Rapport de la FINMA ISAE 3000 Type 2
Présentation
Amazon Web Services (AWS) a rempli les conditions du rapport de la FINMA ISAE 3000 Type 2. L'ISAE 3000 (International Standard on Assurance Engagements) est une norme qui s'applique aux audits des contrôles internes, de la durabilité et de la conformité aux lois et règlements. La mise en œuvre du rapport ISAE 3000 Type 2 confirme que l'environnement de contrôle d'AWS est conçu et mis en place correctement afin de respecter certaines exigences de l'autorité fédérale de surveillance des marchés financiers (FINMA) applicables aux clients de services financiers régulés. La conformité d'AWS avec les exigences de la FINMA est la preuve de notre engagement continu à répondre aux attentes élevées exprimées par les régulateurs et les clients des services financiers suisses vis-à-vis des fournisseurs de services de cloud.
Le rapport FINMA ISAE 3000 Type 2, réalisé par un cabinet d'audit tiers indépendant, garantit aux clients du secteur financier suisse que l'environnement de contrôle d'AWS est conçu et mis en œuvre de manière appropriée afin de faire face aux principaux risques opérationnels et aux risques liés à l'externalisation et à la gestion de la continuité de l'activité. En outre, le rapport apporte aux clients des informations importantes sur les contrôles complémentaires de l'entité utilisatrice (CUEC) qu'ils doivent envisager de mettre en œuvre dans le cadre du modèle de responsabilité partagée d'AWS afin de les aider à respecter les objectifs de contrôle de la FINMA. Le rapport couvre les cinq principales circulaires de la FINMA qui s'appliquent aux établissements suisses de services financiers dans le cadre des accords d'externalisation vers le cloud. Ces circulaires de la FINMA sont destinées à aider les établissements financiers régulés à comprendre les approches relatives à la diligence raisonnable, à la gestion des tierces parties et aux principaux contrôles techniques et organisationnels qui doivent être mis en place dans les accords d'externalisation vers le cloud, en particulier pour les charges de travail importantes. Le champs d'application couvre les exigences des circulaires de la FINMA suivantes :
- 2018/03 Circulaire FINMA « Outsourcing – banques et assureurs » (31.10.2019) ;
- 2008/21 Circulaire FINMA « Risques opérationnels – banques » (31.10.2019) - Principe 4 : Infrastructure technologique ;
- 2008/21 Circulaire FINMA « Risques opérationnels – banques » (31.10.2019) - Annexe 3 Traitement des données électroniques de clients ;
- 2013/03 « Activité d'audit » (04.11.2020) - Technologies de l'information (21.04.2020) ;
- Normes minimales de gestion de la continuité des activités (BCM) proposées par l’Association suisse d’assurances (01.06.2015) et l’Association suisse des banquiers (29.08.2013)
Questions fréquentes (FAQ)
-
Qu’est-ce que la FINMA ?
L'Autorité fédérale de surveillance des marchés financiers (FINMA) est le régulateur indépendant de surveillance des marchés financiers suisses. Elle a pour mandat de superviser les banques, les compagnies d'assurance, les établissements financiers, les placements collectifs de capitaux, de leurs gestionnaires et directions de fonds. Elle régule également les intermédiaires d'assurance. La FINMA s'engage pour la protection des créanciers, des investisseurs et des assurés. La FINMA est chargée de vérifier le bon fonctionnement des marchés financiers suisses.
La FINMA a publié plusieurs exigences et directives destinées aux établissements de services financiers régulés en Suisse lorsqu'ils collaborent avec des fournisseurs de services externalisés.
-
Quels services sont couverts par l'autorisation de la FINMA ?
Les services AWS concernés par l'autorisation de la FINMA sont indiqués à la page Services AWS concernés par le programme de conformité.
-
Que représente cette autorisation pour moi en tant que client ?
Le rapport FINMA ISAE 3000 Type 2, réalisé par un cabinet d'audit tiers indépendant, garantit aux clients du secteur financier suisse que l'environnement de contrôle d'AWS est conçu et mis en œuvre de manière appropriée afin de faire face aux principaux risques opérationnels et aux risques liés à l'externalisation et à la gestion de la continuité de l'activité. En outre, le rapport donne aux clients des informations importantes sur les contrôles complémentaires de l'entité utilisatrice (CUEC) qu'ils doivent envisager de mettre en œuvre dans le cadre du modèle de responsabilité partagée d'AWS afin de les aider à respecter les objectifs de contrôle de la FINMA
-
Puis-je obtenir une copie du rapport de la FINMA ISAE 3000 Type 2 ?
Oui. Le rapport d'audit est téléchargeable sur AWS Artifact.
-
Est-ce que AWS est régulé par la FINMA ?
AWS n'est pas une entité régulée par la FINMA ; cependant, les clients des services financiers AWS en Suisse peuvent être régulés par la FINMA. Pour obtenir plus d'informations sur le rôle de la FINMA et ses réglementations, consultez le site Web de la FINMA.