Trong bài báo toàn cầu được xuất bản gần đây của chúng tôi “ Bắt kịp đám mây - Làm thế nào để các ngân hàng luôn dẫn đầu của đường cong ? ” chúng tôi đã giải thích các thành phần chính của hành trình thành công trên đám mây và các bước chính cần phải thực hiện.
Trong blog này, chúng tôi đưa ra một số thông tin chi tiết về các quy định quốc tế có thể ảnh hưởng đến việc sử dụng dịch vụ đám mây ở Thụy Sĩ - Hoa Kỳ Đạo luật CLOUD và Quy định chung về bảo vệ dữ liệu (GDPR) .

Đạo luật CLOUD của Hoa Kỳ

Hoa Kỳ đã đưa ra một đạo luật có tên là Đạo luật CLOUD (Làm rõ việc sử dụng dữ liệu hợp pháp ở nước ngoài) yêu cầu các nhà cung cấp dịch vụ lưu trữ đám mây của Hoa Kỳ cấp cho các cơ quan chính phủ quyền truy cập theo yêu cầu đối với dữ liệu được lưu trữ bất cứ nơi nào trên thế giới nó được lưu trữ, ngay cả bên trong Thụy Sĩ. Về lý thuyết, điều này sẽ cho phép các nhà chức trách Hoa Kỳ yêu cầu trích xuất dữ liệu từ công ty con Thụy Sĩ của một tập đoàn có trụ sở tại Hoa Kỳ, ngay cả khi dữ liệu được lưu trữ ở Thụy Sĩ. Tuy nhiên, một công ty con của một tập đoàn có trụ sở tại Hoa Kỳ tuân thủ yêu cầu như vậy mà không quan tâm đến luật pháp địa phương nghiêm cấm việc chuyển giao dữ liệu cho cơ quan nước ngoài mà không có sự cho phép của tòa án Thụy Sĩ có thẩm quyền hoặc cơ quan có thẩm quyền của Thụy Sĩ rất có thể sẽ vi phạm luật pháp Thụy Sĩ. Dữ liệu thuộc về ngân hàng , không phải nhà cung cấp dịch vụ đám mây và một pháp nhân đặt trụ sở tại Thụy Sĩ trước hết phải tuân thủ luật pháp địa phương chứ không phải theo lệnh của cơ quan có thẩm quyền đối với pháp nhân nước ngoài.

Không cần phải nói rằng một ngân hàng Thụy Sĩ chỉ có thể dựa vào các nhà cung cấp dịch vụ đám mây tuân thủ hoàn toàn các luật hiện hành của Thụy Sĩ (hoặc luật của cơ quan tài phán nơi dữ liệu được lưu trữ, phù hợp với các điều khoản trong hợp đồng). Do đó, Nguyên tắc về đám mây của SBA khuyến nghị đưa ra một quy trình phối hợp được nhà cung cấp đám mây và ngân hàng đồng ý trong trường hợp có yêu cầu từ các cơ quan nước ngoài.

Để cung cấp một số thông tin cần thiết làm rõ lý do đằng sau Đạo luật CLOUD, Bộ Tư pháp Hoa Kỳ (DoJ) vào tháng 4 năm 2019 đã xuất bản sách trắng “Thúc đẩy An toàn Công cộng, Quyền riêng tư và Quy tắc của Pháp luật trên toàn thế giới:Mục đích và Tác động của Đạo luật CLOUD”. Sách trắng giải thích rằng Đạo luật CLOUD được ban hành để khắc phục xung đột pháp luật ảnh hưởng đến các Hiệp ước tương trợ pháp lý và cản trở quyền truy cập hiệu quả vào bằng chứng được lưu trữ trên đám mây trong các trường hợp phạm tội nghiêm trọng, tuy nhiên trong khi vẫn tôn trọng chủ quyền quốc gia và quyền riêng tư dữ liệu cá nhân .

Để đạt được mục đích này, Đạo luật CLOUD cho phép chính phủ Hoa Kỳ ký kết cái gọi là “ Thỏa thuận điều hành Đạo luật CLOUD ”Với các khu vực tài phán nước ngoài, theo đó mỗi quốc gia loại bỏ các rào cản phát sinh từ xung đột pháp luật có thể gây trở ngại cho việc tuân thủ lệnh tòa do nước ngoài ban hành để thu thập bằng chứng từ dữ liệu được lưu trữ trên đám mây. Đặc biệt quan tâm đến các công ty Thụy Sĩ và châu Âu là giải thích trong sách trắng về quyền tài phán của Hoa Kỳ đối với các công ty nước ngoài. Sách trắng khẳng định rằng quyền tài phán của Hoa Kỳ đối với các công ty nước ngoài đã không được mở rộng bởi Đạo luật CLOUD. “Liệu một công ty nước ngoài có trụ sở bên ngoài Hoa Kỳ nhưng cung cấp dịch vụ tại Hoa Kỳ có đủ liên hệ với Hoa Kỳ để tuân theo quyền tài phán của Hoa Kỳ hay không là một cuộc điều tra cụ thể về bản chất, số lượng và chất lượng của liên hệ của công ty với Hoa Kỳ. ”

Việc DoJ đã nỗ lực đáng kể để giải thích lý do đằng sau Đạo luật CLOUD và nhấn mạnh rằng quyền tài phán của Hoa Kỳ không hề được mở rộng bởi nó, là một tín hiệu quan trọng. Nó cho thấy rằng quan điểm thường được bày tỏ, rằng CLOUD Đạo luật khiến các ngân hàng không thể sử dụng dịch vụ của nhà cung cấp dịch vụ đám mây có trụ sở tại Hoa Kỳ là không đúng. Mặc dù hỗ trợ pháp lý quốc tế trong các trường hợp phạm tội chắc chắn sẽ được tạo điều kiện thuận lợi nhất bởi Đạo luật CLOUD, nhưng vẫn có yêu cầu đối với nghi phạm phạm tội nghiêm trọng và quyết định tư pháp trước khi các cơ quan chức năng của Hoa Kỳ có thể tiếp cận để cung cấp dữ liệu theo Đạo luật CLOUD. Điều này có nghĩa là khu vực cho mối quan tâm chính đáng về Đạo luật CLOUD khá hẹp và cần được coi như bất kỳ khía cạnh nào khác trong một đánh giá rủi ro xuyên biên giới thích hợp.

Trong mọi trường hợp, ngân hàng thường có thể ngăn chặn truy cập trái phép vào dữ liệu khách hàng bằng cách sử dụng các biện pháp kỹ thuật chẳng hạn như ẩn danh, bút danh hoặc mã hóa dữ liệu . Các biện pháp này cùng với khung pháp lý và hợp đồng có nghĩa là rủi ro từ các yêu cầu dữ liệu của cơ quan nước ngoài, ví dụ:dựa trên Đạo luật CLOUD của Hoa Kỳ, có thể được giảm nhẹ. Hơn nữa, yêu cầu chính thức về hỗ trợ hành chính từ các cơ quan liên quan là bắt buộc trong mọi trường hợp.

Quy định chung về bảo vệ dữ liệu (GDPR)

Hướng dẫn tháng 3/2018 của Ban bảo vệ dữ liệu châu Âu làm rõ phạm vi Điều 3 của GDPR bằng cách nêu rõ rằng nếu bộ kiểm soát dữ liệu bên ngoài phạm vi lãnh thổ của GDPR sử dụng bộ xử lý dữ liệu ở Liên minh Châu Âu, bộ kiểm soát dữ liệu không nằm trong phạm vi của GDPR. Tuy nhiên, GDPR sẽ áp dụng cho bộ xử lý dữ liệu trong phạm vi nó đang xử lý dữ liệu cá nhân như một phần của các dịch vụ của mình.

Điều này có nghĩa là yêu cầu triển khai GDPR không áp dụng đối với ngân hàng Thụy Sĩ (hoặc bất kỳ ngân hàng cư trú nào khác không thuộc Liên minh Châu Âu) chỉ vì ngân hàng này đang sử dụng nhà cung cấp dịch vụ đám mây có trụ sở tại Liên minh Châu Âu . Mặt khác, nhiều Các ngân hàng Thụy Sĩ vẫn nằm trong phạm vi của GDPR, bởi vì họ phục vụ khách hàng cư trú ở EU.

Trong bối cảnh này, điều đáng nói là vào ngày 25 tháng 2 năm 2019, Cơ quan Ngân hàng Châu Âu (EBA) đã công bố Hướng dẫn sửa đổi về các thỏa thuận thuê ngoài, với mục đích hài hòa hóa khuôn khổ thuê ngoài cho tất cả các tổ chức tài chính trong phạm vi nhiệm vụ của EBA. Các ngân hàng bị ảnh hưởng sẽ phải hoàn thành tất cả các thỏa thuận thuê ngoài theo Nguyên tắc sửa đổi này trước ngày 31 tháng 12 năm 2021.

Nguyên tắc EBA nêu rõ rằng các thỏa thuận thuê ngoài với các nhà cung cấp dịch vụ đám mây phải đảm bảo rằng:

Dữ liệu cá nhân được bảo vệ đầy đủ và được bảo mật, đồng thời cơ sở hạ tầng và dịch vụ đám mây được thuê ngoài đáp ứng các tiêu chuẩn bảo mật và bảo vệ dữ liệu được quốc tế chấp nhận;

Kế hoạch kinh doanh liên tục và dự phòng đã được nghĩ ra. Do đó, một số nhà cung cấp dịch vụ đám mây thậm chí có thể được coi là quan trọng hoặc quan trọng theo PSD2 hoặc MiFID II;

Đã có cơ chế xác định nguồn gốc phù hợp , nhằm mục đích ghi lại các hoạt động kỹ thuật và kinh doanh. Vì hiệu suất và chất lượng của các dịch vụ đám mây thuê ngoài, cũng như mức độ rủi ro, phụ thuộc phần lớn vào khả năng của các nhà cung cấp dịch vụ đám mây trong việc bảo vệ tính bí mật, tính toàn vẹn và tính sẵn có của dữ liệu cũng như hệ thống của họ để xử lý, chuyển giao và lưu trữ dữ liệu, các thao tác truy tìm cũng rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công mạng; và

Chỉ thị của Liên minh Châu Âu, luật pháp quốc gia và nghĩa vụ hợp đồng được tôn trọng. Bất chấp các Nguyên tắc đã được sửa đổi, các tổ chức phải tiếp tục tôn trọng các quy định của địa phương trong đó cơ sở hạ tầng hoặc dịch vụ đám mây được thuê ngoài có dấu ấn, cũng như luật hiện hành tại quốc gia xuất xứ của nhà cung cấp dịch vụ đám mây.

Ngoài ra, các nhà cung cấp dịch vụ đám mây phải thông báo cho các tổ chức thuê ngoài khi thuê lại chức năng quan trọng hoặc quan trọng cho các nhà cung cấp bên thứ ba. Hơn nữa, nếu điều này liên quan đến dữ liệu cá nhân, cần có sự đồng ý trước khi tiến hành thuê ngoài, phù hợp với các quy tắc GDPR.

Quản trị là một điểm chính được đề cập trong Hướng dẫn sửa đổi. Điều này nên được cấu trúc để ngân hàng có một khuôn khổ tổng thể, toàn tổ chức cho phép họ đưa ra các quyết định quản lý đúng đắn liên quan đến quản lý rủi ro, bao gồm các biện pháp liên quan đến rủi ro mạng. Một khuôn khổ quản lý rủi ro như vậy nên bao gồm:

1. Trách nhiệm và trách nhiệm giải trình của ban lãnh đạo;
2. Chính sách thuê ngoài đã được phê duyệt phù hợp với Nguyên tắc của EBA về Quản trị nội bộ;
3. Đánh giá, xác định và quản lý các xung đột lợi ích;
4. Tạo và thông qua các kế hoạch kinh doanh liên tục;
5. Kiểm toán nội bộ đối với các chức năng thuê ngoài; và
6. Một sổ đăng ký cập nhật thông tin về tất cả các thỏa thuận thuê ngoài, trong trường hợp thỏa thuận trên đám mây phải phản ánh loại dịch vụ đám mây và các mô hình triển khai (ví dụ:công cộng, riêng tư, kết hợp, cộng đồng), cũng như bản chất và vị trí cụ thể của dữ liệu sẽ được xử lý và lưu trữ.

Với Nguyên tắc đã sửa đổi của EBA về Thỏa thuận thuê ngoài , Cơ quan Ngân hàng Châu Âu đã thực hiện một bước quan trọng nhằm giúp các tổ chức tài chính hoạt động kinh doanh ở Liên minh Châu Âu dễ dàng hơn . Ngay cả khi một ngân hàng Thụy Sĩ đi đến kết luận rằng các Nguyên tắc này không thể áp dụng vào lúc này, họ có thể cung cấp hướng dẫn bổ sung, hữu ích và thông tin chi tiết về những gì đã có trong khuôn khổ quy định của Thụy Sĩ.

Tóm lại, việc tuân thủ các quy định được nêu ở đây có nghĩa là nói chung, việc chuyển dịch vụ ngân hàng sang đám mây được cho phép và thậm chí được hỗ trợ bởi các cơ quan kiểm soát .

Trong blog tiếp theo, chúng tôi sẽ cung cấp khung tiêu chí quyết định khi chọn nhà cung cấp dịch vụ đám mây thích hợp ở Thụy Sĩ.