Комиссия по финансовому надзору (KNF), республика Польша
О комиссии по финансовому надзору, KNF
Польская комиссия по финансовому надзору (Komisja Nadzoru Finansowego, KNF) является органом финансового регулирования в Польше, отвечающим за надзор за финансовым рынком, который включает надзор за банковской деятельностью, рынками капитала, страхованием, программами пенсионного обеспечения и институтами электронных денег.
KNF действует в соответствии с Европейским банковским органом (EBA), "независимым органом ЕС, который работает над обеспечением эффективного и последовательного пруденциального регулирования и надзора в европейском банковском секторе". Для этого EBA сформулировала комплексный подход к использованию облачных вычислений финансовыми учреждениями в ЕС: Рекомендации по аутсорсингу с использованием поставщиков облачных служб.
Существует несколько требований и рекомендаций, которые финансовые учреждения в республике Польша должны учитывать при переносе бизнес-функций и данных в облако:
- Закон о банковской деятельности 1997 года не регулирует облачные службы напрямую, а устанавливает юридические требования к аутсорсингу банковских операций, включая способ обработки персональных данных. На облачные службы могут распространяться положения Закона о банковской деятельности, если переданные на аутсорсинг услуги имеют ключевое значение для банка или если аутсорсинг предполагает предоставление поставщику услуг доступа к конфиденциальным данным, на которые распространяются требования банковской тайны.
- Объявление, изданное KNF в 2017 году, содержит подробный контрольный список и план действий для регулируемых учреждений, которые намерены перенести бизнес-функции в облако.
- Рекомендации D: Управление информационными технологиями и безопасностью среды ICT в банках определяет ожидания KNF в отношении прудентного управления ИТ-безопасностью банками, особенно в сфере управления рисками. KNF дает 22 рекомендации для лучших методик обеспечения безопасности и издала сопоставимые руководства для страховых компаний, инвестиционных компаний и пенсионных компаний.
Кроме того, использование облачных служб финансовыми учреждениями должно соответствовать польскому Закону о защите персональных данных от 1997 года, который имеет основополагающее значение для обработки персональных данных. В соответствии с GDPR он был изменен в конце 2018 года Законом об упрощении бизнес-деятельности и вступил в силу 1 января 2019 года.
Корпорация Майкрософт и KNF
Чтобы предоставить инструкции финансовым учреждениям республики Польша в отношении аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала документ Переход на облачные технологии. Контрольный список по соответствию требованиям для финансовых учреждений в республике Польша. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.
Когда финансовые учреждения в республике Польша переносят деловые операции в облако, они должны учитывать требования Закона о банковской деятельности от 1997 года и Объявление KNF от 2017 года об использовании служб обработки данных в облаке, которые подпадают под положения общей политики инфраструктуры в рамках Европейской службы банковского надзора. Кроме того, финансовые организации, использующие облачные службы, должны соблюдать поправку, согласованную с GDPR, от 2018 года к Закону о защите персональных данных от 1997 года, которая в настоящее время обновлена в соответствии с положениями GDPR.
Контрольный список корпорации Майкрософт помогает польским финансовым организациям проводить комплексную оценку облачных бизнес-служб Майкрософт и включает следующее:
- Обзор нормативно-правовой среды для соответствующего контекста.
- Контрольный список, в котором определены проблемы, требующие решения, и сопоставлены службы Microsoft Azure, Microsoft Dynamics 365 и Microsoft 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.
Затрагиваемые облачные платформы и службы Майкрософт
Методика реализации
- Контрольный список соответствия требованиям: республика Польша. Финансовые организации могут получить помощь при проведении оценки рисков в облачных службах Майкрософт для бизнеса.
- Финансовые варианты использования. Обзоры вариантов использования, учебные руководства и другие ресурсы для создания решений Azure для сферы финансовых услуг.
- Конфиденциальность в Microsoft Cloud. Получение сведений о принципах и стандартах конфиденциальности Майкрософт и о законах защиты конфиденциальности в республике Польша.
Вопросы и ответы
Требуется ли утверждение контролирующих органов?
Нет. Однако в соответствии с Законом о банковской деятельности от 1997 года, если поставщик услуг базируется за пределами Европейской экономической зоны (ЕЭЗ) или если операции по аутсорсингу должны осуществляться за пределами ЕЭЗ, то банки должны получить одобрение KNF до заключения контрактов.
Существуют ли какие-либо обязательные условия, которые должны быть включены в контракт с поставщиком облачных услуг?
Да. Часть 2 контрольного списка Microsoft (стр. 77) содержит полный список требований, которые должны быть включены в контракты с поставщиками облачных услуг.