Швейцарская служба по надзору за финансовыми рынками (FINMA)

Сведения о FINMA

Служба по надзору за финансовыми рынками (Eidgenössische Finanzmarktaufsicht, FINMA) — это регулятор независимых финансовых рынков в Швейцарии, ответственный за эффективную работу швейцарских финансовых рынков. Он осуществляет рациональный контроль над банками, страховыми компаниями, биржами, дилерами ценных бумаг и другими финансовыми учреждениями.

FINMA опубликовал циркуляр 2023/1 Операционные риски и устойчивость для определения требований, которые банки, дилеры ценных бумаг и страховые компании должны соблюдать, когда они передают поставщику услуг любые функции, важные для деловой деятельности компании. Любая компания, передающая на аутсорсинг свои бизнес-операции несет такую же ответственность перед FINMA, как если бы она выполняла эти операции самостоятельно.

Майкрософт и FINMA

Чтобы предоставить инструкции финансовым учреждениям Швейцарии в отношении аутсорсинга бизнес-функций в облаке, корпорация Майкрософт опубликовала контрольный список по соответствию требованиям для финансовых учреждений в Швейцарии. Проверив и завершив контрольный список, финансовые организации могут внедрить облачные службы Майкрософт для бизнеса с уверенностью в том, что они соответствуют применимым нормативным требованиям.

Если швейцарские финансовые учреждения передают на аутсорсинг бизнес-действия, они должны соблюдать требования швейцарской службы по надзору за финансовыми рынками (FINMA) и знать о других требованиях и руководствах, включенных в швейцарский закон о банках, швейцарский декрет о банках и швейцарский закон по контролю за страхованием.

Контрольный список Майкрософт помогает швейцарским финансовым организациям проводить комплексную оценку облачных служб Майкрософт и включает следующее:

  • Обзор нормативно-правовой среды для соответствующего контекста.
  • Контрольный список, в котором определены проблемы, требующие решения, и сопоставлены службы Microsoft Azure, Microsoft Dynamics 365 и Microsoft 365 с этими нормативными обязательствами. Контрольный список можно использовать в качестве средства оценки соответствия нормативным требованиям и для предоставления внутренней структуры при регистрации соответствия требованиям, а также для помощи клиентам в проведении оценки рисков в облачных службах Майкрософт для бизнеса.

Затрагиваемые облачные платформы и службы Майкрософт

Методика реализации

Вопросы и ответы

Требуется ли утверждение контролирующих органов?

Нет. Использование общедоступного облака разрешено без утверждения FINMA при условии постоянного соответствия требованиям, указанным в нормативах и руководствах, представленных выше.

Существуют ли обязательные условия, которые требуется включать в договор с поставщиком облачных служб?

Да. В части 2 контрольного списка соответствия требованиям мы сопоставили эти условия с разделами контрактных документов Майкрософт, в которых они рассматриваются. Кроме того, федеральный уполномоченный Швейцарии по защите данных и информации (FDPIC) предоставляет пример договора для трансграничного аутсорсинга обработки данных. Это соответствует стандартным договорным условиям (другое название — типовые статьи ЕС) в условиях использования веб-служб Майкрософт.

Ресурсы