Autoridade Financeira (AMF) e Autoridade Prudencial (ACPR) da França

Artigo
09/15/2023

Sobre a AMF e a ACPR

A Autoridade Financeira (Autorité des Marchés Financiers, AMF) e a Autoridade Prudencial (Autorité de Contrôle Prudentiel et de Résolution, ACPR) são os principais reguladores financeiros da França. Na condição de regulador do mercado de ações, a AMF é responsável pela supervisão dos mercados financeiros e sociedades de investimento. A ACPR, uma autoridade administrativa independente do banco central, o Banque de France, supervisiona os setores bancário e de seguros.

A AMF e a ACPR atuam em conjunto com a Autoridade Bancária Europeia (EBA), "uma autoridade independente da UE, que trabalha para garantir uma regulação e supervisão prudencial eficazes e consistentes em todo o setor bancário europeu". Para isso, a EBA definiu uma abordagem abrangente ao uso da computação em nuvem por instituições financeiras na UE, Recomendações para a terceirização de provedores de serviços de nuvem.

Há vários requisitos e diretrizes que as instituições financeiras da França devem estar cientes ao migrar funções operacionais para a nuvem:

A Regulamentação Geral da AMF (francês e inglês) define regras e procedimentos para reforçar a legislação financeira. Em particular, o artigo 313-75 estabelece condições que devem ser refletidas nos contratos firmados pelas instituições financeiras com os provedores de serviços de nuvem.
A ACPR publicou Os riscos associados à computação em nuvem (francês e inglês), que incentivam as organizações sob supervisão da ACPR a tomarem medidas adequadas para gerenciar riscos quando terceirizam funções de negócios para a nuvem. Além disso, o Artigo 239 do decreto da ACPR de 3 de novembro de 2014 sobre o controle interno de empresas (francês) sob supervisão da ACPR, também especifica os termos obrigatórios a serem incluídos nos contratos com os provedores de serviços de nuvem.
Em determinados casos, as instituições regulamentadas devem notificar a AMF e a ACPR sobre os acordos de terceirização de materiais, especialmente se tiverem o potencial de impactar significativamente suas operações de negócios.
Em sua função de Autoridade de Proteção de Dados na França, a CNIL (Commission Nationale de l'Informatique et des Libertés) emitiu muitas diretrizes de computação em nuvem, incluindo recomendações para empresas que planejam usar serviços de computação em nuvem (Francês e Inglês).

Microsoft, AMF e ACPR

Para ajudar a orientar as instituições financeiras da França, considerando a terceirização de funções de negócios para a nuvem, a Microsoft publicou Aprendendo a navegar até a nuvem: uma lista de verificação para instituições financeiras da França. Ao revisar e concluir a lista de verificação, as organizações financeiras podem adotar serviços de nuvem de negócios da Microsoft com a confiança de que estão cumprindo os requisitos regulatórios aplicáveis.

Quando as instituições financeiras da França terceirizam atividades de negócios para a nuvem, elas devem estar em conformidade com os requisitos da Autoridade Financeira (AMF) e da Autoridade Prudencial (ACPR) da França, dentro da ampla estrutura de políticas da Autoridade Bancária Europeia (EBA). Em particular, eles devem estar cientes do artigo 313-75 da Regulamentação Geral da AMF e das diretrizes da ACPR sobre riscos de computação em nuvem e seus requisitos obrigatórios para contratos com provedores de serviços de nuvem.

A lista de verificação da Microsoft ajuda as instituições financeiras da França a realizar avaliações de auditoria detalhadas dos serviços de nuvem de negócios da Microsoft e inclui:

Uma visão geral do panorama normativo para o contexto.
Uma lista de verificação que define as questões a serem abordadas e os mapas dos serviços do Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 dessas obrigações normativas. A lista de verificação pode ser usada como uma ferramenta para medir a conformidade em relação a uma estrutura regulatória, fornecer uma estrutura interna para a documentação de conformidade e ajudar os clientes a realizar suas próprias avaliações de risco dos serviços de nuvem de negócios da Microsoft.

Plataformas e serviços em nuvem no escopo da Microsoft

Como implementar

Lista de verificação de conformidade: França: as instituições financeiras podem obter ajuda na realização de avaliações de risco dos serviços de nuvem de negócios da Microsoft.
Casos de uso financeiro: visões gerais de casos de uso, tutoriais e outros recursos para criar soluções Azure para serviços financeiros.

Perguntas frequentes

A aprovação regulatória é necessária?

A publicação EBA, [Recomendações sobre terceirização para provedores de serviços de nuvem](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), descreve uma abordagem abrangente para terceirização de materiais por instituições financeiras na UE. Além disso, em determinados casos, as instituições financeiras devem notificar a AMF ou ACPR de seus acordos de terceirização, conforme descrito nas páginas 8 e 9 da lista de verificação. Embora seja improvável que essas circunstâncias se apliquem ao uso de serviços de nuvem da Microsoft, os serviços financeiros devem verificar sua aplicabilidade revisando a lista de verificação.

Há termos obrigatórios que devem ser incluídos no contrato com o provedor de serviços de nuvem?

Sim. O Artigo 239 da Ordem da ACPR de 3 de novembro de 2014 e o Artigo 313-75 da Regulamentação Geral da AMF estabelecem condições que devem ser refletidas nos contratos firmados pelas instituições financeiras com os provedores de serviços em nuvem. A parte 2 da lista de verificação da Microsoft (página 62) mapeia-as em relação às seções nos documentos contratuais da Microsoft em que são endereçadas.