Banking går til skyen - Vigtigste schweiziske regler at overveje

Skyen er ikke længere fremtiden eller en ny trend:den er nutiden og er et kritisk værktøj for finansielle institutioner, hvis de skal forblive konkurrencedygtige i nutidens udfordrende forretningsmiljø. I vores nyligt udgivne globale papir "Getting Cloud Right - How can banks stay on the curve ?” vi forklarede nøglekomponenterne i en vellykket 'skyrejse' og de vigtigste skridt, der skal tages.

I denne blog giver vi nogle dybere indsigt i schweiziske bankrelaterede regler om bankhemmelighed og tilsyn med outsourcing .

Schweizisk bankhemmelighed

De schweiziske bankers omhu med hensyn til kundernes privatliv er et af de mest kendte træk ved den schweiziske økonomi. Krænkelse af bankhemmeligheden er en forbrydelse i Schweiz; derfor skal schweiziske banker nøje overveje potentielle trusler mod hemmeligholdelse fra brugen af ​​cloud-tjenester.

De mest relevante regler for en banks pligter på området bankhemmelighed er:

  1. 47 i bankloven, hvoraf det principielt fremgår, at oplysningen af en hemmelighed af direktører, medarbejdere eller andre betroede personer er en forbrydelse;
  2. 398 stk. 1 i forbindelse med art. 321a para 4 i Code of Obligations, som kræver, at banker i et kontraktforhold med en kunde behandler alle hemmeligheder som fortrolige;
  3. 7 i databeskyttelsesloven, der fastsætter standarderne for beskyttelse af personoplysninger;
  4. Bilag 3 til FINMA-cirkulære 2008/21, der skitserer FINMA's forventninger til schweiziske bankers beskyttelse af kundeidentifikationsdata.

Essensen af ​​disse regler er, at en banks brug af cloud-tjenester kan overholde schweizisk bankhemmelighed, forudsat at banken nøje vurderer de tekniske, organisatoriske og kontraktmæssige rammer, der er på plads før brug af cloud-tjenester til opbevaring og behandling af kundedata. Især, som det er forklaret i detaljer i SBA Cloud-retningslinjerne, er der ikke behov for at bede kunden om dispensation fra bankhemmelighedsreglerne, da disse vil blive opretholdt – i nogle tilfælde muligvis endnu mere end tidligere – når en bank etablerer en passende sikkerhedsramme for brugen af ​​cloud-tjenester.

Supervision af outsourcing

I henhold til FINMA Outsourcing Circular (især note 24 og 25) skal en bank kontinuerligt overvåge og vurdere en outsourcingudbyders tjenester , og skal til dette formål etablere kontraktlige vilkår for de nødvendige inspektions-, instruktions- og kontrolrettigheder.

I betragtning af størrelsen og kompleksiteten af ​​en hyperskala cloududbyder kan en typisk schweizisk bank ikke udføre denne tilsynspligt uden professionel støtte fra en betroet tredjepart, der har den globale tilstedeværelse, ekspertevner og kapacitet til at udføre en sådan opgave. For at etablere en økonomisk gennemførlig forsikringsramme vil en betroet tredjepart selv i vid udstrækning stole på forsikringsarbejde, der er blevet udført af lige kvalificerede uafhængige rådgivere fra outsourcing-tjenesteudbyderen SBA Cloud-retningslinjerne understøtter denne tilgang med "puljerevisioner" eller "indirekte revisioner" og udtrykker det synspunkt, at behovet for revisioner på stedet udført af banken selv er begrænset til inspektion af fysiske sikkerhedsforanstaltninger.

Udbydere af skytjenester i hyperskala er fuldt ud klar over forventningerne hos kunder med en (schweizisk) banklicens og vil tilbyde proaktiv støtte til en potentiel kunde med at etablere en sådan ramme, der overholder lovgivningen. Det samme gælder for forsikringsudbydere med den nødvendige globale skala og erfaring til at tilbyde betroede tredjepartstjenester til banker.



Schweiziske bankers berettigede bekymringer, der står over for udfordringen med at indføre passende tilsyn i plads, når de outsourcer deres forretningsprocesser til globale skyudbydere i hyperskala, kan derfor afbødes ved at stole på en kvalificeret betroet tredjepart, der har kompetencerne og kapaciteten til at levere det nødvendige niveau af sikkerhed.

Fra et juridisk perspektiv er en overførsel af bankaktiviteter til skyen generelt acceptabel. For at starte din 'skyrejse' er det dog tilrådeligt at overveje yderligere aspekter. I vores næste blog vil vi give  indsigt i de to globalt drevne regulatoriske aspekter af GDPR og den amerikanske Cloud Act.


bankvirksomhed
  1. valutamarkedet
  2. bankvirksomhed
  3. Valutatransaktioner