クラウドはもはや未来でも新しいトレンドでもありません。クラウドは現在であり、金融機関が今日の困難なビジネス環境で競争力を維持するための重要なツールです。最近公開されたグローバルペーパー「クラウドを正しくする–銀行はどのようにして時代の先を行くことができるか ?」 「クラウドジャーニー」を成功させるための重要な要素と、実行する必要のある主要な手順について説明しました。
このブログでは、銀行秘密に関するスイスの銀行関連規制について、より深い洞察を提供します。 およびアウトソーシングの監督 。
顧客のプライバシーに関するスイスの銀行の勤勉さは、スイス経済の最も有名な特徴の1つです。銀行秘密の侵害はスイスでは犯罪です。したがって、スイスの銀行は、クラウドサービスの使用による機密性に対する潜在的な脅威を慎重に検討する必要があります。
銀行秘密の分野における銀行の義務を概説する最も関連性のある規制は次のとおりです。
これらの規制の本質は、銀行が導入された技術的、組織的、契約上の枠組みを慎重に評価することを条件として、銀行によるクラウドサービスの使用がスイスの銀行秘密に準拠できることです 顧客データの保存と処理にクラウドサービスを使用する前。特に、SBAクラウドガイドラインで詳細に説明されているように、銀行秘密規則は銀行が設立されたときに維持されるため、場合によっては以前よりも維持されるため、クライアントに銀行秘密規則の免除を求める必要はありません。クラウドサービスを使用するための適切なセキュリティフレームワーク。
FINMAアウトソーシングサーキュラー(特に注24および25)によると、銀行はアウトソーシングプロバイダーのサービスを継続的に監視および評価する必要があります。 、およびこの目的のために、必要な検査、指示、および管理の権利に関する契約条件を確立する必要があります。
ハイパースケールクラウドプロバイダーの規模と複雑さを考えると、典型的なスイスの銀行は、グローバルな存在感、専門的なスキル、およびそのようなタスクを実行する能力を備えた信頼できるサードパーティからの専門的なサポートなしに、この監督義務を果たすことはできません。経済的に実現可能な保証フレームワークを確立するために、信頼できるサードパーティ自体が、アウトソーシングサービスプロバイダーの同等の資格を持つ独立したアドバイザーによって実行された保証作業に大きく依存します。 SBAクラウドガイドラインは、この「プール監査」または「間接監査」のアプローチをサポートしており、銀行自体が実施するオンサイト監査の必要性は、物理的セキュリティ対策の検査に限定されているという見解を示しています。
ハイパースケールクラウドサービスのプロバイダーは、(スイスの)銀行免許を持つクライアントの期待を十分に認識しており、そのような規制に準拠したフレームワークを確立する際に、見込み顧客にプロアクティブなサポートを提供します。同じことが、銀行に信頼できるサードパーティサービスを提供するために必要なグローバル規模と経験を持つ保証プロバイダーにも当てはまります。
適切な監督を行うという課題に直面している、スイスの銀行の正当な懸念したがって、ビジネスプロセスをグローバルなハイパースケールクラウドプロバイダーにアウトソーシングする場合は、必要なレベルの保証を提供するスキルと能力を備えた、資格のある信頼できるサードパーティに依存することで軽減できます。
法的な観点から、銀行業務のクラウドへの転送は一般的に許容されます。ただし、「クラウドジャーニー」を開始するには、さらに別の側面を検討することをお勧めします。次のブログでは、GDPRと米国クラウド法の2つのグローバルな規制の側面についての洞察を提供します。