金融監督管理局 (KNF) 波蘭

關於 KNF

波蘭金融監督管理局 (Komisja Nadzoru Finansowego, KNF) 是波蘭的金融監督管理機關，負責監督金融市場，其中包含監督銀行、資本市場、保險、退休金規劃以及電子貨幣機構。

KNF 會與 歐洲銀行管理局 (EBA) 合作，EBA 是獨立的歐盟授權單位，可確保在整個歐洲銀行部門進行有效且一致的審慎規範和監督。 為此，EBA 概述了歐盟金融機構使用雲端計算的全方位措施，外包給雲端服務提供者的建議。

在將商務功能和資料移到雲端時，波蘭的金融機構應注意以下要求和規範：

• 1997 年銀行法不會直接規範雲端服務，而是會設定外包銀行作業的法律需求，包括如何處理個人資訊。 如果外包服務對銀行至關重要，或者外包涉及服務提供者可存取受銀行保密要求約束的敏感性資料，則雲端服務可能會受銀行法條款的約束。
• KNF 辦公室在 2017 年發佈的公告中，為打算將商務功能移至雲端的受監管機構，提供詳細的檢查清單和動作計畫。
• 建議 D：銀行的資訊技術和 ICT 環境安全性的管理，定義了 KNF 對銀行進行審慎的 IT 安全性管理的期望，特別管理風險的方式。 KNF 會提供 22 個建議來取得最佳安全性做法，並針對 保險公司、投資公司和 一般退休金公司提供可比較的指導方針。

此外，由金融機構所使用的雲端服務須符合波蘭的 1997 年個人資料保護法，該法案為個人資料處理的根本法則。 為了與GDPR一致，2018年末，商務活動效能促進法案 (波蘭) 修改，並於2019年1月1日生效。

Microsoft 與 KNF

為了協助指導波蘭的金融機構考慮將商務功能外包至雲端，Microsoft 發佈了雲端之路導覽：波蘭金融機構合規性檢查清單。 藉由檢閱並完成檢查清單，金融組織可以採用 Microsoft 商務雲端服務，並確信其符合適用的法規需求。

波蘭的金融機構將商務活動外包至雲端時，必須符合 1997 年銀行法和 2017 年 KNF 公告中有關在雲端中使用資料處理服務的要求，這兩者都隸屬於歐洲銀行業管理局架構當中。 此外，使用雲端服務的金融公司必須遵守於 2018 年修正與 GDPR 保持一致的 1997 年個人資料保護法，現在已更新以與 GDPR 保持一致。

Microsoft 檢查清單可協助波蘭金融公司執行 Microsoft 商務雲端服務的盡責調查，包括：

• 內容的法規環境概觀。
• 檢查清單，其中提出要解決的問題，並根據法規規定，將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具，以根據法規架構評定合規性，提供記錄合規性的內部結構，並協助客戶自行進行 Microsoft 商務雲端服務風險評估。

Microsoft 範圍內雲端平台與服務

• Azure
• Dynamics 365
• Microsoft 365

實作方式

• 合規性檢查清單：波蘭：金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
• 金融使用案例：使用案例概觀、教學課程及其他資源建立適用於金融服務的 Azure 解決方案。
• Microsoft 雲端中的隱私權：取得有關 Microsoft 隱私權原則和標準，以及有關波蘭特定隱私權法的詳細資訊。

常見問題集

需要法規批准嗎？

否。 但是，根據 1997 年銀行法，若服務提供者位於歐洲經濟區 (EEA) 之外，或者若外包作業在 EEA 之外進行，則銀行在簽訂合約之前必須獲得 KNF 批准。

在與雲端服務提供者的合約中，是否必須包含任何強制性條款？

是。 Microsoft 檢查清單中第 2 部分 (第 77 頁) 含有與雲端服務提供者簽訂的合約中應包含的要求完整清單。

資源

• Microsoft 金融服務合規性計劃
• Microsoft 商務用雲端服務與金融服務
• Azure 的金融服務合規性
• Microsoft 信任中心的合規性