Autorité de surveillance financière (KNF) Pologne
À propos de la KNF
L’Autorité polonaise de surveillance financière (Komisja nadzoru finansowego, KNF) est l'autorité de réglementation financière en Pologne, responsable de la supervision du marché financier, qui inclut la surveillance des banques, marchés financiers, assurances, régimes de pension et institutions monétaires électroniques.
Le KNF agit de concert avec l’Autorité bancaire européenne (ABE), « une autorité indépendante de l’UE, qui s’efforce de garantir une réglementation et une surveillance prudentielles efficaces et cohérentes dans le secteur bancaire européen ». À cette fin, l'ABE a défini une approche globale de l'utilisation du cloud computing par les institutions financières de l'UE, Recommandations sur l'externalisation auprès de fournisseurs de services Cloud.
Les institutions financières de la Pologne doivent être conscients de plusieurs exigences et recommandations concernant le transfèrent des fonctions et des données commerciales dans le cloud :
- La loi bancaire de 1997 ne régit pas directement les services cloud, mais définit plutôt des exigences légales pour l’externalisation des opérations bancaires, y compris la façon dont les informations personnelles peuvent être traitées. Les services Cloud peuvent être soumis à des dispositions en matière de service bancaire si les services externalisés ont une importance essentielle pour la Banque, ou si l’externalisation implique de donner au fournisseur de services l’accès à des données sensibles sujettes à des exigences de confidentialité.
- L'annonce, publiée par le bureau de la KNF en 2017, fournit une liste de contrôle détaillée et un plan d'action pour les institutions réglementées qui envisagent de déplacer les fonctions professionnelles vers le cloud.
- Recommandations D: la gestion des technologies de l’information et de la sécurité de l’environnement TIC dans les banques définit les attentes KNF en matière de gestion prudente de la sécurité informatique par les banques, notamment en ce qui concerne la gestion des risques. La KNF formule 22 recommandations sur les meilleures pratiques en matière de sécurité et a émis des directives comparables pour compagnies d'assurance, entreprises d'investissement et sociétés générales de retraite.
En outre, l'utilisation des services Cloud par les institutions financières doit être conforme à la loi polonaise de 1997 sur la protection des données personnelles, qui est fondamentale pour le traitement des données personnelles. Pour s’aligner sur le RGPD, il a été modifié fin 2018 par la loi sur la facilitation de la performance de l’activité commerciale et est entré en vigueur le 1er janvier 2019.
Microsoft et le KNF
Pour guider les institutions financières en Pologne qui envisagent d'externaliser des fonctions professionnelles dans le Cloud, Microsoft a publié un guide intitulé Naviguer vers le Cloud : liste de contrôle de la conformité pour les institutions financières en Pologne. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.
Lorsque les institutions financières polonaises externalisent des activités commerciales dans le Cloud, elles doivent se conformer aux exigences de la loi bancaire de 1997 et de l'annonce de la KNF de 2017 concernant l'utilisation des services de traitement de données dans le Cloud, qui s'inscrivent dans le cadre stratégique de l'Autorité bancaire européenne (ABC). De plus, les entreprises financières qui utilisent des services Cloud doivent se conformer à l'amendement de 2018 de la Loi sur la protection des données personnelles de 1997, désormais mise à jour pour s'aligner sur le RGPD.
La liste de contrôle Microsoft permet aux entreprises financières polonaises d’effectuer des évaluations de la diligence raisonnable des services cloud entreprises Microsoft et inclut :
- Vue d’ensemble du paysage de la réglementation pour le contexte.
- Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
Modalités de mise en œuvre
- Liste de contrôle de conformité : Pologne: les entreprises financières peuvent obtenir de l'aide pour évaluer les risques liés aux services cloud entreprise Microsoft.
- Cas d'utilisation financière : utilisez des aperçus de cas, des didacticiels et d'autres ressources pour créer des solutions Azure pour les services financiers.
- Confidentialité dans Cloud Microsoft : Obtenez des informations sur les principes et normes de confidentialité de Microsoft et sur les lois sur la confidentialité spécifiques en Pologne.
Questions fréquentes (FAQ)
L’approbation réglementaire est-elle nécessaire ?
Non. Toutefois, en vertu de la loi bancaire de 1997, si le fournisseur de services est basé en dehors de l'espace économique européen (EEE) ou si des opérations externalisées doivent être exécutées en dehors de l'EEE, les banques doivent obtenir au préalable une approbation KNF pour conclure des contrats.
Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services Cloud ?
Oui. La partie 2 de la liste de contrôle Microsoft (page 77) contient une liste complète des exigences à inclure dans les contrats avec les fournisseurs de services Cloud.