關於 KNF
波蘭金融監管機構 (Komisja Nadzoru Finansowego,簡稱KNF) 是波蘭的金融監管機構。 它監督金融市場,包括銀行業、資本市場、保險、退休金計畫及電子貨幣機構的監督。
KNF與 歐洲銀行管理局 (EBA)合作,EBA () 「一個獨立的歐盟機構,致力於確保歐洲銀行業有效且一致的審慎監管與監督。」為此,EBA提出了一套關於金融機構在歐盟使用雲端運算的全面方法,即 《關於外包給雲端服務提供者的建議》。
波蘭的金融機構在將業務功能與資料遷移至雲端時,應了解多項要求與指引:
- 1997 年的《銀行法》並未直接規範雲端服務。 相反地,它規定了外包銀行業務的法律要求,包括個人資訊的處理方式。 如果外包服務對銀行具有關鍵意義,或外包涉及讓服務提供者存取受銀行保密要求約束的敏感資料,《銀行法》的條款也可能適用於雲端服務。
- KNF 辦公室在 2017 年發佈的公告中,為打算將商務功能移至雲端的受監管機構,提供詳細的檢查清單和動作計畫。
- 建議 D:銀行的資訊技術和 ICT 環境安全性的管理,定義了 KNF 對銀行進行審慎的 IT 安全性管理的期望,特別管理風險的方式。 KNF 會提供 22 個建議來取得最佳安全性做法,並針對 保險公司、投資公司和 一般退休金公司提供可比較的指導方針。
此外,由金融機構所使用的雲端服務須符合波蘭的 1997 年個人資料保護法,該法案為個人資料處理的根本法則。 為配合GDPR,《促進業務執行法》於2018年底修訂《個人資料保護法》,並於2019年1月1日生效。
Microsoft 與 KNF
為了協助波蘭的金融機構考慮將業務功能外包到雲端,Microsoft 發布 了《導航你走向雲端:波蘭金融機構合規檢查清單》。 透過檢視並完成清單,金融機構可以放心採用 Microsoft 商業雲端服務,確保符合相關法規要求。
當波蘭金融機構將業務業務外包至雲端時,必須符合1997年《銀行法》及2017年KNF公告中關於雲端資料處理服務使用的要求。 這兩項要求都屬於歐洲銀行管理局的廣泛政策框架內。 此外,使用雲端服務的金融機構必須遵守符合GDPR的2018年《個人資料保護法》修正案。
Microsoft 檢查清單可協助波蘭金融公司執行 Microsoft 商務雲端服務的盡責調查,包括:
- 內容的法規環境概觀。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 該檢查清單可作為衡量合規性的工具,並提供內部結構以記錄合規情況。 它協助客戶自行評估 Microsoft 商業雲端服務的風險。
Microsoft 範圍內的雲端平台與服務
實作方式
- 合規性檢查清單:波蘭:金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
- 金融使用案例:使用案例概觀、教學課程及其他資源建立適用於金融服務的 Azure 解決方案。
- Microsoft 雲端中的隱私權:取得有關 Microsoft 隱私權原則和標準,以及有關波蘭特定隱私權法的詳細資訊。
常見問題集
需要法規批准嗎?
否。 然而,根據1997年《銀行法》,若服務提供者位於歐洲經濟區) (歐洲經濟區外,或外包業務需在歐洲經濟區外實施,銀行必須先取得KNF批准後才能簽訂合約。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是。 Microsoft檢查清單第2部分 (第77頁) 包含了與雲端服務供應商簽訂合約時應包含的詳細要求清單。