金融管理局 (AMF) 與審慎管理局 (ACPR) 法國
關於 AMF 和 ACPR
金融管理局 (Autorité des Marchés Financiers,AMF) 以及審慎管理局 (Autorité de Contrôle Prudentiel et de Résolution,ACPR) 為法國主要金融監管機關。 作為股票市場監管機關,AMF 負責監督金融市場和投資公司。 ACPR 是中央銀行 (Banque de France ) 底下的獨立行政管理機關,負責監督銀行業和保險業。
AMF 和 ACPR 會與歐洲銀行管理局 (EBA) 合作,EBA 是獨立的歐盟授權單位,其可確保在整個歐洲銀行部門進行有效且一致的審慎規範和監督。 為此,EBA 概述了歐盟金融機構使用雲端計算的全方位措施,外包給雲端服務提供者的建議。
在將營運功能移到雲端時,法國的金融機構應注意以下要求和規範:
- AMF 一般法規 (法文 和 英文) 設定規則和程序,以強制執行金融法規。 特別是第 313-75 條規定了金融機構與雲端服務提供者簽訂的合約中必須反映的條件。
- ACPR 發佈與雲端計算相關的風險 (法文和英文) 鼓勵受 ACPR 監督的組織在將商務功能外包給雲端時採取適當的措施來管理風險。 此外,2014 年 11 月3 日 ACPR 指令中有關受 ACPR 監督的公司內部控制的第 239 條 (法文) 還規定了與雲端服務提供者簽訂的合約中應包含的強制性條款。
- 在某些情況下,受監管的機構必須就材料外包安排通知 AMF 和 ACPR,尤其是在它們有可能嚴重影響其業務作業的情況下。
- 身為法國資料保護機關,CNIL (Commission Nationale de l’Informatique et des Libertés) 已提出了許多雲端計算指導方針,包括提供建議給規劃使用雲端計算服務的公司 (法文 和 英文)。
Microsoft 與 AMF 和 ACPR
為了協助指導法國的金融機構考慮將商務功能外包至雲端,Microsoft 發佈了雲端之路導覽:法國金融機構檢查清單。 藉由檢閱並完成檢查清單,金融組織可以採用Microsoft商務雲端服務,並確信它們符合適用的法規需求。
法國的金融機構將商務活動外包至雲端時,必須在歐洲銀行業管理局 (EBA) 的廣泛原則架構內遵守法國金融管理局 (AMF) 和審慎管理局 (ACPR) 的要求。 尤其是,他們必須了解 AMF 一般法規第313-75 條,以及雲計算風險的 ACPR 指導方針,以及與雲端服務提供者簽訂合約的強制性要求。
Microsoft 檢查清單可協助法國金融公司執行 Microsoft 商務雲端服務的盡責調查,包括:
- 內容的法規環境概觀。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內雲端平台與服務
實作方式
- 合規性檢查清單:法國:金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
- 金融使用案例:使用案例概觀、教學課程及其他資源建立適用於金融服務的 Azure 解決方案。
常見問題集
需要法規批准嗎?
EBA 出版物 [關於外包至雲端服務提供者的建議] (https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d0d05494362) ,概述歐盟金融機構進行材料外包的完整方法。 並且,在某些情況下,金融公司必須就其外包安排通知 AMF 和 ACPR,如檢查清單第 8 頁和第 9 頁所述。 雖然這些情況不太可能適用於使用Microsoft雲端服務,但金融服務應檢閱檢查清單來確認其適用性。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是。 2014 年 11 月 3 日 ACPR 指令的第 239 條和 AMF 一般法規第 313-75 條規定了金融機構與雲端服務提供者簽訂的合約中必須反映的條件。 第 62 頁 (Microsoft 檢查清單 的第 2 部分) 會將這些項目對應至Microsoft合約檔中尋址的章節。