Autorità di vigilanza finanziaria (KNF) della Polonia
Informazioni sulla KNF
L’Autorità di vigilanza finanziaria (Komisja Nadzoru Finansowego, KNF) è l'ente regolatore finanziario della Polonia, responsabile della supervisione del mercato finanziario, che include la supervisione di banche, mercati dei capitali, assicurazioni, regimi pensionistici ed istituti di moneta elettronica.
Il KNF opera di concerto con l'Autorità bancaria europea (ABE), "un'autorità indipendente dell'UE, che opera per garantire una regolamentazione e una vigilanza prudenziali efficaci e coerenti nel settore bancario europeo". A tal fine, l'EBA ha definito un approccio globale all'uso del cloud computing da parte delle istituzioni finanziarie dell'UE, le Raccomandazioni in materia di esternalizzazione ai fornitori di servizi cloud.
Sono previsti diversi requisiti e linee guida di cui gli istituti finanziari in Polonia devono essere a conoscenza al momento del passaggio di funzioni e dati aziendali verso il cloud:
- Il Banking Act del 1997 non disciplina direttamente i servizi cloud, ma definisce invece i requisiti legali per l'esternalizzazione delle operazioni bancarie, incluso il modo in cui le informazioni personali possono essere elaborate. I servizi cloud potrebbero essere oggetto delle disposizioni del Banking Act se i servizi esternalizzati sono di importanza fondamentale per la banca o se l'esternalizzazione comporta l'accesso del fornitore di servizi cloud a dati riservati a cui si applicano i requisiti di segreto bancario.
- La comunicazione, rilasciata dall'ufficio della KNF nel 2017, include un elenco di controllo e un piano d'azione dettagliati per le istituzioni disciplinate che intendono spostare le proprie funzioni aziendali nel cloud.
- La Raccomandazione D: Gestione delle tecnologie dell'informazione e Sicurezza dell’ambiente ICT nelle banche definisce le aspettative della KNF per la gestione prudenziale della sicurezza informatica da parte delle banche, soprattutto per quanto riguarda la gestione dei rischi. La KNF ha stipulato 22 raccomandazioni sulle procedure consigliate sulla sicurezza e ha pubblicato delle linee guida analoghe per le compagnie assicurative, le imprese di investimento e le società di previdenza generale.
Inoltre, l'uso dei servizi cloud da parte degli istituti finanziari deve essere conforme alla legge sulla protezione dei dati personali della Polonia del 1997, fondamentale per il trattamento dei dati personali. Per allinearsi al GDPR, è stato modificato alla fine del 2018 dalla legge sulla facilitazione della performance dell'attività aziendale (polacco) ed è entrato in vigore il 1° gennaio 2019.
Microsoft e la KNF
Per aiutare le istituzioni finanziarie in Polonia a valutare l'esternalizzazione delle funzioni aziendali verso il cloud, Microsoft ha pubblicato Orientarsi nel cloud: un elenco di controllo della conformità per le istituzioni finanziarie in Polonia. Esaminando e completando l'elenco di controllo, le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza che siano conformi ai requisiti normativi applicabili.
Se un istituto finanziario in Polonia esternalizza delle attività commerciali nel cloud, deve rispondere ai requisiti del Banking Act del 1997 e della comunicazione della KNF del 2017 per l'uso dei servizi di trattamento dei dati nel cloud, che rientrano nell’ampio quadro normativo dell'Autorità bancaria europea. Inoltre, le società finanziarie che usano servizi cloud devono rispettare la modifica del 2018 per la conformità al GDPR della Legge sulla protezione dei dati personali del 1997, oggi aggiornata per corrispondere alle disposizioni del GDPR.
L'elenco di controllo di Microsoft consente alle società finanziarie polacche di svolgere valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:
- Informazioni generali sul panorama normativo a scopo di contestualizzazione.
- Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Come implementare
- Elenco di controllo conformità: Polonia: le società finanziarie possono ottenere assistenza per la valutazione dei rischi dei servizi cloud Microsoft per le aziende.
- Casi di utilizzo finanziari: panoramiche di casi di utilizzo, esercitazioni e altre risorse per creare soluzioni di Azure per i servizi finanziari.
- Privacy in Microsoft Cloud: informazioni dettagliate sui principi e gli standard di privacy di Microsoft e sulle normative specifiche sulla privacy della Polonia.
Domande frequenti
È richiesta l'approvazione da parte delle autorità competenti?
No. Tuttavia, secondo il Banking Act del 1997, se il fornitore di servizi è basato all'esterno dello spazio economico europeo (SEE) o se le operazioni esternalizzate devono essere implementate all'esterno dello SEE, è necessario che le banche ottengano l'approvazione del KNF prima di stipulare contratti.
Devono essere incluse condizioni obbligatorie nel contratto con il fornitore di servizi cloud?
Sì. La parte 2 dell’Elenco di controllo di Microsoft (pagina 77) contiene un elenco completo dei requisiti che devono essere inclusi nei contratti con i fornitori di servizi cloud.
Risorse
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per