Rapporto FINMA ISAE 3000 di tipo 2
Panoramica
Amazon Web Services (AWS) ha completato il rapporto FINMA ISAE 3000 di tipo 2. L'ISAE (International Standard on Assurance Engagements) 3000 è uno standard che si applica agli audit dei controlli interni, della sostenibilità e della conformità a norme e regolamenti; il completamento del rapporto ISAE 3000 di tipo 2 verifica che l'ambiente dei controlli AWS sia progettato e implementato in modo appropriato, al fine di soddisfare determinati requisiti dell'Autorità federale di vigilanza sui mercati finanziari (FINMA) applicabili ai clienti dei servizi finanziari regolamentati. L'allineamento di AWS ai requisiti della FINMA dimostra il suo continuo impegno al raggiungimento degli standard elevati definiti dai regolatori e dai clienti dei servizi finanziari svizzeri per i fornitori di servizi cloud.
Il rapporto FINMA ISAE 3000 di tipo 2, condotto da una società terza di audit indipendente, offre ai clienti svizzeri del settore finanziario la garanzia che l'ambiente dei controlli di AWS sia stato progettato e implementato adeguatamente per affrontare i rischi operativi e i rischi relativi alla gestione dell'outsourcing e della continuità aziendale. Inoltre, il rapporto offre ai clienti una guida importante sui controlli complementari delle entità utente (CUEC), la cui implementazione è consigliata come parte del Modello di responsabilità condivisa in AWS, al fine di allinearsi agli obiettivi di controllo della FINMA. Il rapporto copre le cinque circolari principali della FINMA che si applicano alle istituzioni svizzere per i servizi finanziari nel contesto degli accordi di outsourcing al cloud. Queste circolari FINMA hanno lo scopo di assistere gli istituti finanziari regolamentati nella comprensione degli approcci a due diligence, gestione di terze parti e controlli tecnici e organizzativi fondamentali che devono essere implementati negli accordi di outsourcing del cloud, in particolare per quanto riguarda i carichi di lavoro materiali. L'ambito del rapporto copre i requisiti delle seguenti circolari FINMA:
- “Rischi operativi e resilienza – banche” 2023/01 (07.12.2022)
- Circolare FINMA 2018/03 “Outsourcing – banche e assicurazioni” (31.10.2019);
- Circolare FINMA 2008/21 "Rischi operativi – banche" (31.10.2019) – Principio 4: infrastruttura tecnologica;
- Circolare FINMA 2008/21 "Rischi operativi – banche" (31.10.2019) – Allegato 3: trattamento dei dati elettronici dei clienti;
- Circolare FINMA 2013/03 "Attività- di audit" (04.11.2020) - Tecnologia informatica (21.04.2020);
- Standard minimi per il Business Continuity Management (BCM) proposti dall'Associazione Svizzera d'Assicurazioni (01.06.2015) e dall'Associazione Svizzera dei Banchieri (29.08.2013)
Domande frequenti
-
Che cos'è la FINMA?
L'Autorità federale di vigilanza sui mercati finanziari (FINMA) è l'ente regolatore indipendente dei mercati finanziari della Svizzera. Ha il compito di vigilare su banche, compagnie di assicurazioni, istituti finanziari, piani di investimento collettivi e sui relativi gestori degli attivi e società di gestione dei fondi. La FINMA inoltre regola gli intermediari assicurativi. È incaricata di tutelare i creditori, gli investitori e i contraenti. La FINMA ha la responsabilità di garantire il funzionamento efficiente dei mercati finanziari della Svizzera.
La FINMA ha pubblicato vari requisiti e linee guida per le interazioni degli istituti di servizi finanziari regolamentati in Svizzera con fornitori di servizi esternalizzati.
-
Quali servizi sono coperti dall'attestazione della FINMA?
I servizi AWS compresi nell'ambito dell'attestazione FINMA sono disponibili nella pagina Servizi AWS coperti dal programma di compliance.
-
Che cosa significa per il cliente?
Il rapporto FINMA ISAE 3000 di tipo 2, condotto da una società terza di audit indipendente, offre ai clienti del settore finanziario svizzero la garanzia che l'ambiente dei controlli di AWS sia stato progettato e implementato adeguatamente per affrontare i rischi operativi e i rischi relativi alla gestione dell'outsourcing e della continuità aziendale. Inoltre, il rapporto offre ai clienti una guida importante sui controlli complementari delle entità utente (CUEC), la cui implementazione è consigliata come parte del Modello di responsabilità condivisa in AWS, al fine di allinearsi agli obiettivi di controllo della FINMA.
-
È possibile ottenere una copia del rapporto FINMA ISAE3000 di tipo 2?
Sì. Il rapporto sull'audit si può scaricare tramite AWS Artifact.
-
AWS è regolamentata dalla FINMA?
AWS non è un'entità regolamentata dalla FINMA; tuttavia, i clienti dei servizi finanziari AWS in Svizzera potrebbero esserlo. Ulteriori informazioni sul ruolo della FINMA e dei relativi regolamenti sono disponibili sul sito Web FINMA.