Compartilhar via


Autoridade Financeira (AMF) e Autoridade Prudencial (ACPR) da França

Sobre a AMF e a ACPR

A Autoridade Financeira (Autorité des Marchés Financiers, AMF) e a Autoridade Prudencial (Autorité de Contrôle Prudentiel et de Résolution, ACPR) são os principais reguladores financeiros da França. Na condição de regulador do mercado de ações, a AMF é responsável pela supervisão dos mercados financeiros e sociedades de investimento. A ACPR, uma autoridade administrativa independente do banco central, o Banque de France, supervisiona os setores bancário e de seguros.

A AMF e a ACPR atuam em conjunto com a Autoridade Bancária Europeia (EBA), "uma autoridade independente da UE, que trabalha para garantir uma regulação e supervisão prudenciais eficazes e consistentes em todo o sector bancário europeu". Para isso, a EBA definiu uma abordagem abrangente ao uso da computação em nuvem por instituições financeiras na UE, Recomendações para a terceirização de provedores de serviços de nuvem.

Há vários requisitos e diretrizes que as instituições financeiras da França devem estar cientes ao migrar funções operacionais para a nuvem:

  • A Regulamentação Geral da AMF (francês e inglês) define regras e procedimentos para reforçar a legislação financeira. Em particular, o artigo 313-75 estabelece condições que devem ser refletidas nos contratos firmados pelas instituições financeiras com os provedores de serviços de nuvem.
  • A ACPR publicou Os riscos associados à computação em nuvem (francês e inglês), que incentivam as organizações sob supervisão da ACPR a tomarem medidas adequadas para gerenciar riscos quando terceirizam funções de negócios para a nuvem. Além disso, o Artigo 239 do decreto da ACPR de 3 de novembro de 2014 sobre o controle interno de empresas (francês) sob supervisão da ACPR, também especifica os termos obrigatórios a serem incluídos nos contratos com os provedores de serviços de nuvem.
  • Em determinados casos, as instituições regulamentadas devem notificar a AMF e a ACPR sobre os acordos de terceirização de materiais, especialmente se tiverem o potencial de impactar significativamente suas operações de negócios.
  • Em sua função de Autoridade de Proteção de Dados na França, a CNIL (Commission Nationale de l'Informatique et des Libertés) emitiu muitas diretrizes de computação em nuvem, incluindo recomendações para empresas que planejam usar serviços de computação em nuvem (Francês e Inglês).

Microsoft, AMF e ACPR

Para ajudar a orientar as instituições financeiras da França, considerando a terceirização de funções de negócios para a nuvem, a Microsoft publicou Aprendendo a navegar até a nuvem: uma lista de verificação para instituições financeiras da França. Ao rever e concluir a lista de verificação, as organizações financeiras podem adotar serviços cloud empresariais da Microsoft com a confiança de que estão a cumprir os requisitos regulamentares aplicáveis.

Quando as instituições financeiras da França terceirizam atividades de negócios para a nuvem, elas devem estar em conformidade com os requisitos da Autoridade Financeira (AMF) e da Autoridade Prudencial (ACPR) da França, dentro da ampla estrutura de políticas da Autoridade Bancária Europeia (EBA). Em particular, eles devem estar cientes do artigo 313-75 da Regulamentação Geral da AMF e das diretrizes da ACPR sobre riscos de computação em nuvem e seus requisitos obrigatórios para contratos com provedores de serviços de nuvem.

A lista de verificação da Microsoft ajuda as instituições financeiras da França a realizar avaliações de auditoria detalhadas dos serviços de nuvem de negócios da Microsoft e inclui:

  • Uma visão geral do panorama normativo para o contexto.
  • Uma lista de verificação que define as questões a serem abordadas e os mapas dos serviços do Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 dessas obrigações normativas. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.

Plataformas e serviços em nuvem no escopo da Microsoft

Como implementar

Perguntas frequentes

A aprovação regulatória é necessária?

A publicação EBA, [Recomendações sobre o outsourcing para fornecedores de serviços cloud](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), descreve uma abordagem abrangente do outsourcing material por parte das instituições financeiras na UE. Além disso, em determinados casos, as instituições financeiras devem notificar a AMF ou ACPR de seus acordos de terceirização, conforme descrito nas páginas 8 e 9 da lista de verificação. Embora seja improvável que estas circunstâncias se apliquem à utilização de serviços cloud da Microsoft, os serviços financeiros devem verificar a sua aplicabilidade ao rever a lista de verificação.

Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?

Sim. O Artigo 239 da Ordem da ACPR de 3 de novembro de 2014 e o Artigo 313-75 da Regulamentação Geral da AMF estabelecem condições que devem ser refletidas nos contratos firmados pelas instituições financeiras com os provedores de serviços em nuvem. A parte 2 da lista de verificação da Microsoft (página 62) mapeia estas secções em documentos contratuais da Microsoft nos quais são endereçados.

Recursos