BANK 2023/09

Nowoczesny Bank Spółdzielczy | Forum Liderów Banków Spółdzielczych – FINGO sp. z o.o. | 7 elementów, które gwarantują bankom bezpieczeństwo w chmurze 

Kinga Brzozowska | FINGO sp. z o.o.
Nowoczesny Bank Spółdzielczy | Forum Liderów Banków Spółdzielczych – FINGO sp. z o.o. | 7 elementów, które gwarantują bankom bezpieczeństwo w chmurze 
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Dynamicznie zmieniająca się rzeczywistość oraz rozwój technologiczny sprawiają, że aby nadążyć za ewoluującymi trendami coraz więcej rozwiązań finansowych zaczyna działać w przestrzeni chmurowej. Dziś bankowość mobilna, a nawet banki bez stacjonarnych placówek, już nikogo nie dziwią. Branża idzie jednak o krok dalej i w wielu instytucjach płatniczych zaczęto podejmować wyzwanie przenoszenia sprawozdawczości do chmury obliczeniowej.

Kinga Brzozowska
Information Compliance Officer i Data Protection Officer FINGO sp. z o.o.

Sprawozdawczość w  chmurze to przełom w bankowej codzienności. Jednak, chcąc w nim uczestniczyć banki stają przed nie lada wyzwaniami w zakresie bezpieczeństwa przetwarzanych danych.

Nadzorcy położyli szczególny nacisk na to zagadnienie – zgodność z regulacjami jest obecnie równoznaczna z wysokimi standardami ochrony informacji.

W Polsce nad bankową transformacją chmurową czuwa Komisja Nadzoru Finansowego (KNF) i jeśli wymagania nie są spełnione, może wyrazić sprzeciw na przejście banku do chmury. Uregulowaniom podlega każdy etap procesu, zwiększono również wymagania dotyczące dokumentacji compliance. Pojawił się obligatoryjny wymóg projektowania oprogramowania z uwzględnieniem poufności (privacy by design), obowiązek szczegółowej rozliczalności przetwarzania danych, dokumentowania i analizy logów, a także stosowania zaawansowanych kluczy szyfrujących. Każdy z przygotowywanych dokumentów musi być dla usługi w modelu chmurowym. Oczywiście bank powinien wykonać analizę ryzyka i zweryfikować dostawcę – wytyczne nadzoru spełniają tylko ci, którzy przeniosą bezpieczeństwo danych bankowych na zupełnie nowy poziom.

Chmura gwarantuje przede wszystkim wyższy poziom bezpieczeństwa oraz większą transparentność i rozliczalność procesów, jest też narzędziem przyszłości, które pomaga sprostać wyzwaniom współczesności.

Omówmy zatem obszary, jakie powinien przeanalizować bank, chcąc pewnie wkroczyć w nową erę sprawozdawczości bankowej. 

1. Ocena dostawcy

Weryfikacja wiarygodności partnera, który dostarcza bankowi usługę oprogramowania w chmurze obliczeniowej, jest elementem, którego nie można pomijać lub marginalizować. 

Przy podejmowaniu się oceny, nie zaszkodzi rzut oka na stronę internetową firmy, która jest swoistą wizytówką przedsiębiorcy. Jeśli nie wzbudzi ona naszego zaufania, to wyraźny sygnał ostrzegawczy. Na co warto zwrócić uwagę? Przede wszystkim, czy są dostępne klauzule informacyjne, polityka prywatności, a także możliwość odrzucenia nadmiarowych cookies. Sprawdźmy, czy jest dostępny kontakt do Inspektora Danych Osobowych. Wartościowe będą również informacje o posiadanych certyfikatach stanowiących dowód, iż akredytowane jednostki certyfikujące potwierdzają, że dostawca działa zgodnie z najwyższymi standardami.

Podejmując decyzję o współpracy, już na etapie negocjacji i umowy przedwstępnej, mamy okazję przyjrzeć się wnikliwiej kontrahentowi. Przeanalizujmy, jakie zapisy zawierają umowy i czy są one dla nas transparentne. Zwróćmy uwagę, czy istnieje możliwość konsultacji z osobami odpowiedzialnymi za bezpieczeństwo danych i compliance. Zweryfikujmy, czy osoby, z którymi się kontaktujemy w sprawie oferty oraz procesu wdrożenia mają wiedzę w zakresie bezpieczeństwa i znają wymagania stawiane bankom przez nadzorców. 

Poziom bezpieczeństwa banku zwiększa się, jeśli dostawca oferuje wsparcie w zakresie compliance. Dzięki temu możemy sprawdzić,czy firma zna rynek bankowy, posiada narzędzia i kompetencje, aby pomóc w wykonaniu analizy ryzyka, oraz, czy będzie potrafiła z sukcesem przeprowadzić bank przez proces onboardningu do KNF.

Ocena dostawcy powinna nas utwierdzić w wyborze przyszłego kontrahenta. 

2. Zgodność usługi z normami i komunikatami Regulatorów

Rzeczywistość legislacyjna musi nadążać za zmianami, a to oznacza, że i ona ulega przemianom. Dlatego ważne jest, aby mieć pewność, że dostawca spełnia normy, które obowiązują w momencie podpisania umowy.

Wśród najważniejszych regulacji w procesie przetwarzania danych bankowych w chmurze należy wyróżnić: 

  • Ustawę Prawo bankowe.
  • Ogólne Rozporządzenie o ochronie danych (RODO).
  • Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej – tu dostawca powinien oferować pakiet niezbędnej dokumentacji.
  • Rodzinę norm ISO, w szczególności: 27001, 27017 i 27018, 22301, a także 29151 i 29134.
  • Ustawę o Świadczeniu usług drogą elektroniczną (UŚUDE).
  • Digital Operational Resilience Act (DORA).
  • Decyzję KE w sprawie odpowiedniego stopnia ochrony danych osobowych na podstawie ram ochrony danych UE-USA.

Oceniając dostawcę, należy zweryfikować wdrożenie procedur, które gwarantują działanie zgodnie z zasadami:

  • wiedzy koniecznej,
  • minimalnych uprawnień,
  • rozdzielenia obowiązków,
  • klasyfikacji informacji,
  • identyfikacji i weryfikacji naruszeń oraz incydentów,
  • przeprowadzania audytów i kontroli,
  • zapewnienia ciągłości działania.

Działając na rynku ściśle regulowanym, szczególnie istotne jest, aby dostawca był wiarygodny, doświadczony i biegły nie tylko w aspektach technicznych, ale również w przestrzeni prawnej. 

3. RODO

Ogólne Rozporządzenie o ochronie danych pojawiło się w europejskim systemie prawnym jako odpowiedź na potrzeby uregulowania i ujednolicenia zasad przetwarzania danych osobowych na obszarze Unii Europejskiej. Dlatego wszystkie kraje Unii Europejskiej, w tym Polska, przyjęły tę dyrektywę i wprowadziły ją do swojego prawodawstwa. 

Dlaczego ta regulacja jest z punktu widzenia banku tak istotna? Ponieważ RODO pozwala na kontrolę sposobu, celu i czasu przetwarzania danych o szczególnym znaczeniu.

W dobie cyberprzestępczości, a przede wszystkim utowarowienia danych osobowych, względy bezpieczeństwa, procedury oraz etyka dostawców są kluczowe dla zachowania bezpieczeństwa.

W tym aspekcie po stronie partnera banku istotne jest, aby:

  • przetwarzał dane w oparciu o udokumentowane podstawy prawne (art. 6, 7);
  • wdrożył w systemach zasady Privacy by Design/Default (art.  25),
  • spełniał wobec podmiotów danych obowiązek informacyjny (art. 12, 13 i 14),
  • regulował przekazywanie danych poza EOG (art. 46–49),
  • prowadził rejestry naruszeń przetwarzania danych osobowych (art. 33, 34) oraz żądań podmiotów danych (art. 12, 15–22).

A także:

  • powołał inspektora ochrony danych (dalej IOD) lub wyznaczył osobę ­odpowiedzialną w zakresie przetwarzanie danych osobowych w organizacji,
  • przeprowadzał cyklicznie analizy ryzyka,
  • nie oczekiwał od banku podawania danych nadmiarowych,
  • zwracał uwagę na anonimizację i minimalizację danych.

Zwiększająca się świadomość w zakresie ochrony danych osobowych sprawia, że rzetelny bank musi zapewniać klientom najwyższy standard poufności i ochrony w tym zakresie.

4. System Zarządzania Bezpieczeństwem Informacji (SZBI) 

Po stronie dostawcy system powinien obejmować kluczowe aspekty działania i definiować cele, które wpływają na zmniejszenie ryzyka naruszenia bezpieczeństwa informacji – utratę poufności, dostępności oraz integralności.

Działający System Zarządzania Bezpieczeństwem Informacji gwarantuje:

  • spełnienie wymagań prawnych oraz wytycznych organów nadzorczych dla rynków regulowanych,
  • wysoką jakość tworzonego oprogramowania,
  • zapewnienie ciągłości działania.

Elementami wzorcowego systemu są:

  • biblioteka dokumentacji compliance – szczególnie polityki dostosowane do profilu i potrzeb organizacji, np. w zakresie rozwiązań chmurowych,
  • powołanie Inspektora Ochrony Danych,
  • regularne analizy ryzyka,
  • weryfikacja dostawców,
  • zwiększanie kompetencji i świadomość personelu.

Firmy, które wdrożyły omawiany system dynamiczniej się rozwijają i wyznaczają standardy w branży. Pamiętajmy, że na rynku regulowanym niesolidny dostawca może sprawić, że bank ucierpi wizerunkowo, a w skrajnych przypadkach może nawet ponieść konsekwencje finansowe i prawne, a nawet upaść.

5. Analiza ryzyka

Sprawdzenie, czy potencjalny dostawca prowadzi analizy ryzyka pomaga uniknąć wielu kłopotów. Uczciwe i rzetelne przebadanie ryzyk oraz udzielanie bankowi niezbędnych informacji pomaga wykryć luki i zabezpieczyć się na przyszłość. Jeśli dostawca nie potwierdza przeprowadzenia pełnej iteracji analizy ryzyka i nie umie opisać procesu postępowania z ryzykami, powinniśmy zrezygnować z podjęcia współpracy. 

Najważniejsze w procesie analizy ryzyka są:

  • Identyfikacja ryzyk: ich charakteru, poziomu i skutków.
  • Postępowanie z ryzykiem: akceptacja, mitygacja, redukcja.
  • Zdefiniowanie działań korygujących.

Jeśli partner regularnie przeprowadza analizę ryzyka dla całej organizacji oraz stale doskonali swój SZBI z uwzględnieniem aktualnego stanu wiedzy, możemy być pewni, że znacząco zmniejsza to prawdopodobieństwo zaistnienia incydentów w zakresie bezpieczeństwa oraz naruszeń danych osobowych.

6. Audyty i kontrole

Kontrola to doskonały weryfikator postępów i stanu bezpieczeństwa informacji, dlatego jest szczególnym elementem systemu bezpieczeństwa.

Audyty mają na celu zapewnienie doskonalenia organizacji w zakresie bezpieczeństwa informacji oraz ciągłości działania. Wiarygodny dostawca z pewnością rozumie ich wagę i chętnie poddaje się ocenie. Weryfikując jego doświadczenie, warto zapytać jak ten proces wygląda po jego stronie, a także jakie typy niezgodności można napotkać w trakcie audytu. Istotne, aby było zdefiniowane postępowanie z działaniami korygującymi. Kluczowa w tym aspekcie jest świadomość, uczciwość, ale również zachowanie poufności przez dostawcę.

7. Certyfikacja

Rozważając podjęcie współpracy, warto zwrócić uwagę, czy firma posiada międzynarodowe certyfikaty, a jej pracownicy są odpowiednio przeszkoleni i mają udokumentowane kompetencje. Jeśli tak, możemy być niemal pewni, że partner dołoży starań, aby zadbać o bezpieczeństwo naszych danych.

Naturalnie, nie wszystkie certyfikaty są równoważne, dlatego w aspektach bezpieczeństwa w pierwszej kolejności należy oczekiwać od dostawców, wspominanych, certyfikatów ISO. Strategicznym certyfikatem będzie ISO 27001, który stanowi gwarant, że po stronie dostawcy został zweryfikowany System Bezpieczeństwa Informacji. Istotna jest także renoma jednostki certyfikującej, najlepiej by była to instytucja z wieloletnim doświadczeniem i o zasięgu międzynarodowym, jak np. BSI. Posiadanie powyższych certyfikatów ułatwia ocenę dostawcy, gdyż zapewnia, że został on już zweryfikowany i spełnia normy, które są oczekiwane na rynku regulowanym. 

Pamiętajmy, że raportowanie w chmurze może być nie tylko wygodne i nowoczesne, ale przede wszystkim bezpieczne. Jednak, żeby tak było, należy wybierać tylko wiarygodnych partnerów, którzy pomogą nam pewnie przejść ewolucję chmurową.

Źródło: Miesięcznik Finansowy BANK