Autoridade de Supervisão Financeira (KNF) Polônia
Sobre a KNF
A Autoridade de Supervisão Financeira da Polônia (Komisja Nadzoru Finansowego, KNF) é a autoridade reguladora financeira da Polônia responsável pela supervisão do mercado financeiro, que inclui a supervisão de bancos, mercados de capitais, seguros, regimes de pensão e instituições de moeda eletrônica.
O KNF actua em conjunto com a Autoridade Bancária Europeia (EBA), "uma autoridade independente da UE, que trabalha para garantir uma regulação e supervisão prudenciais eficazes e consistentes em todo o sector bancário europeu". Para isso, a EBA definiu uma abordagem abrangente para a terceirização da computação em nuvem por instituições financeiras na UE, Recomendações para a terceirização de provedores de serviços de nuvem.
Há vários requisitos e diretrizes que as instituições financeiras na Polônia devem considerar ao migrar os dados e as funções de negócios para a nuvem:
- A Lei Bancária de 1997 não regula os serviços cloud diretamente, mas define requisitos legais para o outsourcing de operações bancárias, incluindo a forma como as informações pessoais podem ser processadas. Os serviços de nuvem podem estar sujeitos às disposições da Lei Bancária se os serviços terceirizados tiverem uma importância crucial para o banco ou se a terceirização envolver o fornecimento de acesso a dados confidenciais sujeitos a requisitos de sigilo bancário ao provedor de serviços.
- O Anúncio, emitido pelo Gabinete da KNF em 2017, fornece uma lista de verificação detalhada e um plano de ação para instituições regulamentadas que pretendem migrar as funções de negócios para a nuvem.
- Recomendação D: o Gerenciamento da tecnologia de informação e a Segurança do ambiente bancário das TIC (Tecnologias da informação e comunicação) define as expectativas da KNF em relação ao gerenciamento prudente da segurança de TI pelos bancos, particularmente quanto a forma como eles gerenciam os riscos. A KNF oferece 22 recomendações de práticas recomendadas de segurança e emitiu diretrizes equivalentes para empresas de seguros, empresas de investimento e empresas de previdência em geral.
Além disso, o uso de serviços de nuvem por instituições financeiras deve estar em conformidade com a Lei de Proteção de Dados Pessoais da Polônia de 1997, que é fundamental para o processamento de dados pessoais. Para alinhar com o RGPD, foi alterado no final de 2018 pela Lei de Facilitação do Desempenho da Atividade Empresarial e entrou em vigor em 1 de janeiro de 2019.
Microsoft e KNF
Para ajudar a orientar instituições financeiras na Polônia, considerando a terceirização de funções de negócios para a nuvem, a Microsoft publicou o guia Aprendendo a navegar até a nuvem: Uma lista de verificação de conformidade para instituições financeiras na Polônia. Ao rever e concluir a lista de verificação, as organizações financeiras podem adotar serviços cloud empresariais da Microsoft com a confiança de que estão a cumprir os requisitos regulamentares aplicáveis.
Quando as instituições financeiras da Polônia terceirizam atividades de negócios para a nuvem, elas devem satisfazer os requisitos da Lei Bancária de 1997 e o Anúncio da KNF de 2017 sobre o uso de serviços de processamento de dados na nuvem, os quais se enquadram na ampla estrutura de políticas da Autoridade Bancária Europeia. Além disso, empresas financeiras que usam serviços de nuvem devem cumprir a emenda de 2018 alinhada ao RGPD da Lei de Proteção de Dados Pessoais de 1997, agora atualizada para se alinhar ao RGPD.
A lista de verificação da Microsoft ajuda as instituições financeiras da Polônia a realizar avaliações de auditoria detalhadas dos serviços de nuvem corporativos da Microsoft e inclui:
- Visão geral do panorama normativo para o contexto.
- Uma lista de verificação que define as questões a serem abordadas e os mapas dos serviços do Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 dessas obrigações normativas. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.
Plataformas e serviços em nuvem no escopo da Microsoft
Como implementar
- Lista de verificação de conformidade: Polônia: as instituições financeiras podem obter ajuda para a realização de avaliações de risco dos serviços de nuvem corporativos da Microsoft.
- Casos de uso financeiro: usa visões gerais, tutoriais e outros recursos para criar soluções do Azure para serviços financeiros.
- Privacidade no Microsoft Cloud: obtenha detalhes sobre os princípios e normas de privacidade da Microsoft e sobre as leis de privacidade específicas da Polônia.
Perguntas frequentes
A aprovação regulatória é necessária?
Não. No entanto, de acordo com a Lei Bancária de 1997, se o provedor de serviços estiver sediado fora do Espaço Econômico Europeu (EEE) ou se operações terceirizadas forem implementadas fora do EEE, os bancos deverão obter a aprovação da KNF antes de celebrar contratos.
Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?
Sim. A Parte 2 da lista de verificação da Microsoft (página 77) contém uma lista detalhada dos requisitos que devem ser incluídos nos contratos com os provedores de serviços de nuvem.