Autoridade de Supervisão Financeira (KNF) Polônia

Sobre a KNF

A Autoridade Polaca de Supervisão Financeira (Komisja Nadzoru Finansowego, KNF) é a autoridade reguladora financeira na Polónia. Supervisiona o mercado financeiro, incluindo a supervisão da banca, dos mercados de capitais, dos seguros, dos regimes de pensões e das instituições de dinheiro eletrónico.

A KNF trabalha com a Autoridade Bancária Europeia (EBA), "uma autoridade independente da UE, que trabalha para garantir uma regulação e supervisão prudenciais eficazes e consistentes em todo o setor bancário europeu". Para tal, a EBA delineou uma abordagem abrangente à utilização da computação na cloud por instituições financeiras na UE, Recomendações sobre o outsourcing para fornecedores de serviços cloud.

As instituições financeiras na Polónia devem estar cientes de vários requisitos e diretrizes ao mover funções e dados empresariais para a cloud:

• A Lei Bancária de 1997 não regula os serviços cloud diretamente. Em vez disso, estabelece requisitos legais para o outsourcing de operações bancárias, incluindo a forma como as informações pessoais podem ser processadas. As disposições da Lei Bancária podem aplicar-se aos serviços cloud se os serviços externos forem de importância fundamental para o banco, ou se o outsourcing implicar dar ao fornecedor de serviços acesso a dados confidenciais sujeitos a requisitos de sigilo bancário.
• O Anúncio, emitido pelo Gabinete da KNF em 2017, fornece uma lista de verificação detalhada e um plano de ação para instituições regulamentadas que pretendem migrar as funções de negócios para a nuvem.
• Recomendação D: o Gerenciamento da tecnologia de informação e a Segurança do ambiente bancário das TIC (Tecnologias da informação e comunicação) define as expectativas da KNF em relação ao gerenciamento prudente da segurança de TI pelos bancos, particularmente quanto a forma como eles gerenciam os riscos. A KNF oferece 22 recomendações de práticas recomendadas de segurança e emitiu diretrizes equivalentes para empresas de seguros, empresas de investimento e empresas de previdência em geral.

Além disso, o uso de serviços de nuvem por instituições financeiras deve estar em conformidade com a Lei de Proteção de Dados Pessoais da Polônia de 1997, que é fundamental para o processamento de dados pessoais. Para alinhar com o RGPD, a Lei de Facilitação do Desempenho da Atividade Empresarial alterou a Lei de Proteção de Dados Pessoais no final de 2018 e entrou em vigor em 1 de janeiro de 2019.

Microsoft e KNF

Para ajudar a orientar as instituições financeiras na Polónia a considerarem o outsourcing de funções empresariais para a cloud, a Microsoft publicou Navigating your way to the cloud: A compliance checklist for financial institutions in Poland (Navegar para a cloud: uma lista de verificação de conformidade para instituições financeiras na Polónia). Ao rever e concluir a lista de verificação, as organizações financeiras podem adotar serviços cloud empresariais da Microsoft com a confiança de que estão a cumprir os requisitos regulamentares aplicáveis.

Quando as instituições financeiras na Polónia subcontratam atividades empresariais para a cloud, têm de cumprir os requisitos da Lei Bancária de 1997 e do Anúncio da KNF de 2017 sobre a utilização de serviços de processamento de dados na cloud. Ambos os requisitos enquadram-se no amplo quadro político da Autoridade Bancária Europeia. Além disso, as empresas financeiras que utilizam serviços cloud devem cumprir a emenda de 2018 alinhada com o RGPD à Lei de Proteção de Dados Pessoais de 1997.

A lista de verificação da Microsoft ajuda as instituições financeiras da Polônia a realizar avaliações de auditoria detalhadas dos serviços de nuvem corporativos da Microsoft e inclui:

• Visão geral do panorama normativo para o contexto.
• Uma lista de verificação que define as questões a serem abordadas e os mapas dos serviços do Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 dessas obrigações normativas. A lista de verificação pode ser utilizada como uma ferramenta para medir a conformidade com uma estrutura regulamentar e fornecer uma estrutura interna para documentar a conformidade. Ajuda os clientes a realizarem as suas próprias avaliações de risco dos serviços cloud empresariais da Microsoft.

Plataformas e serviços na cloud no âmbito da Microsoft

• Azure
• Dynamics 365
• Microsoft 365

Como implementar

• Lista de verificação de conformidade: Polônia: as instituições financeiras podem obter ajuda para a realização de avaliações de risco dos serviços de nuvem corporativos da Microsoft.
• Casos de uso financeiro: usa visões gerais, tutoriais e outros recursos para criar soluções do Azure para serviços financeiros.
• Privacidade no Microsoft Cloud: obtenha detalhes sobre os princípios e normas de privacidade da Microsoft e sobre as leis de privacidade específicas da Polônia.

Perguntas frequentes

A aprovação regulatória é necessária?

Não. No entanto, nos termos da Lei Bancária de 1997, se o prestador de serviços estiver sediado fora do Espaço Económico Europeu (EEE) ou se as operações subcontratadas forem implementadas fora do EEE, os bancos terão de obter a aprovação da KNF antes de entrarem em contratos.

Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?

Sim. A parte 2 da lista de verificação da Microsoft (página 77) contém uma lista completa dos requisitos que deve incluir nos contratos com fornecedores de serviços cloud.

Recursos

• Programa de conformidade para serviços financeiros do Microsoft Cloud
• serviços corporativos de nuvem e serviços financeiros da Microsoft
• conformidade dos serviços financeiros no Azure
• Conformidade na Central de Confiabilidade da Microsoft