В нашей недавно опубликованной глобальной статье «Правильное использование облачных технологий — как банки могут оставаться впереди кривой ?» мы объяснили ключевые компоненты успешного перехода к облачным технологиям и основные шаги, которые необходимо предпринять.
В этом блоге мы даем некоторые сведения о международных правилах, которые могут повлиять на использование облачных сервисов в Швейцарии — США. ОБЛАЧНАЯ АКТИВНОСТЬ и Общее положение о защите данных (GDPR). .

Закон США об ОБЛАКАХ

В США принят закон под названием CLOUD (Разъяснение законного использования данных за рубежом). который требует, чтобы поставщики облачных хранилищ США предоставляли государственным органам доступ по запросу к хранимым данным где бы в мире он ни хранился, даже в Швейцарии. Теоретически это позволило бы властям США запрашивать извлечение данных из швейцарского филиала группы, зарегистрированной в США, даже если данные хранятся в Швейцарии. Однако дочерняя компания американской группы, которая выполняет такой запрос без учета местных законов, запрещающих передачу данных иностранным властям без разрешения компетентного швейцарского суда или швейцарского органа, скорее всего, нарушит швейцарское законодательство. данные принадлежат банку , а не поставщику облачных услуг, а юридическое лицо, зарегистрированное в Швейцарии, должно в первую очередь соблюдать местное законодательство, а не распоряжения, изданные органами власти, компетентными в отношении иностранной головной организации.

Само собой разумеется, что швейцарский банк может полагаться только на поставщиков облачных услуг, которые полностью соблюдают применимые швейцарские законы (или законы юрисдикции, в которой хранятся данные, в соответствии с договорными положениями). Поэтому руководство SBA Cloud рекомендует внедрить согласованную процедуру, согласованную поставщиком облачных услуг и банком, в случае запросов от иностранных властей.

Чтобы предоставить некоторые необходимые разъяснения в отношении закона CLOUD, Министерство юстиции США (DoJ) опубликовало в апреле 2019 года информационный документ. «Содействие общественной безопасности, конфиденциальности и верховенству закона во всем мире:цель и влияние закона CLOUD». В официальном документе поясняется, что Закон CLOUD был принят для устранения коллизии законов. которые влияют на договоры о взаимной правовой помощи и препятствуют эффективному доступу к доказательствам, хранящимся в облаке, по делам о серьезных преступлениях, но при этом уважают национальный суверенитет и конфиденциальность личных данных .

Для достижения этой цели Закон CLOUD разрешает правительству Соединенных Штатов заключать так называемые «Исполнительные соглашения по Закону CLOUD. ” с иностранными юрисдикциями, в соответствии с которым каждая страна устраняет барьеры, возникающие из-за коллизии законов, которые создали бы препятствие для соблюдения вынесенных иностранными судами постановлений для получения доказательств из данных, размещенных в облаке. Особый интерес для швейцарских и европейских компаний представляет объяснение в официальном документе о юрисдикции США в отношении иностранных компаний. В официальном документе утверждается, что юрисдикция США в отношении иностранных компаний не была расширена законом CLOUD. «То, имеет ли иностранная компания, расположенная за пределами Соединенных Штатов, но предоставляющая услуги в Соединенных Штатах, достаточно контактов с Соединенными Штатами для того, чтобы подпадать под юрисдикцию США, является конкретным запросом, касающимся характера, количества и качества контакты компании с Соединенными Штатами».

Тот факт, что Министерство юстиции предприняло значительные усилия, чтобы объяснить причины, лежащие в основе закона CLOUD, и подчеркнуть, что юрисдикция США никоим образом не расширяется им, является важным сигналом. Это показывает, что часто высказывалось мнение, что CLOUD Закон, запрещающий банкам пользоваться услугами облачного провайдера со штаб-квартирой в США, неверен. В то время как международная юридическая помощь в делах о преступлениях, безусловно, будет облегчена Законом CLOUD, все еще существует требование о подозрении в серьезном преступлении и судебном решении, прежде чем власти США смогут получить данные в соответствии с Законом CLOUD. Это означает, что область законного беспокойства по поводу закона CLOUD довольно узка и его следует рассматривать как любой другой аспект при надлежащей оценке трансграничного риска.

В любом случае банк, как правило, может предотвратить несанкционированный доступ к данным клиентов с помощью технических средств. например, анонимизация, псевдонимизация или шифрование данных . Эти меры в сочетании с правовой и договорной базой означают, что риск, связанный с запросами данных иностранными властями, т.е. в соответствии с Законом США о облачных технологиях, можно смягчить. Кроме того, официальный запрос административной помощи от соответствующих органов является обязательным в любом случае.

Общее положение о защите данных (GDPR)

Руководство Европейского совета по защите данных 3/2018 разъясняет сферу применения статьи 3 GDPR, утверждая, что если контролер данных за пределами территориальной сферы действия GDPR использует процессор данных в ЕС, контролер данных не подпадает под действие GDPR. Однако GDPR будет применяться к обработчику данных в той мере, в какой он обрабатывает персональные данные в рамках своих услуг.

Это означает, что требование о внедрении GDPR не распространяется на швейцарский банк (или любой другой банк, не являющийся резидентом ЕС) только потому, что он использует поставщика облачных услуг, зарегистрированного в ЕС. . С другой стороны, многие Швейцарские банки по-прежнему подпадают под действие GDPR, потому что они обслуживают клиентов, проживающих в ЕС.

В этом контексте стоит упомянуть, что 25 февраля 2019 года Европейское банковское управление (EBA) опубликовало свои Пересмотренные рекомендации по механизмам аутсорсинга с целью гармонизации структуры аутсорсинга для всех финансовых учреждений в рамках полномочий EBA. Затронутые банки должны будут завершить все договоренности об аутсорсинге в соответствии с этим пересмотренным руководством до 31 декабря 2021 года.

В Руководстве EBA говорится, что соглашения об аутсорсинге с поставщиками облачных услуг должны обеспечивать следующее:

Личные данные надежно защищены конфиденциальность, а также то, что облачные инфраструктуры и услуги, переданные на аутсорсинг, соответствуют международным стандартам безопасности и защиты данных;

Непрерывность бизнеса и планы на случай непредвиденных обстоятельств были разработаны. Как следствие, некоторые поставщики облачных услуг могут даже считаться критическими или важными в соответствии с PSD2 или MiFID II;

Разработаны соответствующие механизмы отслеживания , направленный на запись технических и хозяйственных операций. Поскольку производительность и качество внешних облачных сервисов, а также уровень риска во многом зависят от способности поставщиков облачных сервисов защищать конфиденциальность, целостность и доступность данных, а их систем обрабатывать, передавать и хранить такие данные, отслеживание операций также важны для обнаружения и предотвращения кибератак; и

Директивы ЕС, национальное законодательство и договорные обязательства соблюдаются. Несмотря на пересмотренные правила, учреждения должны продолжать соблюдать местные правила. в которой присутствует внешняя облачная инфраструктура или услуга, а также действующее законодательство страны происхождения поставщика облачных услуг.

Кроме того, поставщики облачных услуг должны уведомлять аутсорсинговые организации о передаче критически важных или важных функций на аутсорсинг сторонним поставщикам. Кроме того, если речь идет о личных данных, необходимо получить согласие, прежде чем приступать к субаутсорсингу, в соответствии с правилами GDPR.

Управление является ключевым моментом, рассматриваемым в Пересмотренных руководящих принципах. Это должно быть структурировано таким образом, чтобы у банка была целостная общеорганизационная структура, позволяющая им принимать обоснованные управленческие решения в отношении управления рисками, включая меры в отношении кибер-рисков. Такая структура управления рисками должна включать:

1. Ответственность и подотчетность руководства;
2. Утвержденные политики аутсорсинга в соответствии с Руководством EBA по внутреннему управлению;
3. Оценка, выявление и управление конфликтами интересов;
4. Создание и принятие планов обеспечения непрерывности бизнеса;
5. Внутренний аудит переданных на аутсорсинг функций; и
6. Обновленный реестр информации обо всех соглашениях об аутсорсинге, который в случае облачных соглашений должен отражать тип облачных услуг и модели развертывания (например, общедоступные, частные, гибридные, общественные), а также конкретный характер и местоположение данные, которые будут обрабатываться и храниться.

С пересмотренными рекомендациями EBA по аутсорсингу , Европейское банковское управление предприняло важный шаг, чтобы облегчить финансовым учреждениям ведение бизнеса в Европейском союзе. . Даже если швейцарский банк придет к выводу, что эти Рекомендации в настоящее время неприменимы, он может предоставить дополнительные полезные рекомендации и идеи по сравнению с тем, что уже доступно в нормативно-правовой базе Швейцарии.

В заключение, соблюдение изложенных здесь правил означает, что в целом перенос банковских услуг в облако разрешен и даже поддерживается контролирующими органами .

В следующем блоге мы предоставим систему критериев принятия решений при выборе подходящего поставщика облачных услуг в Швейцарии.