亚马逊云科技为金融机构高效合规上云保驾护航

关键字: [出海日城市巡展, Amazon Web Services (亚马逊云科技), 金融行业监管合规, 云服务合规性, 数据本地化要求, 风险管理职责, 技术控制手段]

本文字数: 3700, 阅读完需: 18 分钟

导读

杨威先生是亚马逊云科技金融合规团队的专家,在本次演讲中,他分享了金融机构出海使用云服务时面临的监管挑战,以及亚马逊云科技如何通过全球合规团队、合规资源和认证等方式帮助客户满足监管要求、实现合规上云。他重点介绍了数据本地化、供应商风险管理、控制映射、云上迁移审批等热点合规话题,并分享了亚马逊云科技在全球143项合规认证、合规运营手册、监管沟通等方面的支持。演讲为金融机构出海上云提供了全面的合规指导。

演讲精华

以下是小编为您整理的本次演讲的精华，共3400字，阅读时间大约是17分钟。

在当今时代,随着金融机构加速向海外市场扩张,采用云服务已成为不可逆转的大趋势。然而,在这一进程中,金融机构往往会面临一系列独特的监管挑战。首先,全球监管机构对于金融机构上云的监管模式正在发生转变,从过去基于规则的模式逐渐演进为基于风险的模式。在这种新的监管理念下,金融机构需要承担越来越多的风险管理职责,而监管机构更多是发布基于原则性的监管规则,但由于理解和执行上的偏差,往往会带来不确定的监管期望。

其次,由于不同地区的监管机构对于云服务的认知程度和实际管理经验存在差异,导致了不同地区的监管要求也存在一定的差异。例如,对于核心工作负载上云的要求、对于特定数据和系统的本地化要求等,在不同国家和地区存在明显的分歧。

第三,随着金融机构上云的趋势日益加剧,监管机构也越来越重视通过一系列技术控制手段来控制云上的风险,同时也需要采取相应的技术手段来防范不断升级的外部安全威胁。

除此之外,金融机构在上云的前后往往还需要面临严格的报告和文件准备要求,这无疑加重了它们的合规负担。最后,由于缺乏足够的安全和合规专家资源,金融机构在应对上述合规问题时也面临着诸多困难。

为了协助金融机构顺利实现合规上云,亚马逊云科技(亚马逊云科技)的全球金融合规团队承担起了重要的职责。该团队不仅分布在北美、欧洲、中东和亚太等全球各个地区,而且还肩负着帮助客户梳理和熟悉当地的合规要求、分析最佳实践并提供建议的重任,旨在为客户平稳过渡到云端保驾护航。

一家总部位于美国的世界领先投资银行曾在亚太地区扩展业务并使用亚马逊云科技当地资源和服务时,对于该地区的监管要求缺乏清晰的了解和足够的信心。然而,在与亚马逊云科技金融合规团队进行深入沟通和交流后,该银行对两个方面留下了深刻印象:首先是亚马逊云科技对亚太地区监管合规的深入理解;其次是亚马逊云科技拥有一支专门的团队来帮助实现合规运营。

事实上,亚马逊云科技不仅持续与全球监管机构保持密切接触,而且其全球合规团队的合规专员会深入评估和解释最新法规的潜在影响,包括为客户提供即将出台的监管变化和规则变化动向,帮助他们提前做出回应。同时,亚马逊云科技还会针对特定国家和地区出台合规指南性白皮书,协助客户理解关键政策变化及其应对之策。

有一家客户曾向亚马逊云科技反映,由于某个国家上云监管审批流程过长,他们面临严峻挑战。为此,亚马逊云科技不仅与客户一同与监管机构沟通,了解需要准备的关键文件和监管重点关注的问题,而且还帮助客户准备并提交所需材料,从而缩短了监管审批申报的流程,加快了客户向云端迁移的步伐。在客户成功上云后,亚马逊云科技还会向金融机构和监管机构分享审计工具和报告,协助他们审计亚马逊云科技的环境。

除了在亚太地区与新加坡金融管理局、香港金融管理局和日本金融厅等机构保持定期沟通外,亚马逊云科技也与全球其他主要监管机构密切合作。这种沟通是双向的:一方面,亚马逊云科技会向监管机构持续输出其对云安全合规性的最新见解和最佳实践,解释云上安全弹性、金融创新等概念,帮助重塑监管对公有云的理解,并反映最新技术变化;另一方面,出于对亚马逊云科技的信任,监管机构也会就监管规则和方向征求亚马逊云科技的建议,而亚马逊云科技则会反映客户的迫切关切,旨在促使监管机构在制定或修订监管规则时采纳相关建议,从而尽可能减少客户的合规成本,加快向云端迁移步伐。经过不懈努力,2022年,菲律宾央行取消了金融机构核心系统上云的限制,改为事前报备制度。

通过梳理全球主要监管机构发布的关键合规指南和要求,亚马逊云科技总结出了7个监管普遍关注的领域:网络安全、运营弹性、第三方风险、隐私与数据保护、运营风险、ESG及信息披露,以及特定场景下的特定要求(如生成式人工智能监管框架)。

以运营弹性为例,监管机构希望金融机构的基础设施足够安全,并能够防范点状故障。当遇到灾难或中断时,需确保核心业务在短时间内恢复,不影响实质服务客户的能力或履行合规监管义务的能力。在这一问题上,亚马逊云科技提供了高效可靠的弹性基础设施。基于不同的站点恢复策略,亚马逊云科技能在监管要求的恢复点目标(RPO)和恢复时间目标(RTO)的范围内,快速而可靠地恢复客户在云上的应用程序,尽可能减少停机时间和数据损失。

一家银行曾寻求亚马逊云科技在香港的合规团队的帮助,希望向香港金管局证明其在云上的架构和设计是安全且富有弹性的。为此,亚马逊云科技合规团队详细分析了香港监管局的相关监管要求,并与客户探讨了他们打算如何回复监管机构。随后,亚马逊云科技的合规专家和解决方案架构师团队与客户合作数月,为他们设计了由多个可用区组成的弹性架构,并设计了相应的测试方案。经过测试证明该架构确实安全、可靠且富有弹性后,亚马逊云科技将架构说明和测试结果上报给香港监管局,最终获得了认可。客户高管不仅对这一弹性架构给予了高度评价,更为印象深刻的是亚马逊云科技对香港监管局监管要求的深刻理解和与监管机构的良好合作关系。

数据本地化、数据安全和数据隐私是另一个热点话题。随着全球数据隐私立法的不断完善,个人隐私数据的跨境传输往往需要符合一定条件,并满足特定的监管安全要求。在某些特定国家和地区,甚至存在强制性的数据本地化要求。例如,在亚太区,韩国要求个人信用数据本地化存储,印度则要求网络产生数据本地化存储,而在印度尼西亚,监管局要求金融机构的核心工作负载必须部署在当地。

因此,当亚马逊云科技与客户探讨时,必须首先了解客户所在地是否存在数据本地化以及对数据跨境的安全性要求,以确定数据存储和处理的位置,即选择亚马逊云科技的哪个区域。从技术层面上,亚马逊云科技提供了丰富的服务来满足数据安全要求,包括100多项能为静态数据和传输中数据提供加密的服务、允许客户管理自己加密钥匙的密钥管理服务(KMS),以及实现数据访问和传输日志保存功能的云服务。

欧盟通用数据保护条例(GDPR)是另一个典型例子。作为世界上第一个全面的个人数据保护条例,GDPR也成为了当今世界上许多国家个人隐私数据保护立法的模板。为满足GDPR关于欧盟公民个人信息跨境传输的合规性要求,亚马逊云科技与客户达成了特殊的数据保护条款。此外,亚马逊云科技有107项服务通过了欧盟GDPR认证的CSP认证,即欧洲云基础设施服务提供商数据保护准则认证。亚马逊云科技在欧洲还拥有专门的GDPR合规团队,负责解答全球各地关于GDPR合规的问题,许多客户从中获得了良好的反馈。

供应商风险管理和尽职调查是另一个重点领域。许多全球监管机构都要求金融机构在上云前必须对上云工作负载进行风险评估,确定是高风险还是中低风险,并在履行云服务之前对云服务提供商进行非常详细的技术调查。为此,亚马逊云科技专门组建了一个跨部门团队,帮助客户解决这些风险管理的应答和尽职调查问卷的应答。由于亚马逊云科技不仅有许多客户需要对其进行风险评估和调查,而且通过与监管机构的沟通和客户的合作,亚马逊云科技对这些风险管理问题和尽职调查要点非常熟悉和了解,因此能够帮助客户快速响应相关问题和调查,并顺利通过监管审批。

控制映射和框架是另一个值得关注的领域。全球监管机构非常重视一些国际广泛认可的安全管理框架和认证,比如ISO系列、PCI DSS支付行业数据保护安全标准系列。一方面,监管机构本身对这些安全管理框架和认证较为熟悉且高度认可;另一方面,许多监管规则实际上就是映射到这些安全框架和管理规则之上。此外,金融机构通过采用亚马逊云科技的云服务,也可以继承亚马逊云科技在这些安全管理和控制映射方面的实践,加速自身的合规落地。亚马逊云科技的相关认证包括ISO 9001内部控制认证、ISO 27001信息服务体系管理体系认证、ISO 27017云计算信息安全认证、ISO 27018云上隐私安全认证等。

云上迁移的批准和通知也是一大挑战。大多数监管机构都要求金融机构在上云前需要向其监管部门进行报告或获得审批,而且这些审批和报告的文件格式要求也不尽相同。在这一领域,亚马逊云科技会协助客户准备相关文件。由于亚马逊云科技非常熟悉这些要求,了解哪些文件是关键材料,以及监管会重点审核哪些内容,因此许多客户都会听从亚马逊云科技的建议,要求其帮助准备通知或批准文件,并最终获得监管机构的广泛认可。亚马逊云科技在海外拥有许多领先的金融客户,在亚马逊云科技的帮助下顺利通过了监管的批准或通知审查。

随着金融机构上云的趋势日益加剧,包括许多核心系统迁移到云端,监管机构也越来越重视金融机构员工接受云相关知识培训的情况。为满足这一需求,亚马逊云科技开发了针对金融机构云团队的一系列培训课程,包括在线形式和面对面授课形式。通过这些培训,亚马逊云科技一方面提高了客户云运维团队的云上风险管理知识和技能,另一方面也满足了监管机构对此类培训的合规性要求。

为更好地支持金融机构的合规上云之路,亚马逊云科技为客户提供了多方位的合规支持服务:

首先是合同合规。许多监管机构要求金融机构在与云服务商签订云服务合同时,需要包含外包云服务范围、对服务商绩效的监督和考核、云上安全风险管理及隐私保护、业务连续性、审计和检查等具体内容。为此,亚马逊云科技专门设计了一份名为”金融服务附录”的特殊金融服务合同,以满足监管要求,并获得了新加坡等监管机构的认可。

其次是客户指导。由于云上合规是一个庞大的话题,而客户往往受制于缺乏充足的资源和经验,因此亚马逊云科技会指派专门的云合规专家为他们提供最佳实践、合规指南白皮书等,帮助他们规划和执行云合规战略。无论客户是初次将业务系统搬至云端,还是已在云上运行,亚马逊云科技的合规专家都会帮助他们设计合适的合规路线图,实现云上合规。

第三是第三方风险管理。正如前文所述,亚马逊云科技有专门的团队来帮助客户进行风险评估和尽职调查,应对监管机构对云服务商这类第三方服务机构的风险管理要求。亚马逊云科技接手过的风险评估有些非常复杂,可达100个问题,这主要取决于金融机构自身的风险偏好和上云业务的复杂程度。但亚马逊云科技能够充分、快速地响应这方面的需求。

第四是监管沟通。亚马逊云科技的合规团队能够帮助客户顺利通过监管上云审批以及后续的审计流程,确保合规性。曾经有家银行找到亚马逊云科技在香港的合规团队,他们的核心诉求是如何向香港金管局证明他们在云上的架构和设计是安全而富有弹性的。为此,亚马逊云科技是这样做的:

首先,亚马逊云科技合规团队详细地去分析了香港监管局相关的监管要求,并且向客户了解他们打算如何去回复监管机构。然后,亚马逊云科技的合规专家和解决方案架构师团队与客户一起合作了几个月。

1. 为客户设计了一个由多个可用区组成的弹性架构,并设计了弹性架构测试方案。
2. 对这个方案进行了测试,证明它是安全、可靠和富有弹性的。
3. 将架构说明及测试结果上报给香港监管局,获得了认可。

对客户高管而言,他们不仅对弹性架构给予良好评价,更让他们印象深刻的是亚马逊云科技对香港监管要求的深刻理解和与监管的良好合作关系。

最后是亚马逊云科技的专业服务。除了前文提及的常规合规指导之外,亚马逊云科技还可为客户提供专业的合规咨询服务。亚马逊云科技的合规咨询团队不仅有来自金融机构的成员,也有来自监管机构本身的专家,他们对云上安全合规有着非常深入的见解。该团队可以从合规审计、风险评估、架构设计等多个方面,为客户量身定制咨询和解决方案。

作为全球领先的云服务商,亚马逊云科技在全球范围内取得了多达143项合规认证,包括全球性和行业性认证。亚马逊云科技在诸多产品线中嵌入了稳健成熟的风险管理流程和实践,并获得了国际广泛认可的合规认证,这些认证均由独立第三方每年进行审计,以保证其持续有效性。此外,亚马逊云科技还符合全球大多数国家的隐私数据保护法和安全法规,如美国的HIPAA个人健康数据保护法等。

除了前文提及的ISO、PCI DSS等认证外,亚马逊云科技在一些地区的合规认证也处于领先地位。在美国,亚马逊云科技获得了许多来自联邦政府层面的信息安全认可。在欧盟,亚马逊云科技不仅通过了GDPR认证的CSP认证,而且该认证的标准比GDPR本身还要高。另外,在亚太地区的新加坡和韩国,亚马逊云科技都是首家通过当地最高级别云安全MTCS第三级认证的云服务商。

这些合规认证的意义主要有两点:一是能够加快金融机构在合规层面上云的进度,因为许多监管机构允许金融机构在对云服务商进行审计调查时,采用由独立第三方提供的合规认证,有的监管机构更是明确要求云服务商拥有ISO或PCI DSS等认证。二是金融机构在迁移到亚马逊云科技云端时,可以继承亚马逊云科技在这些合规认证上的框架和能力,有助于加速自身的合规认证落地,如ISO或PCI DSS认证。

为帮助客户更深入地了解当地监管要求,亚马逊云科技的全球合规团队还梳理了一些针对特定国家和地区的合规运营手册,包括PPT和文档等形式,定期更新以反映当地最新的监管变化。亚马逊云科技还会提供标准的监管沟通模板,供客户在与监管机构沟通时使用。如果出海客户希望获取这些深入探讨当地法规的运营手册,可直接与亚马逊云科技的合规团队联系。

以香港金管局(HKMA)的合规资源为例,亚马逊云科技为客户提供了多份重要文件:首先是HKMA白皮书,为客户初步了解HKMA对受监管机构上云的监管要求提供概览,可在亚马逊云科技合规中心免费下载;其次是HKMA审批模板,指导客户如何填写向HKMA提交的审批文件;再次是TM-G(技术风险管理指南)和TM-G2(业务连续性规划)两个控制映射的详细说明,亚马逊云科技逐条解读了监管要求并提供建议,包括从基础设施、内部控制、技术服务等方面如何帮助客户满足要求,但这些材料需先签署保密协议后方可获取。

亚马逊云科技的香港合规团队曾帮助一家客户取得HKMA的监管报备同意,整个过程分为七步:首先,合规团队会与客户的合规、风险、IT等利益相关方团队共同回顾和梳理所有相关监管法规,确保对监管要求有一致理解。其次,亚马逊云科技会指导客户获取相关的合规资源,如合规报告、白皮书等,并解答疑问。第三,客户开始准备上云报备或审批材料。第四,如客户法律团队需要增加额外的合同条款,亚马逊云科技法律团队会与之直接对话解决顾虑。第五,文件制作完成后提交高级管理层审批。第六,向监管机构提交文件审查。第七,在监管规定期限内等待审批,如有疑问,亚马逊云科技会与客户一同准备回复。由于亚马逊云科技提供了合规报告等资源,监管机构普遍认可这些国际认证,因此大多数情况下能够顺利通过审批。

最后,亚马逊云科技在公开渠道上为客户提供了多种安全和合规资源:Artifact Portal门户工具可获取亚马逊云科技全球合规认证和审计报告;Compliance Center网站收录了57个国家和地区的金融行业云监管法规研究,并列出亚马逊云科技在全球和各地区获得的合规认证和框架;此外亚马逊云科技还会不时发布安全文档,探讨行业热点话题如身份认证管理、合规性验证密钥、机器学习开发者工具等。

总的来说,亚马逊云科技全球金融合规团队通过对监管要求的深入理解、丰富的合规资源支持以及多方位的合规服务,为金融机构高效合规上云保驾护航,促进金融创新,并与监管机构保持良好沟通,推动监管制度与时俱进。作为全球领先的云服务商,亚马逊云科技在全球范围内拥有143项合规认证,可加速客户合规进程,为金融行业合规上云指明方向。

总结

亚马逊云科技金融合规专家杨威先生分享了出海企业在海外使用云服务时需要考虑的重点监管主题,以及亚马逊云科技如何支持出海客户合规上云。他指出,金融机构在海外使用云服务时通常面临监管模式演进、地区差异以及技术控制等挑战。监管普遍关注网络安全、运营弹性、第三方风险、隐私与数据保护、运营风险、ESG及信息披露等领域。

亚马逊云科技通过深入了解各地监管要求、提供合规指南和最佳实践建议、协助准备监管审批文件、分享审计工具和报告等方式,帮助客户顺利通过监管审查。杨威先生还重点阐述了数据本地化、GDPR合规性、供应商风险管理、控制映射与框架、云上迁移批准等热点话题。此外,亚马逊云科技提供合同合规、客户指导、第三方风险管理、监管沟通等全方位合规支持,并持续获得全球多项合规认证,加速客户合规上云进程。

杨威先生最后呼吁金融机构充分利用亚马逊云科技提供的丰富合规资源,顺利实现云上合规,抓住云计算带来的创新机遇。