FINMA-ISAE 3000-Bericht (Typ 2)
Übersicht
Amazon Web Services (AWS) hat den FINMA-ISAE 3000-Bericht (Typ 2) abgeschlossen. ISAE 3000 (International Standard on Assurance Engagements) ist ein Standard, der für Prüfungen der internen Kontrollen, Nachhaltigkeit und Einhaltung von Gesetzen und Vorschriften angewendet wird. Mit dem Abschluss des ISAE 3000-Berichts (Typ 2) wird bestätigt, dass das Kontrollumfeld von AWS angemessen konzipiert und implementiert ist, um bestimmte Anforderungen der Eidgenössischen Finanzmarktaufsicht (FINMA) zu erfüllen, die für regulierte Finanzdienstleistungskunden gelten. Die Erfüllung der Anforderungen der FINMA durch AWS zeigt unseren kontinuierlichen Einsatz, den gestiegenen Erwartungen der Schweizer Finanzaufsichtsbehörden und Finanzdienstleistungskunden an Cloud-Serviceanbieter gerecht zu werden.
Der von einer unabhängigen Wirtschaftsprüfungsgesellschaft erstellte FINMA-ISAE 3000-Bericht (Typ 2) gibt Kunden der Schweizer Finanzindustrie Sicherheit, dass die Kontrollumgebung von AWS angemessen konzipiert und implementiert ist, um die wichtigsten Betriebsrisiken und Risiken im Zusammenhang mit Outsourcing und betrieblichem Kontinuitätsmanagement zu adressieren. Darüber hinaus enthält der Bericht für Kunden wichtige Hinweise zu CUECs (Complementary User Entity Controls, ergänzende Benutzerentitätskontrollen), deren Implementierung Kunden im Rahmen des Modells der gemeinsamen Verantwortung von AWS in Betracht ziehen sollten, um die Kontrollziele der FINMA zu erfüllen. Der Bericht deckt die fünf zentralen FINMA-Rundschreiben ab, die für Schweizer Finanzdienstleistungsinstitute im Zusammenhang mit Cloud-Outsourcing-Vereinbarungen anwendbar sind. Diese FINMA-Rundschreiben sollen regulierte Finanzinstitute dabei unterstützen, Ansätze für Sorgfaltspflicht, Third-Party-Management und die wichtigsten technischen und organisatorischen Kontrollen nachzuvollziehen, die in Cloud-Outsourcing-Vereinbarungen implementiert werden sollten, insbesondere für wichtige Workloads. Der Geltungsbereich umfasst die Anforderungen der folgenden FINMA-Rundschreiben:
- 2023/01 „Operational Risks and Resilience – Banks (07.12.2022)
- 2018/03 FINMA-Rundschreiben „Outsourcing – Banks and Insurers“ (31.10.2019);
- 2008/21 FINMA Circular „Operational Risks – Banks“ (31.10.2019) – Principal 4 Technology Infrastructure
- 2008/21 FINMA Circular „Operational Risks – Banks“ (31.10.2019) – Appendix 3 Handling of electronic Client Identifying Data
- 2013/03 „Auditing“ (04.11.2020) – Information Technology (21.04.2020)
- Vom Schweizerischen Versicherungsverband (01.06.2015) und der Schweizerischen Bankiervereinigung (29.08.2013) vorgeschlagene Mindeststandards für das Business Continuity Management (BCM)
Häufig gestellte Fragen
-
Was ist die FINMA?
Die Eidgenössische Finanzmarktaufsicht (FINMA) ist die unabhängige Finanzmarktaufsichtsbehörde der Schweiz. Ihr Auftrag besteht darin, Banken, Versicherungsunternehmen, Finanzinstitute, kollektive Kapitalanlagen sowie ihre Vermögensverwalter und Vermögensverwaltungsunternehmen zu beaufsichtigen. Zudem reguliert sie die Versicherungsvermittler. Sie hat die Aufgabe, Gläubiger, Investoren und Versicherungsnehmer zu schützen. Die FINMA ist für die Funktionsfähigkeit der Finanzmärkte in der Schweiz verantwortlich.
Die FINMA hat mehrere Auflagen und Richtlinien für regulierte Finanzdienstleistungsinstitute in der Schweiz veröffentlicht, die bei der Zusammenarbeit mit ausgelagerten Dienstleistern zur Anwendung kommen.
-
Welche Services deckt das FINMA-Testat ab?
Die durch das FINMA-Testat abgedeckten AWS-Services finden Sie unter AWS-Services im Portfolio nach Compliance-Programm.
-
Was bedeutet das für mich als Kunden?
Der von einer unabhängigen Wirtschaftsprüfungsgesellschaft erstellte FINMA-ISAE 3000-Bericht (Typ 2) gibt Kunden der Schweizer Finanzindustrie Sicherheit, dass die Kontrollumgebung von AWS angemessen konzipiert und implementiert ist, um die wichtigsten Betriebsrisiken und Risiken im Zusammenhang mit Outsourcing und betrieblichem Kontinuitätsmanagement zu adressieren. Darüber hinaus enthält der Bericht für Kunden wichtige Hinweise zu CUECs (Complementary User Entity Controls, ergänzende Benutzerentitätskontrollen), deren Implementierung Kunden im Rahmen des Modells der gemeinsamen Verantwortung von AWS in Betracht ziehen sollten, um die Kontrollziele der FINMA zu erfüllen.
-
Kann ich ein Exemplar des FINMA-ISAE3000-Berichts (Typ 2) erhalten?
Ja. Der Prüfungsbericht kann von AWS Artifact heruntergeladen werden.
-
Wird AWS durch die FINMA reguliert?
AWS ist kein von der FINMA reguliertes Unternehmen, allerdings können AWS-Finanzdienstleistungskunden in der Schweiz durch die FINMA reguliert werden. Weitere Informationen zur Rolle der FINMA und zu ihren Vorschriften finden Sie auf der FINMA-Website.