Autoridad financiera (AMF) y Autoridad de supervisión prudencial y de resolución (ACPR) de Francia

Acerca de AMF y ACPR

La Autoridad financiera (Autorité des Marchés Financiers, AMF) y la Autoridad de supervisión prudencial y de resolución (Autorité de Contrôle Prudentiel et de Résolution, ACPR) son los principales entes de regulación financiera de Francia. En su capacidad como ente regulador del mercado de valores, la AMF es responsable de la supervisión de los mercados financieros y de las empresas de inversión. La ACPR, una autoridad administrativa independiente a cargo del banco central, el Banco de Francia, supervisa los sectores de banca y seguros.

La AMF y acpr actúan en conjunto con la Autoridad Bancaria Europea (ABE), «una autoridad independiente de la UE, que trabaja para garantizar una regulación y supervisión prudencial eficaz y coherente en todo el sector bancario europeo». Para este fin, la EBA ha descrito un enfoque global para el uso de la computación en la nube por parte de instituciones financieras en la UE: Recomendaciones para externalizar a proveedores de servicios en la nube.

Existen varios requisitos y directrices que las instituciones financieras en Francia deben tener en cuenta al trasladar funciones operacionales a la nube:

  • El Reglamento General de la AMF (francés e inglés) establece las reglas y los procedimientos para exigir la legislación financiera. En particular, el artículo 313-75 define las condiciones que deben reflejarse en los contratos que las instituciones financieras firmen con los proveedores de servicios en la nube.
  • La ACPR publicó los riesgos asociados a la informática en la nube (francés e inglés), lo que anima a las organizaciones bajo la supervisión de la ACPR a tomar las medidas necesarias para administrar los riesgos al subcontratar funciones empresariales en la nube. Además, el Artículo 239 de la orden de la ACPR del 3 de noviembre del 2014 sobre el control interno de las empresas (francés), bajo la supervisión de la ACPR también especifica los términos obligatorios que se incluirán en los contratos con los proveedores de servicios en la nube.
  • En algunos casos, las instituciones reguladas deberán notificar a la AMF y la ACPR sobre los acuerdos de subcontratación de materiales, especialmente si tienen el potencial para influir significativamente en sus operaciones comerciales.
  • En su rol como autoridad de protección de datos de Francia, la CNIL (Commission Nationale de l’Informatique et des Libertés) ha publicado numerosas directrices de informática en la nube, incluyendo las recomendaciones para las empresas que planean usar servicios de informática en la nube (francés e inglés).

Microsoft y la AMF y la ACPR

Para guiar a las instituciones financieras en Francia que consideren la subcontratación de funciones empresariales a la nube, Microsoft ha publicado Ábrete camino hacia la nube: Una lista de comprobación para las instituciones financieras en Francia. Al revisar y completar la lista de comprobación, las organizaciones financieras pueden adoptar servicios en la nube empresarial de Microsoft con la confianza de que cumplen los requisitos normativos aplicables.

Cuando las instituciones financieras de Francia subcontratan actividades empresariales en la nube, las mismas deben cumplir los requisitos de la Autoridad financiera (AMF) y la Autoridad de supervisión prudencial y de resolución (ACPR) de Francia dentro del amplio marco de las políticas de la Autoridad bancaria europea (ABE). En particular, deben tener en cuenta el artículo 313-75 del Reglamento General de la AMF y las directrices de la ACPR sobre los riesgos de la informática en la nube y sus requisitos obligatorios para los contratos con los proveedores de los servicios en la nube.

La lista de comprobación de Microsoft ayuda a las empresas financieras francesas que realizan evaluaciones de diligencia debida de los servicios empresariales en la nube de Microsoft e incluye:

  • Información general sobre el panorama normativo para dar contexto.
  • Una lista de comprobación que describe las cuestiones que deben tratarse y asigna los servicios de Microsoft Azure, Microsoft Dynamics 365 y Microsoft 365 frente a dichas obligaciones reglamentarias. La lista de comprobación puede usarse como una herramienta para medir el cumplimiento con un marco normativo y proporcionar una estructura interna para documentar el cumplimiento, así como para ayudar a los clientes a llevar a cabo sus propias evaluaciones de riesgo de los servicios empresariales en la nube de Microsoft.

Servicios y plataformas en la nube dentro de Microsoft

Cómo se debe implementar

Preguntas más frecuentes

¿Se necesita la aprobación de normativas?

La publicación de EBA, [Recomendaciones sobre la subcontratación a proveedores de servicios en la nube](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), describe un enfoque completo de la subcontratación de material por parte de las instituciones financieras de la UE. Y también, en ciertos casos, las empresas financieras deben notificar a la AMF o la ACPR sobre sus medidas de subcontratación, como se describe en las páginas 8 y 9 de la lista de comprobación. Aunque es poco probable que estas circunstancias se apliquen al uso de servicios en la nube de Microsoft, los servicios financieros deben comprobar su aplicabilidad revisando la lista de comprobación.

¿Hay términos obligatorios que se deban incluir en el contrato con el proveedor de servicios en la nube?

Sí. El artículo 239 de la orden de la ACPR del 3 de noviembre del 2014 y el artículo 313-75 del Reglamento General de la AMF definen las condiciones que deben reflejarse en los contratos que las instituciones financieras firmen con los proveedores de servicios en la nube. La parte 2 de la lista de comprobación de Microsoft (página 62) las asigna a las secciones de los documentos contractuales de Microsoft donde se abordan.

Recursos