mec. Stefan Cieśla: Prawo wyznacza standardy bezpieczeństwa
Wypowiedź dla aleBank.pl: mec. Stefan Cieśla, Bank Polskiej Spółdzielczości S.A.
mec. Stefan Cieśla: Pojęcie „chmura prywatna”, „chmura publiczna” są raczej pojęciami dotyczącymi struktury własności chmury, a nie pojęciami ściśle prawnymi. Odwołujemy się raczej do tego, kto jest właścicielem rozwiązań, a nie do odpowiednich przepisów prawa. Prawo nie reguluje szczegółowych zasad ulokowania danych w chmurze, czy w chmurze prywatnej czy publicznej. Prawo wymaga aby dane były bezpieczne.
Zasadniczo w sferze bankowości mamy dwa reżimy prawne, które regulują zagadnienia związane z przetwarzaniem w chmurze: przepisy ogólne czyli ustawa o ochronie danych osobowych oraz prawo bankowe. Ustawa o ochronie danych osobowych obowiązująca wszystkie podmioty, które przetwarzają dane osobowe, pozwala na przetwarzanie na wszystkich serwerach, które są zlokalizowane w pewnym uogólnieniu na terenie europejskiego obszaru gospodarczego. Oznacza to że nie ma różnicy czy przetwarzamy w Warszawie, Łodzi, Berlinie, Sztokholmie, czy Paryżu. Każde tego rodzaju przetwarzanie jest dopuszczalne. Sprawa wygląda nieco inaczej jeśli chodzi o zagadnienie bezpieczeństwa związane z prawem bankowym. Regulator wymaga aby dane były przetwarzane w miejscu oznaczonym, w sposób zapewniający ich integralność, bezpieczeństwo oraz zapewniający możliwość sprawnego odtworzenia działania w wypadku jakichkolwiek problemów. Oznacza to, że dane przetwarzane w bankowości powinny być przetwarzane w zdefiniowanej lokalizacji – mogą być także przetwarzane poza terenem RP, ale muszą mieć zagwarantowane bezpieczeństwo.
Dochodzimy do punktu kluczowego – mniej istotne są zagadnienia szczegółowych rozwiązań technicznych, najistotniejsze są zagadnienia technologicznego bezpieczeństwa. Nie można przetwarzać, jeśli to działanie nie gwarantuje pełnego bezpieczeństwa klientowi. Nie można przetwarzać jeżeli przetwarzanie nie gwarantuje możliwości natychmiastowego podjęcia pracy przez bank w wypadku jakiejkolwiek awarii. Te zagadnienia zostały bardzo ładnie uregulowane przez KNF w ostatniej Rekomendacji D z roku 2013, którą banki muszą znać jak swoisty katechizm.
www.aleBank.pl
Zobacz rozmowę w wersji wideo: „mec. Stefan Cieśla: Prawo wyznacza standardy bezpieczeństwa „