Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À propos de la KNF
L’Autorité de supervision financière polonaise (Komisja Nadzoru Finansowego, KNF) est l’autorité de régulation financière en Pologne. Il supervise le marché financier, y compris la surveillance des banques, des marchés de capitaux, des assurances, des régimes de retraite et des institutions de monnaie électronique.
La KNF collabore avec l’Autorité bancaire européenne (ABE), « une autorité indépendante de l’UE, qui s’efforce de garantir une réglementation et une surveillance prudentielles efficaces et cohérentes dans le secteur bancaire européen ». À cette fin, l’ABE a présenté une approche globale de l’utilisation du cloud computing par les institutions financières de l’UE, recommandations sur l’externalisation aux fournisseurs de services cloud.
Les institutions financières en Pologne doivent connaître plusieurs exigences et directives lors du déplacement de fonctions et de données métier vers le cloud :
- La loi bancaire de 1997 ne régit pas directement les services cloud. Au lieu de cela, il définit les exigences légales pour l’externalisation des opérations bancaires, y compris la façon dont les informations personnelles peuvent être traitées. Les dispositions de la Loi bancaire peuvent s’appliquer aux services cloud si les services externalisés sont d’une importance capitale pour la banque, ou si l’externalisation implique de donner au fournisseur de services l’accès à des données sensibles soumises à des exigences de secret bancaire.
- L'annonce, publiée par le bureau de la KNF en 2017, fournit une liste de contrôle détaillée et un plan d'action pour les institutions réglementées qui envisagent de déplacer les fonctions professionnelles vers le cloud.
- Recommandations D: la gestion des technologies de l’information et de la sécurité de l’environnement TIC dans les banques définit les attentes KNF en matière de gestion prudente de la sécurité informatique par les banques, notamment en ce qui concerne la gestion des risques. La KNF formule 22 recommandations sur les meilleures pratiques en matière de sécurité et a émis des directives comparables pour compagnies d'assurance, entreprises d'investissement et sociétés générales de retraite.
En outre, l'utilisation des services Cloud par les institutions financières doit être conforme à la loi polonaise de 1997 sur la protection des données personnelles, qui est fondamentale pour le traitement des données personnelles. Pour s’aligner sur le RGPD, la loi sur la facilitation de la performance de l’activité commerciale a modifié la loi sur la protection des données personnelles fin 2018 et est entrée en vigueur le 1er janvier 2019.
Microsoft et le KNF
Pour aider les institutions financières en Pologne à envisager d’externaliser des fonctions métier dans le cloud, Microsoft a publié Navigation dans le cloud : liste de contrôle de conformité pour les institutions financières en Pologne. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.
Lorsque les institutions financières en Pologne externalisent des activités commerciales vers le cloud, elles doivent répondre aux exigences de la loi bancaire de 1997 et de l’annonce knF de 2017 concernant l’utilisation des services de traitement des données dans le cloud. Ces deux exigences s’inscrivent dans le cadre politique général de l’Autorité bancaire européenne. En outre, les entreprises financières qui utilisent des services cloud doivent se conformer à l’amendement de 2018 aligné sur le RGPD de la loi de 1997 sur la protection des données personnelles.
La liste de contrôle Microsoft permet aux entreprises financières polonaises d’effectuer des évaluations de la diligence raisonnable des services cloud entreprises Microsoft et inclut :
- Vue d’ensemble du paysage de la réglementation pour le contexte.
- Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité. Il aide les clients à effectuer leurs propres évaluations des risques liés aux services cloud d’entreprise Microsoft.
Plateformes et services cloud microsoft dans l’étendue
Modalités de mise en œuvre
- Liste de contrôle de conformité : Pologne: les entreprises financières peuvent obtenir de l'aide pour évaluer les risques liés aux services cloud entreprise Microsoft.
- Cas d'utilisation financière : utilisez des aperçus de cas, des didacticiels et d'autres ressources pour créer des solutions Azure pour les services financiers.
- Confidentialité dans Cloud Microsoft : Obtenez des informations sur les principes et normes de confidentialité de Microsoft et sur les lois sur la confidentialité spécifiques en Pologne.
Questions fréquentes (FAQ)
L’approbation réglementaire est-elle nécessaire ?
Non. Toutefois, en vertu de la loi bancaire de 1997, si le prestataire de services est basé en dehors de l’Espace économique européen (EEE) ou si des opérations externalisées doivent être mises en œuvre en dehors de l’EEE, les banques doivent obtenir l’approbation knF avant de conclure des contrats.
Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services Cloud ?
Oui. La partie 2 de la liste de contrôle Microsoft (page 77) contient une liste complète des exigences que vous devez inclure dans les contrats avec les fournisseurs de services cloud.