亚马逊云科技助力金融机构应对合规挑战

关键字: [出海日城市巡展, Amazon Web Services (亚马逊云科技), 金融行业监管合规, 出海金融企业, 云上合规挑战, 数据本地化要求, 风险管理职责]

本文字数: 3500, 阅读完需: 18 分钟

导读

在这场演讲中,杨威先生分享了亚马逊云科技如何帮助金融机构在海外上云时满足监管合规要求。他指出金融机构在海外上云面临的三大挑战:1)监管模式从规则为本向风险为本转变,金融机构需承担更多风险管理职责;2)不同地区监管要求存在差异;3)监管机构重视通过技术手段控制风险和应对网络安全威胁。杨威先生介绍了亚马逊云科技在基础设施、合规知识、数据本地化与隐私、GDPR、供应商风险管理、控制映射与框架、云上迁移批准通知、安全合规培训与支持、合同合规、客户指导、第三方风险管理、监管沟通以及专业服务等方面为金融机构提供的合规支持。他还分享了亚马逊云科技在全球获得的143项合规认证,以及如何帮助金融机构加速合规进程和认证。

演讲精华

以下是小编为您整理的本次演讲的精华，共3200字，阅读时间大约是16分钟。

大家下午好,我是亚马逊云科技金融合规团队的杨威。我负责帮助金融客户在上云时遵守中国及全球各地的监管要求。除我之外,我们还有一支分布在欧洲、亚太、北美和中东等地区的金融合规团队。随着中国金融企业,包括传统金融和金融科技企业,加快出海步伐,他们在海外使用云服务时会面临一系列监管挑战。我们会与这些出海客户一起回顾和分析他们在海外可能面临的监管要求,并与全球金融合规团队合作,协助客户解决相关问题。

根据我们海外合作团队服务当地金融机构以及我本人在帮助中国出海金融企业所观察的情况,金融机构在出海使用云服务时,往往会面临一系列独特的监管挑战。正如这些幻灯片所展示的,我们认为最大的三个挑战是:首先,随着全球监管机构对金融机构上云的监管模式正在从规则为本向风险为本转变,金融机构自身需要承担更多的风险管理职责。在这种监管模式下,监管机构更多是发布基于原则的监管规则,但由于理解和执行尺度的差异,往往会带来不确定的监管期望,究竟做到什么程度才能达到监管的满意而不会引发不必要的合规成本。

第二个挑战是,由于不同地区的监管机构对云的理解和管理经验不同,往往会导致监管上对核心系统上云、特定数据或系统本地化等方面存在差异的要求。第三个挑战是,由于金融机构上云步伐加快,监管机构也越来越重视通过一系列技术手段去控制风险,以及面对外部高度动态变化的网络安全威胁格局,需要身份认证、威胁检测以及安全事件响应等一系列技术防范风险。

接下来是,金融机构在海外上云往往会面临一系列严格的报告和文件格式要求,而且不同机构的要求不同。最后,在面临所有这些合规挑战时,金融机构在海外往往自身缺乏足够的了解云上安全和合规的专家资源去支持解决任何问题。因此,很多机构在出海时,由于不了解当地监管要求和实践,在对云上扩展业务往往存在顾虑。

所以,亚马逊云科技金融合规团队的工作职责就是帮助客户梳理和了解展业地所在地的监管要求,并为他们提供最佳实践和建议,帮助他们高效沟通并获得监管认可。曾经有一家总部位于美国的全球领先投资银行,他们想在亚太区扩展业务并使用我们当地的服务和资源,但对亚太区的监管要求缺乏足够的了解和信心。因此,我们当地的金融合规团队与他们进行了多次深入的沟通和交流。有两件事情给他们留下了非常深刻的印象:第一是我们亚太团队对当地合规监管要求的深刻理解;另一件让他们感到意外的是,我们在整个亚太区域有多支专业的合规小组为他们提供合规支持。

我们的合规团队持续与全球监管机构接触,为客户赢得充满信心的创新环境和反馈渠道。一方面,我们为客户评估并解释最新法规的影响。我们在每个国家和地区都有专门的合规专员,像我这样的,来为客户解释最新法规的影响,甚至为他们提供即将出台的监管方向和政策变化的信息,帮助他们提前做好应对准备。针对特定国家和地区的合规要求,我们会发布指南性白皮书,阐明关键政策变化,并指导客户如何做出回应。

曾经有一家出海客户反映,在东南亚某国他们在报批监管审批这个事情上遇到了阻碍,整个进程时间被拖延。因此,我们会帮助客户与监管机构沟通,了解监管方的一些关注点,帮他们准备在审批过程中需要的关键材料,推动监管加速审批这些报备材料,从而加速客户上云进程。在客户上云后,我们还会为金融机构和监管机构提供审计工具和必要报告,帮助审计亚马逊云科技环境。因为监管对上云不仅在事前有报备审批要求,事中事后也有持续的监管,需要不同环节的审计报告。

另一方面,我们与全球监管机构保持密切接触。举例来说,在亚太地区,我们与新加坡金管局、香港证监会和日本金融厅等主要监管机构保持着密切沟通。这种沟通有几种形式:一种是我们定期与监管机构进行面对面对话;我们还会定期邀请他们举办专门的合规、金融监管峰会和研讨会,比如去年我们就与泰国央行合办过此类活动;我们还会为监管机构的监管员提供定向培训,或者说明会,解释云上安全合规、创新和弹性等机制。我们对云合规和安全性的最佳实践和最新见解不断塑造他们对云的正确认识,并反映最新技术变化,比如当前全球兴起的人工智能等。

这种沟通是双向的。另一方面,监管机构也会向我们咨询对监管方向和政策变化的建议,所以我们也会为客户发声,向监管机构反映他们最迫切需要解决的问题。总的来说,我们推动监管机构在制定或修订关键监管法规时能够考虑客户需求和建议,从而减轻客户上云的合规成本,加速上云进程。

我举两个成功例子:在2022年,我们成功推动菲律宾央行取消金融机构核心系统上云的限制,改为事前报备制度。同年,韩国金融监督院也大大放松了金融机构对云服务商的要求。

通过梳理全球监管机构发布的关键合规要求,我们可以分析出右图所示七大合规关注领域的基本来源。这些要求的根源广泛,有来自法律法规、国际标准框架、监管政策指引、行业组织标准建议,也有来自合同义务等。我们认为目前监管机构对金融机构上云重点关注网络安全、运营弹性、风险评估、数据隐私保护、运营风险管控、信息披露,以及特定场景如生成式人工智能的监管框架等七大领域。

以运营弹性为例,通常监管机构希望金融机构的基础设施足够安全,能防范故障;如遇灾难或中断,核心业务能快速恢复,不会影响客户服务能力和合规运营能力。从基础设施层面,亚马逊云科技提供可靠高效的弹性基础设施,并基于不同灾难恢复策略,可快速可靠地恢复客户在云端应用数据,最大限度减少宕机时间和数据丢失,满足监管要求。

我举两个东南亚金融客户的案例:一个是菲律宾UnionBank,他将SAP核心系统迁移到云上,并使用我们的EFS服务,将RPO和RTO时间从原来的几小时缩短到1小时内或更短,只需24分钟就可完成数据库全面备份。另一个是新加坡一家合资券商,通过将系统迁移到云上,将灾备切换时间从原来的几小时缩短到只需几分钟。

从合规知识层面,早些时候一家银行找到我们香港合规团队,他们的核心诉求是如何向香港证监会证明其灾备设计是安全可靠的。我们的香港合规专家和当地解决方案架构师团队与客户合作数月,为他设计出一个多活区域架构和产品方案,并进行测试,最后测试结果获得香港证监会认可。我们对当地监管要求的深入了解和与监管的合作经验也给客户留下了深刻印象。

接下来我分析几个常见的安全合规热点话题,这是金融企业出海时经常碰到的问题。第一个是数据本地化、数据安全和隐私。随着全球数据隐私立法的高度发展,很多个人数据的跨境传输,包括物理传递和远程访问,都需要满足一定条件和安全要求。

针对这一点,首先我们需要了解客户在展业地是否有数据本地化的特殊要求。比如在亚太地区,韩国有个人信用数据本地化要求,印度有网络数据本地化要求,印尼甚至要求金融机构的核心系统必须本地化。了解这些要求非常必要,这样我们可以帮助客户确定数据存储和加工所在区域,选择合适的服务满足要求。

在数据安全服务层面,我们提供了丰富的选项,比如100多项可为传输中和静态数据提供加密服务的服务,客户可自行管理密钥。像全球顶级投资银行高盛就在使用我们的密钥管理服务,并与我们一起开发了斯坦密钥安全管理方案,满足其合规性和安全性要求。客户还可通过云跟踪等服务实现对远程数据访问和传输的审计记录功能。

第二是针对特殊国家或地区的合规要求,比如欧盟GDPR通用数据保护条例。它不仅是欧盟国家的个人数据隐私保护法,也是全球很多国家(尤其东南亚国家)数据隐私保护法的模板。如果满足GDPR要求,在很多情况下就满足了这些国家的数据合规性要求。

从这方面来说,在认证层面,我们有100多项线上服务满足GDPR认证的欧洲云基础设施服务提供商数据保护准备认证;我们还与客户达成专门的数据保护条款,满足GDPR数据跨境传输合规性要求;我们在欧洲有专门的GDPR合规团队,满足全球客户对GDPR合规的咨询需求。

第三个是供应商风险管理和尽职调查。监管机构通常要求金融机构在上云前对自身工作负载进行风险评估,并对服务提供商进行详尽的尽职调查。由于我们有很多客户对我们提出这方面的要求,我们在海外有一个跨部门团队专门回应客户的风险评估和尽职调查问题,并形成了一套成熟的应对体系。很多客户在海外都会找我们提供这方面的指南和服务,因为我们在海外已有许多报备成功的经验,并获得监管认可。

第四个是控制映射和框架。这主要是因为监管机构非常重视一些全球通行的安全合规认证和框架,比如ISO、PCI DSS、SOC等。一方面,监管机构本身非常熟悉并认可这些控制框架,很多监管指南的要求与这些框架也存在一致性。另一方面,客户通过使用云上服务可以继承我们这些合规性,加速自身类似PCI或SOC等合规性的落地。

第五是云上迁移批准的通知。前面提到,金融机构在上云前通常会面临一系列复杂严格的报备或审批要求,而且各监管机构对文件格式和要求不尽相同。有的要求填写审批表,有的要求书面通知函,还有要求保留外包记录,强制要求提供一些关键信息。

由于我们与监管机构进行频繁接触,并与许多客户进行深入合作,我们对全球各地的批准通知流程和要求非常清楚,知道监管会关注哪些点,以及如何准备相关材料。因此,我们在海外帮助过许多客户通过当地监管机构的批准和通知,包括一些知名银行、保险和券商等,最近也在支持一些出海客户在当地进行此类监管报备。

第六条是安全合规培训和支持。随着金融机构上云步伐加快,越来越多核心系统迁移到云上,因此监管机构越来越重视对金融机构员工提供关于云安全和运维的培训。针对这一点,我们开发了一些结合在线课程和面授培训的安全培训课程,帮助客户云团队提升管理云上工作负载的相关理念和知识,同时也满足监管对此方面的要求。

除上述热点外,我们还可从合同合规、客户指导、第三方风险管理、监管沟通和专业服务等方面为客户提供合规支持。

在合同合规方面,很多监管机构要求金融机构在与云服务商签订服务合同时,要包括具体条款内容,比如云服务范围、绩效考核和评估、风险评估和内部控制、数据隐私保护、审计权限等。因此,我们与客户一起达成了金融服务合同,满足监管这方面的要求,在新加坡及亚太其他地区已获得监管认可。

客户指导方面,由于客户自身缺乏经验和足够资源,我们会指派专门的顾问为他们提供最佳实践和白皮书指导,帮助他们规划和执行云上合规战略。无论客户是第一次将系统迁移到云上,还是已在云上运行,我们都可根据实际情况为他们设计合规路线图。

第三方风险管理方面,前面提到的绩效评估、尽职调查和风险评估等,我们有专业团队为客户提供应对方案和支持服务。

监管沟通方面,我们可帮助客户快速通过监管审批和后续审计。如果需要,我们国内外团队也可与当地监管机构面对面沟通。

最后是亚马逊云科技专业服务。除常规合规支持外,我们还有专业服务团队,可为客户在细分领域提供量身定制的咨询或解决方案。他们来自金融机构和监管机构,对如何在云上落地安全合规方案有丰富经验,可从架构设计、安全评估、数据处理审计等方面提供解决方案。

作为全球领先的云服务商,我们在产品线上拥有成熟的风险管理流程和实践,获得143项合规认证,每年由第三方审计以确保持续有效性。我们还满足全球大多数国家和地区的隐私数据保护法和安全法律要求,比如前面提到的欧盟GDPR、美国HIPAA等。

在这里,我重点介绍几项对金融机构较为感兴趣或有意义的合规认证:ISO 9001质量管理体系、ISO 27001/27017/27018信息安全和隐私数据保护管理体系、ISO 22301业务连续性管理体系、PCI DSS支付卡行业数据安全标准等。这些合规证明和认证的意义在于,它们能加速金融机构上云合规进程,因为很多监管机构本身就认可这些全球性证明,甚至明确要求云服务商获得ISO、PCI DSS等认证,可大量简化金融机构的尽职调查过程,加速上云迁移步伐。另一意义是,金融机构使用云服务可继承我们这些合规性,加速自身PCI、SOC等合规性的落地。

我们的全球合规团队还整理了一些深入探讨特定地区监管要求的白皮书、最佳实践指南等资源,定期更新以反映最新技术变化,可在我们的合规中心和其他公开网站获取。

以香港监管局为例,我们发布了HKMA白皮书,为读者提供在香港上云时需了解的基本监管要求;HKMA审批模板教客户如何填写向香港证监会报备的申请表格和准备材料;TM-G1和TM-G2两个控制映射文件,将香港证监会技术风险管理指南和业务连续性计划指南的要求逐条解读,并建议如何使用我们的基础设施控制和技术服务满足相关要求。后三份文件内容较为敏感,需客户签署协议后可免费获取。

今年早些时候,我们香港团队帮助一家金融客户获得香港证监会云上云审批,整个过程分七步:首先我们合规团队与客户的合规、IT和风险团队一起回顾和梳理适用的监管法规和要求,确保双方达成一致;然后我们指导客户获取必要的合规资源,如白皮书、合规报告和审计报告,客户据此准备相应审批材料;与此同时,如果客户法律团队需要增加任何管理条款,可与我们法律团队直接对话解决;之后客户可提交监管材料供内部审批,再提交香港证监会进行审核;在后续过程中,如监管有任何额外问题,我们会与客户一起准备回应。根据实践,监管机构一般不会提出太多问题,因为我们提供的报告和审计结果都符合他们熟悉的国际标准。

最后,我提供了一些与安全相关的资源:首先是Artifact,可在这个公开网站下载我们的合规证书和审计报告;合规中心汇集了全球57个国家和地区的法律法规研究和公开资料;Compliance Programs网页列出我们在全球和各地区获得的合规资质和证明;我们还不时发布安全文档,如身份访问管理、密钥管理、机器学习安全等,帮助客户更好地构建云上安全环境。

以上是我今天分享的主要内容,谢谢大家。

总结

亚马逊云科技金融合规团队致力于帮助金融客户遵守全球各地监管要求,尤其是在出海过程中面临的挑战。主要挑战包括监管模式转变、地区差异以及技术风险管控要求。为应对这些挑战,亚马逊云科技提供可靠的基础设施、丰富的数据安全服务、全面的合规认证和证明,并与监管机构保持密切沟通,为客户提供指导和最佳实践。

亚马逊云科技帮助客户解决数据本地化、数据隐私保护、供应商风险管理、控制框架映射、云迁移批准通知等合规性问题,并提供合同合规、客户指导、第三方风险管理、监管沟通等全方位支持。此外,亚马逊云科技还拥有专业服务团队,可为客户量身定制解决方案。

通过利用亚马逊云科技的合规资源和服务,金融机构可以加速合规进程,继承亚马逊云科技的合规成果,从而提高自身的合规性水平,顺利实现出海和上云目标。