Nowe zasady korzystania z chmury w firmie inwestycyjnej lub banku
Projekt wytycznych ma bardzo przejrzystą strukturę, co znacznie ułatwia przygotowanie się do wykorzystania chmury w ramach outsourcingu inwestycyjnego.
To na co warto zwrócić uwagę, to podkreślenie przez ESMA, że powszechne wykorzystanie chmury powiązane z ryzykiem koncentracji może stanowić pewne zagrożenie dla stabilności finansowej ‒ to temat, który poruszyła Komisja przy okazji publikacji Strategii dla danych.
Przejdźmy szybko przez najważniejsze elementy dokumentu. Do czasu wydania finalnych wytycznych omówienie w dużym skrócie. Dzisiaj trzy pierwsze wytyczne, które już dość istotnie różnią się od tego „co widzieliśmy wcześniej”.
Bardzo pomocna jest lista na początku dokumentu, która zawiera wykaz wszystkich aktów prawnych, które potencjalnie mogą mieć zastosowanie w przypadku korzystania przez określone podmioty z chmury obliczeniowej.
Jeżeli chodzi o zakres podmiotów, do których mają mieć zastosowanie wytyczne, to jest on dość szeroki i obejmuje poza firmami inwestycyjnymi oraz bankami, m.in. CCP czy agencje ratingowe.
Ważna definicja
Na plus zasługuje stosunkowo elastyczna definicja usług chmurowych. W projektowanej wersji dokumentu mamy wskazanie, że za chmurę należy uznać (pozwalam sobie na pozostawienie anglojęzycznej wersji, bo inaczej połamię sobie „język”):
„Paradigm for enabling network access to a scalable and elastic pool of shareable physical or virtual resources (for example servers, operating systems, networks, software, applications, and storage equipment) with self-service provisioning and administration on- demand”
Od razu widać, że definicja ta nie pokrywa się z podejściem zaprezentowanym przez EBA w wytycznych dotyczących outsourcingu, ale już jest zbliżona do tej w stanowisku UKNF w sprawie stosowania chmury. Jeżeli chodzi o modele chmury wskazane w projekcie, to mamy standard, tj. chmurę społecznościową, publiczną, prywatną i hybrydową.
Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?
Pozostałe definicje nie odbiegają zasadniczo od tych prezentowanych we wspomnianych wytycznych EBA czy stanowisku UKNF, w szczególności w odniesieniu do funkcji krytycznych czy istotnych.
Wytyczna 1, czyli organizacja i compliance
Ciekawe jest to, że ESMA wymagać chce od firm inwestycyjnych stworzenia i stosowania „data cloud outsourcing strategy”, która ma być oddzielną „polityką”, ale skorelowaną z innymi dokumentami jak np. strategią w zakresie informacji i komunikacji, technologii, bezpieczeństwa informacji i strategią zarządzania ryzykiem operacyjnym oraz wewnętrznymi politykami i procesami.
Uff…, a więc mamy kolejny dokument do kolekcji, szkoda tylko, że bez bardziej konkretnych wytycznych co do zakresu, ale jak zakładam chodzi o ogólne założenia dotyczące tego gdzie, kiedy i jak podmiot zamierza korzystać z chmury.
ESMA zakłada wymóg wyznaczenia tzw. „outsourcing oversight function”, która ma być przypisana do osoby z personelu wyższego szczebla, która odpowiada bezpośrednio do zarządu i jest odpowiedzialna za zarządzanie ryzykami chmurowymi. Wszystko oczywiście z uwzględnieniem zasady proporcjonalności, pewne odstępstwa są dla mniejszych podmiotów.
Mamy też risk-based approach i monitoring KPIs czy KTL. Standardowo należy utworzyć rejestr, na wzór tego, który opisują wytyczne EBA w sprawie outsourcingu. Szczególne wymagania mamy dla umów na chmurę, w kontekście rejestru. Co ciekawe w rejestrze powinny znaleźć się też takie informacje na temat przewidywanego rocznego budżetu (bez VAT!) dla danej umowy.
Wytyczna 2. Due diligence
Raczej standard. Najpierw mamy 4-stopniową ocenę czy:
1. Umowa będzie na funkcje krytyczne/istotne;
2. Przenalizowane zostały wszystkie ryzyka związane z umową;
3. Zostało przeprowadzone badanie dostawcy (due diligence) oraz
4. Nie występuje konflikt interesów.
I tutaj bomba. Jeżeli mamy outsourcing na funkcje krytyczne lub istotne, to zakres dodatkowych ocen i analiz jest dużo szerszy i obejmuje m.in. ocenę stabilności politycznej, bezpieczeństwo i system prawny (w szczególności w zakresie upadłości i egzekucji należności oraz bezpieczeństwa informacji) i to niezależnie czy mówimy o UE czy nie.
Czytaj także: Będziemy mieć unijną chmurę obliczeniową? Strategia KE ws. danych osobowych
Mamy też informację odnośnie lokalizacji danych, kwestię podoutsourcingu czy ryzyko koncentracji, ale w odniesieniu do dostawcy usług chmurowych, w ramach grupy i poza nią. To niewątpliwie krok naprzód i jasny sygnał, że takie ryzyko może się zmaterializować.
Z istotnych elementów due diligence warto wymienić konieczność sprawdzenie jak chronione są dane czy jak wyglądają plany awaryjne, w tym sposób kontaktu z usługami wsparcia, ale także wszelkie rozwiązania w zakresie BCP czy DRP. Nie zaszkodzi też dodatkowy audyt.
Wytyczna 3, czyli umowa
Oczywiście umowa pisemna ‒ to dość dziwne, że ESMA nie dopuszcza formy cyfrowej w odniesieniu do usług cyfrowych, ale pewnie chodzi o bezpieczeństwo. Jako niezwykle istotny element unijny nadzorca wskazuje, że firma powinna mieć jasno określone prawo do wypowiedzenia umowy, jeżeli zachodzi taka konieczność.
Dla umów na funkcje krytyczne/istotne EMSA przewiduje pewne minimum postanowień, które powinny się tam znaleźć. Nie ma tutaj nic nadzwyczajnego i wykraczającego poza to, co już jest np. w stanowisku UKNF w sprawie chmury.
Czytaj także: Bank z umową na chmurę obliczeniową w egzotycznym kraju? Co na to komunikat KNF?
Oczywiście nadal najbardziej istotne jest prawo do inspekcji, choć tutaj określono jest szerzej, wskazując, że chodzi m.in. o kontrolę systemów i nośników, a także ksiąg i siedziby ‒ lokalizacji centrów danych.
Pierwsze wrażenia?
Wydaje mi się, że nie wszystkie elementy tam zawarte się utrzymają, jako nieco nadmiarowe. Niemniej jednak dobrze, że ESMA podjęła się opracowania projektu wytycznych, bo te niewątpliwie są potrzebne.
Problemem może być jednak konieczność opracowania dodatkowych rejestrów, polityk i procedur związanych z wykorzystaniem chmury. Z drugiej strony mówimy (myślimy) o szerszym wykorzystaniu chmury w sektorze finansowym, więc może taka przyszłość nas czeka?
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.