波兰金融监管局 (KNF)

关于 KNF

波兰金融监管局（Komisja Nadzoru Finansowego，KNF）是波兰的金融监管机构，负责监管金融市场，包括银行业、资本市场、保险、养老金计划和电子货币机构。

KNF与 欧洲银行管理局 合作， (EBA) ，这是一个独立的欧盟机构，致力于确保整个欧洲银行业有效和一致的审慎监管。 为实现这一目的，EBA 就欧盟境内金融机构使用云计算提出了一个综合方法：Recommendations on outsourcing to cloud services providers（对外包给云服务提供商的建议）。

在将业务职能和数据移到云端时，波兰的金融机构应注意几项要求和指导方针：

• 1997年《银行法》没有直接规范云服务，而是规定了外包银行业务的法律要求，包括如何处理个人信息。 如果外包服务对于银行具有重要意义，或者如果外包涉及授予服务提供商对遵守银行业保密要求的敏感数据的访问权限，则云服务可能会受《银行法》规定的约束。
• KNF 办公室于 2017 年发布的这份公告，为打算将业务职能迁移到云的受监管机构提供了一份详细的清单和行动计划。
• 建议 D：银行对信息技术和 ICT 环境安全的管理定义了 KNF 对银行谨慎管理 IT 安全的预期，尤其是在管理风险方面。 KNF 针对最佳安全做法提供了 22 条建议，并为保险公司、投资公司和常规养老金公司发布了类似指导。

此外，金融机构使用云服务必须遵守波兰于 1997 年颁布的《个人数据保护法》，这是处理个人数据的基础。 为了与 GDPR 保持一致，2018 年底， 波兰) (商业活动绩效促进法进行了修订，于 2019 年 1 月 1 日生效。

Microsoft 和 KNF

为了给正在考虑将业务职能外包到云的波兰金融机构提供指导，Microsoft 发布了通往云的指导：一份针对波兰金融机构的合规性清单。 通过查看并完成清单，金融机构可以采用 Microsoft 商业云服务，并确信它们符合适用的法规要求。

当波兰金融机构将业务活动外包到云时，他们必须满足 1997 年的《银行法》，以及有关使用云中数据处理服务的 2017 年《KNF 公告》的要求，这两者在欧洲银行管理局的广泛策略框架之内。 此外，使用云服务的金融公司必须遵守 1997 年《个人数据保护法》为了与 GDPR 保持一致而于 2018 年发布的修正案。

Microsoft 清单可对正在就 Microsoft 商业云服务进行尽职调查评估的波兰金融公司提供帮助，包括：

• 对应用情景法规环境的概述。
• 一份清单，其中列出了要解决的问题，并将 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服务与这些法规义务进行对应。 该清单可以用作度量是否符合法规框架的工具，并提供用于记录合规性的内部结构，帮助客户自行对 Microsoft 业务云服务进行风险评估。

Microsoft 范围内的云平台和云服务

• Azure
• Dynamics 365
• Microsoft 365

如何实现

• 合规性清单：波兰：金融公司可在对 Microsoft 云服务进行风险评估方面获得帮助。
• 金融用例：借助案例概述、教程和其他资源，构建适合金融服务的 Azure 解决方案。
• Microsoft 云中的隐私：获取有关 Microsoft 隐私原则和标准以及特定于波兰的隐私法律的详细信息。

常见问题解答

是否需获得监管批准？

否。 但是，依据 1997 年《银行法》，如果服务提供商在欧洲经济区 (EEA) 境外，或者如果要在 EEA 境外实现外包操作，则在签订合同前，银行必须获得 KNF 批准。

在与云服务提供商签订的合同中是否必须包含所有强制性条款？

是。 Microsoft 清单的第 2 部分（第 77 页）包含与云服务提供商所签合同中应包括的要求的全面列表。

资源

• Microsoft 金融服务合规性计划
• Microsoft 商业云服务和金融服务
• Azure 中的金融服务合规性
• Microsoft 信任中心内的合规性