Molnet är inte längre framtiden eller en framväxande trend:det är nuet och är ett avgörande verktyg för finansiella institutioner om de ska förbli konkurrenskraftiga i dagens utmanande affärsmiljö. I vår nyligen publicerade globala artikel "Getting Cloud Right – How can banks stay ahead of the curve ?” vi förklarade nyckelkomponenterna för en framgångsrik "molnresa" och de viktigaste stegen som måste vidtas.

I den här bloggen ger vi några djupare insikter i schweiziska bankrelaterade regler för banksekretess och övervakning av outsourcing .

Schweizisk banksekretess

De schweiziska bankernas noggrannhet när det gäller kundernas integritet är en av de mest kända funktionerna i den schweiziska ekonomin. Brott mot banksekretessen är ett brott i Schweiz; därför måste schweiziska banker noga överväga potentiella hot mot sekretessen från användningen av molntjänster.

De mest relevanta reglerna som beskriver en banks skyldigheter inom området banksekretess är:

1. 47 bankrörelselagen, där det i princip anges att upplysningen av en hemlighet av styrelseledamöter, anställda eller andra anförtrodda personer är ett brott;
2. 398 punkt 1 i samband med art. 321a para 4 i Code of Obligations, som kräver att banker i ett avtalsförhållande med en kund behandlar alla hemligheter som konfidentiella;
3. 7 i dataskyddslagen, som fastställer standarder för skydd av personuppgifter;
4. Bilaga 3 till FINMA-cirkulär 2008/21 som beskriver FINMA:s förväntningar när det gäller skyddet av kundidentifieringsdata av schweiziska banker.

Kärnan i dessa regler är att en banks användning av molntjänster kan följa schweizisk banksekretess, förutsatt att banken noggrant bedömer de tekniska, organisatoriska och avtalsmässiga ramarna som införts innan du använder molntjänster för lagring och bearbetning av kunddata. I synnerhet, som förklaras i detalj av SBA Cloud Guidelines, finns det inget behov av att be kunden om ett avstående från banksekretessreglerna eftersom dessa kommer att upprätthållas – i vissa fall möjligen ännu mer än tidigare – när en bank startar ett lämpligt säkerhetsramverk för användning av molntjänster.

Övervakning av outsourcing

Enligt FINMA Outsourcing Circular (särskilt not 24 och 25) måste en bank kontinuerligt övervaka och utvärdera en outsourcingleverantörs tjänster , och måste för detta ändamål upprätta avtalsvillkor för nödvändiga inspektions-, instruktions- och kontrollrättigheter.

Med tanke på storleken och komplexiteten hos en hyperskalig molnleverantör kan en typisk schweizisk bank inte utföra denna övervakningsplikt utan professionellt stöd från en pålitlig tredje part som har den globala närvaron, expertkunskaperna och kapaciteten att utföra en sådan uppgift. För att upprätta ett ekonomiskt genomförbart ramverk för bekräftelse kommer en betrodd tredje part själv till stor del att förlita sig på försäkringsarbete som har utförts av lika kvalificerade oberoende rådgivare från leverantören av outsourcingtjänster SBA Cloud Guidelines stöder detta tillvägagångssätt med "poolrevisioner" eller "indirekta revisioner" och uttrycker åsikten att behovet av revisioner på plats som utförs av banken själv är begränsat till inspektion av fysiska säkerhetsåtgärder.

Leverantörer av hyperskaliga molntjänster är fullt medvetna om förväntningarna hos kunder med en (schweizisk) banklicens och kommer att erbjuda proaktivt stöd till en potentiell kund för att upprätta ett sådant regelbundet ramverk. Detsamma gäller försäkringsleverantörer med nödvändig global skala och erfarenhet för att erbjuda pålitliga tredjepartstjänster till banker.

Schweiziska bankers berättigade oro som står inför utmaningen att införa lämplig tillsyn i plats när de lägger ut sina affärsprocesser till globala hyperskaliga molnleverantörer kan därför minskas genom att förlita sig på en kvalificerad pålitlig tredje part som har kompetensen och kapaciteten att tillhandahålla den nödvändiga säkerhetsnivån.

Ur ett juridiskt perspektiv är en överföring av bankverksamhet till molnet allmänt acceptabel. För att starta din "molnresa" är det dock lämpligt att överväga ytterligare aspekter. I vår nästa blogg ska vi ge  insikter i de två globalt drivna regulatoriska aspekterna av GDPR och USA:s molnlag.