Co zmienia komunikat KNF w sprawie chmury obliczeniowej?

Co ważne, jego założenia w istotny sposób wpisują się w standardy opracowywane przez grupę roboczą przy Związku Banku Polskich, pracującej obecnie nad „przewodnikiem”, czyli swoistą mapą procesów mających ułatwić bankom wdrażanie rozwiązań chmurowych.

Kochański & Partners jest głównym partnerem prawnym grupy projektowej, którą koordynuje Accenture, a jej liderem jest wybitny ekspert w dziedzinie Cloud computing – Grzegorz Pędzisz, CIO Idea Banku.

Nowy komunikat zastąpi ten opublikowany 23.10.2017 r. dotyczący „korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej”.

Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?

Nowością są przede wszystkim zmienione wymagania co do umowy outsourcingowej oraz wytyczne dla dostawców usług chmurowych, w szczególności obowiązek zgodności z normą ISO/IEC 27017 dotyczącą bezpieczeństwa informacji w chmurze obliczeniowej.

W nowym komunikacie znajdują się również informacje dotyczące szacowania ryzyka zgodnie z wymaganiami aktualnego wydania normy PN-ISO 27005 lub jej odpowiednika w europejskim systemie normalizacji lub na bazie innego, usystematyzowanego podejścia.

Czytaj także: Chmura obliczeniowa: jest komunikat UKNF dotyczący przetwarzania informacji

Komunikat prezentuje też niezbędną bogatą siatkę pojęciową, wraz z nieznaną dotąd definicją outsourcingu szczególnego.

Przedstawia również przydatną matrycę wyjaśniającą, jak komunikat ma być stosowany oraz wytyczne co do ponownej klasyfikacji i oceny informacji.

Dzisiejsza publikacja komunikatu oraz finalizacja „przewodnika” są milowymi krokami dla przyszłości Cloud computing w polskiej bankowości.

W mojej ocenie pełny transfer technologiczny nastąpi najprawdopodobniej nie później niż za 2 do 3 lat.

Daniel Kozłowski, Adwokat, Starszy Prawnik Sektora Usług Finansowych w Kochański & Partners, Koordynator Prawny Grupy ds. standardu wdrożenia rozwiązań chmurowych przy ZBP, FTB