金融監督管理局 (KNF) 波蘭

關於 KNF

波蘭金融監督管理局 (Komisja Nadzoru Finansowego, KNF) 是波蘭的金融監督管理機關,負責監督金融市場,其中包含監督銀行、資本市場、保險、退休金規劃以及電子貨幣機構。

KNF 與歐洲銀行業管理局 (EBA) 合作。「EBA 為獨立的歐盟機關,確保對整個歐洲銀行業進行有效且一致的審慎規範與監督。」 為此,EBA 概述了歐盟金融機構使用雲端計算的全方位措施,外包給雲端服務提供者的建議

在將商務功能和資料移到雲端時,波蘭的金融機構應注意以下要求和規範:

  • 1997 年銀行法 (波蘭文英文) 並未直接規範雲端服務,而是對外包銀行作業 (包括如何處理個人資訊) 提出法律要求。 如果外包服務對銀行至關重要,或者外包涉及服務提供者可存取受銀行保密要求約束的敏感性資料,則雲端服務可能會受銀行法條款的約束。
  • KNF 辦公室在 2017 年發佈的公告中,為打算將商務功能移至雲端的受監管機構,提供詳細的檢查清單和動作計畫。
  • 建議 D:銀行的資訊技術和 ICT 環境安全性的管理,定義了 KNF 對銀行進行審慎的 IT 安全性管理的期望,特別管理風險的方式。 KNF 會提供 22 個建議來取得最佳安全性做法,並針對 保險公司投資公司一般退休金公司提供可比較的指導方針。

此外,由金融機構所使用的雲端服務須符合波蘭的 1997 年個人資料保護法,該法案為個人資料處理的根本法則。 為與 GDPR 保持一致,該法案已在 2018 年底由促進商務活動法 (Act on Facilitation of Performance of Business Activity) 修正 (波蘭文) 修正,並將於 2019 年 1月 1 日生效。

Microsoft 與 KNF

為了協助指導波蘭的金融機構考慮將商務功能外包至雲端,Microsoft 發佈了雲端之路導覽:波蘭金融機構合規性檢查清單。 透過檢閱並完成檢查清單,金融機構可以採用 Microsoft 商業雲端服務,並能有符合適用法規需求的信心。

波蘭的金融機構將商務活動外包至雲端時,必須符合 1997 年銀行法和 2017 年 KNF 公告中有關在雲端中使用資料處理服務的要求,這兩者都隸屬於歐洲銀行業管理局架構當中。 此外,使用雲端服務的金融公司必須遵守於 2018 年修正與 GDPR 保持一致的 1997 年個人資料保護法,現在已更新以與 GDPR 保持一致。

Microsoft 檢查清單可協助波蘭金融公司執行 Microsoft 商務雲端服務的盡責調查,包括:

  • 內容的法規環境概觀。
  • 檢查清單,其中提出要解決的問題,並根據法規規定,將 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft 365 服務對應起來。 檢查清單可做為工具,以根據法規架構評定合規性,提供記錄合規性的內部結構,並協助客戶自行進行 Microsoft 商務雲端服務風險評估。

Microsoft 範圍內雲端平台與服務

實作方式

常見問題集

需要法規批准嗎?

否。但是,根據 1997 年銀行法,若服務提供者位於歐洲經濟區 (EEA) 之外,或者若外包作業在 EEA 之外進行,則銀行在簽訂合約之前必須獲得 KNF 批准。

在與雲端服務提供者的合約中,是否必須包含任何強制性條款?

是。 Microsoft 檢查清單中第 2 部分 (第 77 頁) 含有與雲端服務提供者簽訂的合約中應包含的要求完整清單。

資源