Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?
Oto krótkie podsumowanie najważniejszych aspektów dotyczących wykorzystania cloud computing. W najbliższych miesiącach UKNF zamierza przeprowadzić warsztaty dla podmiotów nadzorowanych i dostawców chmury.
Komunikat obejmuje szereg podmiotów nadzorowanych, nie tylko banki, ale również dostawców usług płatniczych czy firm inwestycyjnych. Zakres podmiotowy jest więc szeroki.
Od kiedy i w jakim zakresie?
Podmioty nadzorowane zobowiązane są do stosowania nowego komunikatu od 1 sierpnia 2020 r., a komunikat z 2017 r. przestaje obowiązywać. To, na co warto zwrócić uwagę to fakt, że wszelkie wytyczne EBA, ESMA czy EIOPA (np. wytyczne EBA w sprawie outsourcingu czy ryzyk IT i bezpieczeństwa) w aspekcie chmury obliczeniowej nie będą miały zastosowania do podmiotów nadzorowanych.
Ważne będzie więc przeprowadzenie weryfikacji − czy dotychczas stosowane rozwiązania nie pozostają w sprzeczności z komunikatem.
W odniesieniu do „czego”?
KNF oczekuje, że podmioty nadzorowane będą stosowały model referencyjny w przypadku przetwarzania informacji prawnie chronionych lub gdy przetwarzanie informacji ma charakter tzw. outsourcingu szczególnego chmury obliczeniowej (publicznej lub hybrydowej).
W przypadku, gdy mamy do czynienia z przetwarzaniem innych informacji lub nie mamy do czynienia z outsourcingiem szczególnym − komunikat KNF może (ale nie musi) być stosowany.
Nie stosujemy też komunikatu w przypadku chmury prywatnej.
Czytaj także: Chmura obliczeniowa: jest komunikat UKNF dotyczący przetwarzania informacji
Outsourcing szczególny chmury obliczeniowej?
To nowe pojęcie wprowadzone przez komunikat, choć w znacznej mierze pokrywa się z definicją outsourcingu funkcji krytycznych/istotnych (np. art. 86 ustawy o usługach płatniczych).
Zgodnie z podejściem KNF takim outsourcingiem będzie powierzenie czynności w ramach których podmiot nadzorowany powierza dostawcy usług chmury obliczeniowej wykonanie za pomocą usługi chmury obliczeniowej czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego:
− wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania lub
− zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej.
Jak określić czy stosujemy komunikat?
Punktem wyjścia ma być przeprowadzenie udokumentowanej klasyfikacji i oceny informacji. W ramach tego procesu należy przypisać określone informacje, które mają być przetwarzane w chmurze do jednej z kategorii:
− prawnie chronionych (np. tajemnica bankowa czy zawodowa);
− innych informacji prawnie chronionych (wynikających z przepisów prawa);
− pozostałych (niepodlegających takiej ochronie).
W ramach kwalifikacji należy uwzględnić w ogóle możliwość przetwarzania takich informacji w chmurze obliczeniowej (np. czy nie podlegają one określonym wyłączeniom).
Taka klasyfikacja powinna podlegać regularnym przeglądom (co najmniej raz w roku) i w przypadku rozszerzenia zakresu wykorzystania chmury na nowe kategorie danych.
W kolejnym kroku mamy szacowanie ryzyka.
Czytaj także: Co zmienia komunikat KNF w sprawie chmury obliczeniowej?
Minimalne wymagania dla przetwarzania w chmurze
KNF określił minimalny zestaw wymagań organizacyjno-technicznych, które podmiot nadzorowany musi spełnić (uwzględniając oszacowany poziom ryzyka).
Należą do nich:
− wymagania kompetencyjne pracowników (zarówno IT, bezpieczeństwa, jak i ochrony danych osobowych – muszą być one w odpowiedni sposób udokumentowane);
− wymagania w zakresie umowy z dostawcą rozwiązań chmurowych;
− posiadanie planu przetwarzania informacji w chmurze obliczeniowej;
− wymagania dla samych dostawców (m.in. spełnienie odpowiednich norm ISO);
− stosowanie metod kryptograficznych;
− monitorowanie środowiska przetwarzania informacji w usługach chmury obliczeniowej;
− dokumentowanie działań.
Ważne! Dla operatorów usług kluczowych KNF rekomenduje stosowanie centrum przetwarzania danych zlokalizowanych w Polsce (chyba, że gdzie indziej będzie lepiej po uwzględnieniu odpowiedniej analizy kosztów, bezpieczeństwa i jakości usług).
Informowanie KNF
Jeżeli mamy do czynienia z outsourcingiem szczególnym lub przetwarzaniem danych prawnie chronionych, to podmiot nadzorowany ma obowiązek na 14 dni przed rozpoczęciem przetwarzania (lub nie później niż do 1 sierpnia 2020 r.) poinformować KNF o zakresie przetwarzania i nazwie dostawcy oraz rodzaju planowanych usług (jak rozumiem − chodzi o wskazanie czy to IaaS czy SaaS etc.).
Dodatkowo należy poinformować o dacie podpisania umowy oraz terminach obowiązywania czy lokalizacji CPD.
Podmiot nadzorowany musi również udokumentować, że spełnił wymogi komunikatu, a więc m.in. przeprowadził stosowną klasyfikację oraz poinformować o osobach kontaktowych zajmujących się chmurą.
Informacje te powinny zostać przekazane przez uprawnionego przedstawiciela i dostarczone na wzorze stanowiącym załącznik do komunikatu.
Jak (wstępnie) ocenić komunikat?
Na pierwszy rzut oka wydaje się, że jest on nieco bardziej liberalny niż pierwszy projekt. Na plus zasługuje to, że podmiotom nadzorowanym dano jednak wybór pomiędzy CDP zlokalizowanym w Polsce a za granicą (choć ocena czy jest możliwe może być trudna).
Ważne jest też to, że do komunikatu otrzymaliśmy wzór zawiadomienia, co znacznie ułatwi pracę. Na ostateczną ocenę należy jednak poczekać i obserwować, jak zmieni się rynek wobec samego komunikatu.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.