Облако — это уже не будущее и не зарождающаяся тенденция:это настоящее и важнейший инструмент для финансовых учреждений, если они хотят оставаться конкурентоспособными в сегодняшних сложных бизнес-средах. В нашей недавно опубликованной международной статье «Правильно использовать облачные технологии — как банки могут опережать события». ?» мы объяснили ключевые компоненты успешного «облачного путешествия» и основные шаги, которые необходимо предпринять.
В этом блоге мы подробно расскажем о швейцарских банковских правилах в отношении банковской тайны. и надзор за аутсорсингом .
Швейцарская банковская тайна Усердие швейцарских банков в отношении конфиденциальности клиентов является одной из самых известных черт швейцарской экономики. Нарушение банковской тайны является преступлением в Швейцарии; поэтому швейцарские банки должны тщательно учитывать потенциальные угрозы конфиденциальности, связанные с использованием облачных сервисов.
Наиболее актуальными положениями, определяющими обязанности банка в области банковской тайны, являются:
Суть этих правил заключается в том, что использование облачных сервисов банком может соответствовать швейцарской банковской тайне, при условии, что банк тщательно оценивает технические, организационные и договорные рамки, введенные в действие перед использованием облачных сервисов для хранения и обработки данных клиентов. В частности, как подробно объясняется в Руководстве SBA Cloud, нет необходимости просить клиента об отказе от правил банковской тайны, поскольку они будут сохраняться — в некоторых случаях, возможно, даже в большей степени, чем раньше, — когда банк учреждает соответствующую структуру безопасности для использования облачных сервисов.
Контроль аутсорсинга Согласно Циркуляру FINMA по аутсорсингу (в частности, примечаниям 24 и 25), банк должен постоянно отслеживать и оценивать услуги поставщика аутсорсинга. , и с этой целью должны установить договорные условия для необходимых прав на инспекцию, инструктаж и контроль.
Учитывая размер и сложность гипермасштабируемого облачного провайдера, типичный швейцарский банк не может выполнять эту обязанность по надзору без профессиональной поддержки со стороны доверенной третьей стороны, которая имеет глобальное присутствие, экспертные навыки и возможности для выполнения такой задачи. Для создания экономически целесообразной системы проверки подлинности доверенная третья сторона будет в значительной степени полагаться на работу по проверке достоверности информации, выполненную независимыми консультантами равной квалификации поставщика аутсорсинговых услуг. Руководящие принципы SBA Cloud поддерживают такой подход к «проверкам пула» или «косвенным проверкам» и выражают мнение о том, что необходимость выездных проверок, проводимых самим банком, ограничивается проверкой мер физической безопасности.
Поставщики гипермасштабируемых облачных услуг полностью осведомлены об ожиданиях клиентов с (швейцарской) банковской лицензией и предложат проактивную поддержку потенциальному клиенту в создании такой нормативно-совместимой структуры. То же самое относится и к поставщикам гарантий с необходимым глобальным масштабом и опытом, чтобы предлагать банкам доверенные сторонние услуги.
Справедливые опасения швейцарских банков, которые сталкиваются с проблемой обеспечения надлежащего надзора за Поэтому при передаче своих бизнес-процессов глобальным гипермасштабируемым поставщикам облачных услуг их можно смягчить, полагаясь на квалифицированную доверенную третью сторону, обладающую навыками и возможностями для обеспечения необходимого уровня гарантии.
С юридической точки зрения перенос банковской деятельности в облако в целом приемлем. Однако для того, чтобы начать свое «облачное путешествие», рекомендуется рассмотреть дополнительные аспекты. В нашем следующем блоге мы расскажем о двух глобальных нормативных аспектах GDPR и Закона США об облачных технологиях.