注意:此合规性页面参考阿联酋法规,不包括迪拜国际金融中心(“DIFC”)和阿布扎比金融自由区(“ADGM”)。有关 DIFC 和 ADGM 的更多信息,请参阅它们各自的合规性页面。
AWS 致力于为阿拉伯联合酋长国(“UAE”)的金融机构提供强大的合规框架以及先进的工具和安全措施,这些机构可以使用它们来评估、满足和展示对适用法律和法规要求的合规性。
本文档为 AWS 金融机构客户提供了有关阿联酋法律和法规要求的信息,这些要求可能适用于他们对 AWS 服务的使用。
法规
-
金融机构是否可以使用 AWS?
是。阿联酋的金融机构可以使用云服务,前提是它们遵守适用的法律和法规要求,例如下文所述的要求。
-
谁是金融监管机构?
阿联酋中央银行(“CBUAE”)负责监管在岸(阿联酋大陆)运营的银行、保险公司、合作金融机构、金融联合体和某些市场基础设施。CBUAE 还监管储值设施(“SVF”),即客户向 SVF 发行人支付一笔款项,以换取将该资金的价值存储在设施中(现金除外)。
证券和商品管理局(“SCA”)监管在阿联酋证券交易所上市的上市股份公司和其他从事证券领域的公司,以及在阿联酋境内和来自阿联酋(迪拜酋长国除外)的虚拟资产的供应、使用和交换。
虚拟资产监管局(“VARA”)负责监管和监督迪拜酋长国境内和来自迪拜酋长国的虚拟资产的提供、使用和交换。
-
哪些法规适用于使用 AWS 的金融机构?
阿联酋的金融机构在使用云服务时可能会受到许多不同的法律和法规要求的约束。
CBUAE 发布的立法和相关指南以及 SCA 和 VARA 发布的指南(特别是与迪拜酋长国有关的指南)为阿联酋金融机构计划使用云服务或离岸数据提供了框架。主要立法和指南包括以下各项:
- SCA 的《营商环境指南》(适用于云外包的部分)
- CBUAE 的银行外包法规
- CBUAE 的银行外包标准
- CBUAE 的金融机构采用赋能技术的指南
- VARA 的技术和信息手册
上述框架涵盖各种合同和业务领域,包括尽职调查、风险管理、业务连续性以及监控和监督。AWS Artifact 上提供的《阿拉伯联合酋长国金融服务法规和指南用户指南》总结了 CBUAE 与外包、IT 风险和云相关的要求和建议。本指南对于希望使用 AWS 服务运行实质性工作负载的 CBUAE 监管机构特别有用。
客户如对适用法规以及这些法规如何适用于其使用 AWS 服务有疑问,可联系其客户代表。
该领域的法规变化迅速,AWS 正在努力帮助客户积极响应新的规则和指南。AWS 鼓励其金融机构客户就其遵守与其业务相关的所有监管和法律要求(包括其他地方法规、指南和法律)获得适当的建议。
-
使用 AWS 的金融机构的关键注意事项
AWS 致力于为客户提供强大的合规性框架以及一些高级工具和安全措施,客户可以使用它们来评估、满足和展示对适用法律和法规要求的合规性。
正在使用或计划使用 AWS 服务的金融机构可以采取以下步骤来更好地了解其合规需求:
1.考虑正在考虑的工作负载的目的和相关的数据类别,以预测可能适用的法律和法规要求。
2.根据当地要求评测相关工作负载的重要性或关键性。例如:
a.在外包任何实质性活动之前,受《银行外包条例》监管的客户必须事先获得中央银行的无异议通知,并且在将重要业务活动或机密数据离岸外包之前,还应与 CBUAE 进行磋商。
b.根据 VARA 的《技术和信息手册》,任何受 VARA 监管的客户都需要制定与网络安全和风险评测相关的适当政策,并确保任何外包都符合此类政策。
c.任何受 SCA 监管的运营虚拟资产钱包的客户在任何外包过程中都必须确保遵守某些安全标准,审查相关的服务协议,并考虑 SCA 的《营商环境指南》中与记录保存和数据保护相关的要求。
3.查看 AWS 责任共担模式,并根据将要使用的每项 AWS 服务映射 AWS 责任和客户责任。客户还可以使用 AWS Artifact 来访问 AWS 的审计报告并对控制责任进行评测。
4.如果客户对 AWS 服务如何满足其安全性和合规性需求有其他疑问,或者想了解更多信息,可以联系他们的客户代表。
-
使用 AWS 的金融机构的关键数据隐私和保护注意事项
使用 AWS 的阿联酋金融机构还应考虑适用的隐私要求,包括 2021 年第 45 号联邦法令。客户可以参考阿联酋数据隐私页面,了解有关阿联酋数据隐私法规的更多问题。
如果客户处理或计划处理欧盟(EU)数据主体的个人数据,则应访问 AWS 的《通用数据保护条例》(GDPR)中心。有关这些要求的更多信息,请参阅 在 AWS 上实现 GDPR 合规性。
在法律和法规要求的推动下,公共和私有部门的许多组织都有数据驻留要求。借助 AWS Outposts,他们可以将云的优势带到自己的设施中,同时在所选位置存储和处理数据。
资源
-
特定国家/地区的
-
一般性问题
-
合规性计划
-
特定国家/地区的
-
以下资源可通过 AWS Artifact 下载。请注意,需要一个 AWS 账户才能访问 AWS Artifact。
本指南提供了与阿联酋中央银行的外包监管和在阿联酋运营的银行标准相关的各种考虑因素。它提供信息以协助在阿联酋经营的银行寻求使用 AWS 服务。
本指南描述了客户和 AWS 在管理和保护云环境中各自扮演的角色,概述了客户在使用 AWS 时可以考虑的监管要求和指导,并提供了其他资源,客户可以使用这些资源来设计和架构他们的 AWS 环境以确保安全并帮助满足监管期望。
-
一般性问题
-
《数字运营弹性法案》(DORA)的 AWS 用户指南
以下资源可通过 AWS Artifact 下载。请注意,需要一个 AWS 账户才能访问 AWS Artifact。
本指南提供有关受欧洲银行管理局(EBA)、欧洲保险和职业养老金管理局(EIOPA)以及欧洲证券和市场管理局(ESMA)监管的实体采用 Amazon Web Services(AWS)云的信息,这些实体受《数字运营弹性法案》(DORA)的约束。
《数字运营弹性法案》(DORA)的 AWS 用户指南下面是我们公开提供的资源:
了解 AWS 上的 GDPR 合规性本指南为受即将出台的《数字运营弹性法案》(DORA)约束的实体提供有关采用 Amazon Web Services(AWS)云的信息。本指南描述了 AWS 及其客户在 AWS 中及其上管理运营弹性方面所扮演的角色,描述了 AWS 责任共担模式、合规框架、高级工具和安全措施,可供客户评估其对适用监管要求的合规性;并概述了受监管客户在采用 AWS 时可以考虑的 DORA 监管要求和指南。
AWS 上的支付卡行业数据安全标准(PCI DSS)3.2.1本文档介绍有关 Amazon Web Services(AWS)向客户提供的服务和资源的信息,这些服务和资源可以帮助他们做出调整,以符合可能适用于其活动的《通用数据保护条例》(GDPR)的要求。这其中包括 IT 安全标准、AWS 云计算合规性控制目录(C5)认证、欧洲云基础设施服务提供商联盟(CISPE)的行为准则、数据访问控制、监控与记录工具、加密和密钥管理等。
遵循常见隐私和数据保护注意事项使用 AWS本指南为客户提供了足够的信息,使他们能够规划和记录其 AWS 工作负载的支付卡行业数据安全标准(PCI DSS)合规性。这包括选择符合特定 PCI DSS 3.2.1 要求的控制措施、规划证据收集以满足评测测试程序,以及向其 PCI 合格安全评估机构(QSA)解释其控制措施实施情况。
AWS 合规性快速参考指南本文档提供的信息旨在帮助希望使用 AWS 存储或处理包含个人数据的内容的客户,并考虑到常见的隐私和数据保护因素。它将帮助客户了解 AWS 服务的运行方式,包括客户如何解决安全问题和加密其内容。客户可以选择用来存储内容的地理位置和其他相关注意事项。客户和 AWS 在管理和保护 AWS 服务中存储的内容方面各自承担的角色。
AWS 运营弹性AWS 有许多支持合规性的功能,您可以将这些功能用于 AWS 云中的受监管工作负载。这些功能使您可以大规模实现更高级别的安全。基于云的合规性通过提供更多的监督、安全控制和集中自动化,降低入门成本、简化操作并提高敏捷性。
数据分类和安全的云采用本文的目的是描述 AWS 和我们在金融服务行业的客户如何使用 AWS 服务实现运营弹性。
AWS 策略视角:数据驻留本文深入探讨了公共和私有组织在将数据迁移到云端时可以利用的分类方案。它确定了全球先行者和早期采用者目前实施的做法和模型,研究了这些计划的实施如何简化云采用,并建议了将国家要求与国际认可的标准和框架相协调的做法。
AWS 风险和合规性本文探讨了:政府在要求国内数据驻留时所表达的真实的和感知的安全风险。以政府数据为重点的国内数据驻留政策对商业、公共部门和经济的影响。政府在执行要求之前需要评估的考虑因素,这些要求可能会无意中限制公共部门的数字化转型目标,从而增加网络安全风险。
AWS 安全性审核指南本文档旨在为 AWS 客户提供信息,协助他们将 AWS 集成到支持其 IT 环境的现有控制框架中。本文档包含评估 AWS 的控制能力的基本方法,并提供相关信息来帮助客户集成控制环境。此外,本文档还围绕一般性云计算合规性问题,提供了一些 AWS 特定信息。
系统审查和监控您的 AWS 资源以获取安全最佳实践的指南。
-
合规性计划
-
迪拜电子安全中心(DESC)云服务提供商(CSP)安全标准
ISO 9001
PCI DSS 第 1 级
阿拉伯联合酋长国(UAE)信息保障条例(IAR)
ISO 27001
SOC
CSA
ISO 27017
GDPR
ISO 27018
