金融監督管理局 (KNF) 波蘭
關於 KNF
波蘭金融監督管理局 (Komisja Nadzoru Finansowego, KNF) 是波蘭的金融監督管理機關,負責監督金融市場,其中包含監督銀行、資本市場、保險、退休金規劃以及電子貨幣機構。
KNF 會與 歐洲銀行管理局 (EBA) 合作,EBA 是獨立的歐盟授權單位,可確保在整個歐洲銀行部門進行有效且一致的審慎規範和監督。 為此,EBA 概述了歐盟金融機構使用雲端計算的全方位措施,外包給雲端服務提供者的建議。
在將商務功能和資料移到雲端時,波蘭的金融機構應注意以下要求和規範:
- 1997 年銀行法不會直接規範雲端服務,而是會設定外包銀行作業的法律需求,包括如何處理個人資訊。 如果外包服務對銀行至關重要,或者外包涉及服務提供者可存取受銀行保密要求約束的敏感性資料,則雲端服務可能會受銀行法條款的約束。
- KNF 辦公室在 2017 年發佈的公告中,為打算將商務功能移至雲端的受監管機構,提供詳細的檢查清單和動作計畫。
- 建議 D:銀行的資訊技術和 ICT 環境安全性的管理,定義了 KNF 對銀行進行審慎的 IT 安全性管理的期望,特別管理風險的方式。 KNF 會提供 22 個建議來取得最佳安全性做法,並針對 保險公司、投資公司和 一般退休金公司提供可比較的指導方針。
此外,由金融機構所使用的雲端服務須符合波蘭的 1997 年個人資料保護法,該法案為個人資料處理的根本法則。 為了與GDPR一致,2018年末,商務活動效能促進法案已修改此功能,並於2019年1月1日生效。
Microsoft 與 KNF
為了協助指導波蘭的金融機構考慮將商務功能外包至雲端,Microsoft 發佈了雲端之路導覽:波蘭金融機構合規性檢查清單。 藉由檢閱並完成檢查清單,金融組織可以採用Microsoft商務雲端服務,並確信它們符合適用的法規需求。
波蘭的金融機構將商務活動外包至雲端時,必須符合 1997 年銀行法和 2017 年 KNF 公告中有關在雲端中使用資料處理服務的要求,這兩者都隸屬於歐洲銀行業管理局架構當中。 此外,使用雲端服務的金融公司必須遵守於 2018 年修正與 GDPR 保持一致的 1997 年個人資料保護法,現在已更新以與 GDPR 保持一致。
Microsoft 檢查清單可協助波蘭金融公司執行 Microsoft 商務雲端服務的盡責調查,包括:
- 內容的法規環境概觀。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內雲端平台與服務
實作方式
- 合規性檢查清單:波蘭:金融公司可以取得 Microsoft 商務雲端服務風險評估的協助。
- 金融使用案例:使用案例概觀、教學課程及其他資源建立適用於金融服務的 Azure 解決方案。
- Microsoft 雲端中的隱私權:取得有關 Microsoft 隱私權原則和標準,以及有關波蘭特定隱私權法的詳細資訊。
常見問題集
需要法規批准嗎?
否。 但是,根據 1997 年銀行法,若服務提供者位於歐洲經濟區 (EEA) 之外,或者若外包作業在 EEA 之外進行,則銀行在簽訂合約之前必須獲得 KNF 批准。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是。 Microsoft 檢查清單中第 2 部分 (第 77 頁) 含有與雲端服務提供者簽訂的合約中應包含的要求完整清單。