Banking går til cloud – internationale regler


I vores nyligt offentliggjorte globale papir "Getting Cloud Right – How can banks stay a front af kurven ?” vi forklarede nøglekomponenterne i en vellykket cloudrejse og de store skridt, der skal tages.
I denne blog giver vi nogle indsigter i internationale regler, der kan påvirke brugen af ​​cloudtjenester i Schweiz – USA CLOUD Act og General Data Protection Regulation (GDPR) .

The US CLOUD Act

USA er kommet med en lov kaldet CLOUD (Clarifying Lawful Overseas Use of Data) Act der kræver, at amerikanske cloud storage-udbydere giver offentlige myndigheder adgang efter anmodning til lagrede data uanset hvor i verden den opbevares, selv inde i Schweiz. I teorien ville dette gøre det muligt for amerikanske myndigheder at anmode om udtræk af data fra det schweiziske datterselskab af en amerikansk hjemmehørende koncern, selvom dataene er lagret i Schweiz. Et datterselskab af en amerikansk-baseret koncern, der efterkommer en sådan anmodning uden hensyntagen til de lokale love, der forbyder udlevering af data til udenlandske myndigheder uden tilladelse fra en kompetent schweizisk domstol eller schweizisk myndighed, vil højst sandsynligt overtræde schweizisk lov. dataene tilhører banken , ikke til cloud-udbyderen, og en juridisk enhed med hjemsted i Schweiz skal først og fremmest overholde lokal lovgivning og ikke påbud udstedt af myndigheder med kompetence over en udenlandsk moderenhed.

Det siger sig selv, at en schweizisk bank kun kan stole på cloud-tjenesteudbydere, der fuldt ud overholder de gældende schweiziske love (eller lovene i den jurisdiktion, hvor dataene opbevares, i overensstemmelse med de kontraktmæssige bestemmelser). SBA Cloud Guidelines anbefaler derfor at indføre en koordineret procedure, som er aftalt mellem cloududbyderen og banken i tilfælde af anmodninger fra udenlandske myndigheder.

For at give en nødvendig afklaring af begrundelsen bag CLOUD-loven offentliggjorde US Department of Justice (DoJ) i april 2019 en hvidbog "Fremme af offentlig sikkerhed, privatliv og retsstaten rundt om i verden:Formålet med og virkningen af ​​CLOUD-loven". Hvidbogen forklarer, at CLOUD-loven blev vedtaget for at rette op på lovkonflikter som påvirker traktater om gensidig juridisk bistand og hindrer effektiv adgang til bevismateriale, der er hostet på skyen i tilfælde af alvorlig kriminalitet, dog samtidigmed respekt for national suverænitet og privatlivets fred .

For at opnå dette formål bemyndiger CLOUD Act USA's regering til at indgå såkaldte "CLOUD Act Executive Agreements ” med udenlandske jurisdiktioner, hvorefter hvert land fjerner barrierer, der opstår fra en lovkonflikt, der ville skabe en hindring for overholdelse af udenlandsk udstedte retskendelser for at få beviser fra data, der er hostet på skyen. Af særlig interesse for schweiziske og europæiske virksomheder er forklaringen i hvidbogen om amerikansk jurisdiktion over udenlandske virksomheder. Hvidbogen insisterer på, at USA's jurisdiktion over udenlandske virksomheder ikke er blevet udvidet af CLOUD Act. "Hvorvidt en udenlandsk virksomhed beliggende uden for USA, men som leverer tjenester i USA, har tilstrækkelig kontakt med USA til at være underlagt amerikansk jurisdiktion, er en faktaspecifik undersøgelse, der drejer sig om arten, kvantiteten og kvaliteten af virksomhedens kontakter med USA.”

Det faktum, at DoJ gjorde en betydelig indsats for at forklare ræsonnementet bag CLOUD Act, og fremhæve, at USA's jurisdiktion på ingen måde udvides af den, er et vigtigt signal. Det viser, at den holdning, der ofte er udtrykt, at CLOUD Loven gør det umuligt for banker at bruge tjenesterne fra en skyudbyder med hovedkontor i USA, er ikke korrekt. Mens international juridisk bistand i sager om kriminalitet helt sikkert vil blive lettet af CLOUD-loven, er der stadig et krav om en mistanke om en alvorlig forbrydelse og en retsafgørelse, før amerikanske myndigheder kan nå ud efter data i henhold til CLOUD-loven. Det betyder, at området for legitim bekymring over CLOUD Act er ret snævert og bør betragtes som ethvert andet aspekt i en ordentlig grænseoverskridende risikovurdering.

Under alle omstændigheder er en bank generelt i stand til at forhindre uautoriseret adgang til kundedata ved at bruge tekniske foranstaltninger såsom anonymisering, pseudonymisering eller kryptering af data . Disse tiltag betyder sammen med de juridiske og kontraktmæssige rammer, at risikoen fra udenlandske myndigheders dataanmodninger, f.eks. baseret på US CLOUD Act, kan afbødes. Endvidere er en officiel anmodning om administrativ bistand fra de involverede myndigheder under alle omstændigheder obligatorisk.

Generel databeskyttelsesforordning (GDPR)

European Data Protection Board's Guideline 3/2018 præciserer anvendelsesområdet for artikel 3 i GDPR ved at fastslå, at hvis en dataansvarlig uden for GDPR's territoriale anvendelsesområde anvender en databehandler i EU, er den dataansvarlige ikke omfattet af GDPR. GDPR vil dog gælde for databehandleren i det omfang denne behandler personoplysninger som en del af sine tjenester.

Dette betyder, at kravet om at implementere GDPR ikke omfatter en schweizisk bank (eller nogen anden ikke-EU-hjemmehørende bank), blot fordi den bruger en EU-domiceret cloud-tjenesteudbyder . På den anden side, mange Schweiziske banker falder stadig ind under GDPR, fordi de betjener kunder bosat i EU.

I denne sammenhæng er det værd at nævne, at Den Europæiske Banktilsynsmyndighed (EBA) den 25. februar 2019 offentliggjorde sine Reviderede retningslinjer for outsourcing-arrangementer, med det formål at harmonisere outsourcing-rammen for alle finansielle institutioner inden for rammerne af EBA’s mandat. Berørte banker skal gennemføre alle outsourcing-ordninger i overensstemmelse med disse reviderede retningslinjer inden den 31. december 2021.

EBA-retningslinjerne angiver, at outsourcing-aftaler med udbydere af cloudtjenester skal sikre, at:

Personlige data er tilstrækkeligt beskyttet og holdes fortrolige, og at outsourcede cloud-infrastrukturer og -tjenester opfylder internationalt accepterede sikkerheds- og databeskyttelsesstandarder;

Forretningskontinuitet og beredskabsplaner er blevet udtænkt. Som følge heraf kan nogle cloud-tjenesteudbydere endda blive anset for at være kritiske eller vigtige i overensstemmelse med PSD2 eller MiFID II;

Der er indført passende sporbarhedsmekanismer , rettet mod registrering af tekniske og forretningsmæssige operationer. Da ydeevnen og kvaliteten af ​​de outsourcede cloud-tjenester, såvel som risikoniveauet, i høj grad afhænger af cloud-tjenesteudbydernes evne til at beskytte fortroligheden, integriteten og tilgængeligheden af ​​data og deres systemer til at behandle, overføre og opbevare sådanne data, sporingsoperationer er også vigtige for at opdage og forhindre cyberangreb; og

EU-direktiver, nationale love og kontraktlige forpligtelser overholdes. På trods af de reviderede retningslinjer bør institutioner fortsætte med at respektere lokale regler hvori den outsourcede cloud-infrastruktur eller -tjeneste har et fodaftryk, samt den gældende lovgivning i cloud-tjenesteudbyderens oprindelsesland.

Derudover skal cloud-tjenesteudbydere underrette outsourcing-institutioner, når de sub-outsourcing kritisk eller vigtig funktion til tredjepartsudbydere. Desuden, hvis dette involverer personlige data, bør samtykke indhentes, før du fortsætter med sub-outsourcing, i overensstemmelse med GDPR-reglerne.

Governance er et nøglepunkt, der behandles af de reviderede retningslinjer. Dette bør struktureres, så bankerne har en helhedsorienteret, institutionsdækkende ramme, der sætter dem i stand til at træffe sunde ledelsesbeslutninger vedrørende risikostyring, herunder tiltag med hensyn til cyberrisiko. En sådan risikostyringsramme bør omfatte:

  1. Ledelsens ansvar og ansvarlighed;
  2. Godkendte outsourcingpolitikker i overensstemmelse med EBA's retningslinjer for intern styring;
  3. Vurdering, identifikation og håndtering af interessekonflikter;
  4. Oprettelse og vedtagelse af forretningskontinuitetsplaner;
  5. Intern revision af outsourcede funktioner; og
  6. Et opdateret register over oplysninger om alle outsourcing-arrangementer, som i tilfælde af cloud-arrangementer bør afspejle typen af ​​cloud-tjeneste og implementeringsmodeller (f.eks. offentlig, privat, hybrid, community), samt den specifikke karakter og placering af de data, der vil blive behandlet og gemt.

Med EBA's reviderede retningslinjer for outsourcing-arrangementer , har Den Europæiske Banktilsynsmyndighed taget et vigtigt skridt i retning af at gøre det lettere for finansielle institutioner at drive forretning i EU . Selvom en schweizisk bank kommer til den konklusion, at disse retningslinjer ikke er gældende for øjeblikket, kan de give yderligere, nyttig vejledning og indsigt i, hvad der allerede er tilgængeligt i den schweiziske lovgivningsramme.

Som konklusion betyder overholdelse af de regler, der er skitseret her, genereltet skift af banktjenester til skyen er tilladt og endda understøttet af de kontrollerende myndigheder .

I den næste blog vil vi give en ramme af beslutningskriterier, når det kommer til at vælge den passende cloud-tjenesteudbyder i Schweiz.


bankvirksomhed
  1. valutamarkedet
  2. bankvirksomhed
  3. Valutatransaktioner