荷蘭金融市場管理局和荷蘭中央銀行
關於 AFM 與 DNB
荷蘭的主要金融監管者是荷蘭金融市場管理局 (Autoriteit Financiële Markten, AFM) 和荷蘭中央銀行 (De Nederlandsche Bank, DNB)。 AFM 是「儲蓄、信貸、投資及保險市場的獨立主管機構」,其角色相當於 美國的 SEC。 歐洲中央銀行體系內的 DNB 可決定並施行貨幣原則,並對荷蘭的金融機構進行審慎監督。
這兩個機構與歐洲銀行業管理局 (EBA) 合作。「EBA 為獨立的歐盟機關,確保對整個歐洲銀行業進行有效且一致的審慎規範與監督。」 為此,EBA 概述了歐盟金融機構使用雲端計算的全方位措施,外包給雲端服務提供者的建議。
通常,法律和準則支持以下觀點:涉及第三方服務的雲端運算可以視為一種外包形式,因此荷蘭的金融機構必須在將業務活動移至雲端之前解決相關風險。這些包括:
- 荷蘭立法機構於 2018 年發布的金融監管法 (FSA) (荷蘭文和英文) 為金融機構提供了條件,以控制與外包相關的風險並確保其不妨礙監管。
- DNB 發布的 Circulaire 雲端運算 (荷蘭文和英文) 要求在受監管的荷蘭機構從事雲端運算之前,必須將其潛在外包安排告知 DNB,以確保營運流程和風險得到控制。
使用 DNB 提供的範本,他們必須提交強制性風險分析,其中包括:
- 有關以下方面的評估:遵守當前法律、雙方在所提供服務方面的相互理解、服務提供者的穩定性和可靠性、服務的提供地點,以及對外包服務的重要性和依賴程度。
- 務必解決與資料完整性、機密性和可用性相關的風險。
歐盟委員會委派的法規 EU 2017/565 詳述了投資公司與雲端服務提供者之間的外包合約需求。
Microsoft 與 AFM 和 DNB
為了協助指導荷蘭的金融機構考慮將業務功能委外至雲端,Microsoft 發佈了荷蘭金融機構合規檢查清單。 透過檢閱並完成檢查清單,金融機構可以採用 Microsoft 商業雲端服務,並能有符合適用法規需求的信心。
當荷蘭的金融組織將商務活動委外至雲端時,他們必須遵循歐洲銀行業管理局 (EBA) 廣泛原則架構內,荷蘭金融市場管理局 (AFM) 和荷蘭中央銀行 (DNB) 的規則和指導方針。
Microsoft 檢查清單可協助荷蘭金融公司執行 Microsoft 商務雲端服務的盡責調查,包括:
- 內容的法規環境概觀。
- 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。
Microsoft 範圍內雲端平台與服務
實作方法
- 合規檢查清單:荷蘭:金融公司可以在進行 Microsoft 商務雲端服務風險評定時取得協助。
- 風險評定與合規性指南:建立 Microsoft 雲端服務風險評定的監管模型和調整通知。
- 金融使用案例:為金融服務建立 Azure 解決方案的案例概覽、教學課程和其他資源。
常見問題集
需要法規批准嗎?
不用。不過,Circulaire 雲端運算指出 DNB 預期受監督的荷蘭機構會在參與雲端運算之前,提交有關潛在外包安排的風險分析。
在與雲端服務提供者的合約中,是否必須包含任何強制性條款?
是。 雲端合約中所包括的佈建和安排視金融機構類型而定。 需求 (例如歐盟委員會委派的法規 (EU) 2017/565 Art. 31 中所述需求) 是在檢查清單的第 2 部分中訂定。