关于 AMF 和 ACPR
金融机构 (Autorité des Marchés Financiers, AMF) 和审慎监管管理局 (Autorité de Contrôle Prudentiel et de Résolution, ACPR) 是法国的主要金融监管机构。 AMF 作为证券市场监管机构,负责监管金融市场和投资公司。 ACPR 是法国央行 (Banque de France) 下属的一个独立行政机构,负责监管银行业和保险业部门。
AMF和ACPR与欧洲银行管理局合作, (EBA) ,这是一个独立的欧盟机构,致力于确保整个欧洲银行业有效和一致的审慎监管。 为此,EBA概述了欧盟金融机构使用云计算的综合方法, 即关于外包给云服务提供商的建议。
在将业务职能移到云端时,法国的金融机构应注意几项要求和指导方针:
- 《AMF 总则》(法语和英语)规定了执行金融立法的规则和程序。 具体而言,第313-75条定义了金融机构与云服务提供商签订的合同中必须反映的条件。
- ACPR 发布了《与云计算相关的风险》(法语和英语),鼓励在 ACPR 监管下的组织在将业务职能外包给云时,采取适当的措施来管理风险。 此外,2014 年 11 月 3 日《ACPR 法令》中关于 ACPR 监管下企业内部控制措施的第 239 条(法文),也明确规定了与云服务提供商所签合同中必须包含的强制性条款。
- 在某些情况下,受监管机构必须通知 AMF 和 ACPR 关于重大外包任务的情况,尤其是可能会对业务运营产生重大影响的外包。
- 作为法国数据保护机构, CNIL (国家信息委员会) 发布了许多云计算指南,包括针对计划使用云计算服务 (法语 和 英语) 的公司的建议。
Microsoft 与 AMF 和 ACPR
为了帮助指导法国的金融机构考虑将业务职能外包到云,Microsoft发布了《 引导你走向云:法国金融机构的清单》。 通过查看和完成清单,金融机构可以采用Microsoft商业云服务,并确信它们符合适用的法规要求。
当法国金融机构将业务活动外包给云时,必须遵守法国金融管理局 (AMF) 和审慎监管管理局 (ACPR) 在欧洲银行管理局 (EBA) 广泛政策框架内的要求。 特别是,他们必须了解《AMF 总则》第 313-75 款,以及 ACPR 关于云计算风险的准则和针对与云服务提供商所签合同的强制要求。
Microsoft 清单可对正在就 Microsoft 商业云服务进行尽职调查评估的法国金融公司提供帮助,包括:
- 对应用情景法规环境的概述。
- 一份清单,其中列出了要解决的问题,并将 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服务与这些法规义务进行对应。 该清单可以用作度量是否符合法规框架的工具,并提供用于记录合规性的内部结构,帮助客户自行对 Microsoft 业务云服务进行风险评估。
Microsoft 范围内的云平台和云服务
如何实现
- 合规性清单 - 法国:金融企业可在对 Microsoft 商业云服务进行风险评估方面获得帮助。
- 金融用例:借助用例概述、教程和其他资源,构建适合金融服务的 Azure 解决方案。
常见问题解答
是否需获得监管批准?
EBA 的出版物 Recommendations on outsourcing to cloud services providers(《关于外包给云服务提供商的建议》)概述了欧盟金融机构进行重大外包的综合方法。 此外,在某些情况下,金融公司必须向 AMF 或 ACPR 通报其外包任务,如清单中第 8 页和第 9 页所述。 虽然这些情况不太可能适用于Microsoft云服务的使用,但金融服务应通过查看清单来验证其适用性。
在与云服务提供商签订的合同中是否必须包含所有强制性条款?
是。 2014年11月3日《ACPR命令》第239条和《AMF总则》第313-75条定义了金融机构与云服务提供商签订的合同中必须反映的条件。 第 62 页 (Microsoft 清单 的第 2 部分) 这些清单与Microsoft合同文档中的各节进行了映射。
资源
- Microsoft Cloud Financial Services
- 服务 信任门户中的金融服务
- Shared responsibilities for cloud computing(关于云计算的共同责任)
- Microsoft 信任中心内的合规性