube?

Sí. La segunda parte de la Lista de comprobación de Microsoft (página 77) contiene una lista completa de los requisitos que deben incluirse en los contratos que se formalicen con proveedores de servicios en la nube.

Recursos

• Programa de cumplimiento de servicios financieros de Microsoft
• Servicios financieros y servicios empresariales en la nube de Microsoft
• Cumplimiento de los servicios financieros en Azure
• Cumplimiento normativo en el Centro de confianza de Microsoft