Nowoczesny Bank Spółdzielczy | Technologie – Asseco Poland | Bezpieczeństwo w chmurze a wytyczne regulatorów | Bariera czy szansa dla banków spółdzielczych?
Podczas Forum Technologii Bankowości Spółdzielczej podkreślał pan wagę bezpieczeństwa w procesach bankowych zachodzących w chmurze i rolę, jaką pełni dostawca technologiczny. Dlaczego ten temat stał się dla Asseco kluczowy?
– Klienci z sektora bankowości spółdzielczej oczekują od nas szybkiej reakcji na ich potrzeby oraz doradztwa. Jedną z najważniejszych kwestii stało się bezpieczeństwo. Szczególnie teraz, gdy trwająca od przeszło roku pandemia ograniczyła kontakty międzyludzkie i przeniosła nas do świata online. To była wielka próba dla cyberbezpieczeństwa pod każdym względem. W ostatnich latach rośnie zainteresowanie klientów dostawą oprogramowania w formie usług, a jednocześnie pojawiały się nowe wymagania regulatorów stawiane przed bankami. Aby wspierać naszych klientów, zdecydowaliśmy się wzmocnić nasze kompetencje i rozszerzyć procesy wsparcia w zakresie bezpieczeństwa oraz zgodności z wymaganiami. Znamy standardy rynku i potrzeby instytucji finansowych, gdyż wielu z naszych ekspertów zdobywało w nich doświadczenie. Sam przez wiele lat byłem odpowiedzialny za bezpieczeństwo po stronie banku i jest to praktyka, która teraz pozwala mi lepiej zrozumieć potrzeby klientów Asseco z sektora instytucji finansowych.
Dlaczego zdecydowaliście się na rozwój w tym kierunku?
– W Asseco rozwijamy nasze usługi w modelu SaaS (Software as a Service), co zmniejsza po stronie banku koszty związane z posiadaniem odrębnej infrastruktury i zasobów potrzebnych do jej utrzymania. Dostarczamy całe środowisko IT, aplikacje oraz zespoły specjalistów. Bierzemy odpowiedzialność za infrastrukturę sprzętową, utrzymanie serwerowni, licencje i aktualizacje oprogramowania, a także procesy utrzymaniowe. Z punktu widzenia banków przejmujemy ich funkcje krytyczne, co sprawia, że wewnątrz własnych struktur musimy stworzyć środowisko, które pozwoli na realizowanie części procesów, jak to ma miejsce w instytucjach finansowych. Przestajemy być „tylko” dostawcą usług, a stajemy się partnerem wspierającym codzienną działalność banków spółdzielczych i sami dostosowujemy się do regulacji oraz rekomendacji regulatorów.
Przed jakimi wyzwaniami stoi dzisiaj bankowość?
– Banki, które korzystają z usług outsourcingowych i chmurowych, muszą sprostać wymaganiom określonym przez Europejski Urząd Nadzoru Bankowego (EBA) oraz Urząd Komisji Nadzoru Finansowego (UKNF). Wachlarz nowych wymagań jest szeroki. Jeżeli chodzi o Wytyczne EBA, to warto wymienić: posiadanie i aktualizację polityki zarządzania outsourcingiem w przypadku posiadania umowy outsourcingowej lub planowania jej zawarcia, obowiązek posiadania planów ciągłości działania, które powinny uwzględniać sytuację, w której jakość realizacji funkcji przez dostawcę spadnie do niedopuszczalnego poziomu lub zawiedzie, prowadzenie rejestru informacji na temat wszystkich umów outsourcingowych oraz monitorowania działalności dostawców usług. Przed zawarciem umowy outsourcingowej oraz uwzględniając ryzyko związane z funkcją, która ma zostać zlecona, instytucje powinny dokonać oceny dostawcy. UKNF określił datę 28 grudnia 2020 r., jako ostateczny termin na dostosowanie do Wytycznych EBA, a czas na analizę i dostosowanie trwających umów wynika z Wytycznych EBA i jest to 31 grudnia 2021 r. Oznacza to, że w tym roku konieczna jest analiza wszystkich umów outsourcingowych. Wiele wymagań określonych w Wytycznych dotyczy także samej konstrukcji umowy.
A jakie wymagania wobec banków stawia Urząd Komisji Nadzoru Finansowego?
– Komunikat UKNF** także jasno określa wytyczne i narzuca szereg obowiązków, z których banki muszą się wywiązać, np. podmiot nadzorowany powinien zapewnić właściwe kompetencje i zasoby dla planowanych lub prowadzonych działań przetwarzania informacji w środowisku chmury obliczeniowej. Wszelkie działania z dostawcą usług chmurowych muszą być prowadzone na podstawie sformalizowanej umowy. Bank na podstawie wyników szacowania ryzyka ma obowiązek opracować udokumentowany plan przetwarzania informacji w chmurze obliczeniowej. W zakresie kryptograficznym podmiot nadzorowany powinien zapewnić, że informacje przetwarzane w chmurze obliczeniowej są szyfrowane oraz zapewnić dostęp do logów związanych z przetwarzaniem informacji w chmurze obliczeniowej celem posiadania mechanizmów kontroli dostawcy. Banki miały czas na dostosowanie swoich działań do 1 listopada 2020 r. Warto także podkreślić, że dla UKNF niezwykle ważne jest szacowanie ryzyka i to zostało ponownie podkreślone w Komunikacie. Bank jako instytucja nadzorowana ma obowiązek prowadzić udokumentowany proces szacowania ryzyka w kontekście zagrożeń korzystania z usług chmurowych i okresowo aktualizować wyniki tej oceny.
Czy banki powinny stosować wytyczne obu regulatorów?
– To jest bardzo istotne pytanie. Wytyczne EBA dotyczą wszystkich rodzajów outsourcingu, a Komunikat UKNF tylko aspektu przetwarzania informacji w chmurze obliczeniowej. UKNF kilkukrotnie podkreślał, że do umów outsourcingowych mają zastosowanie Wytyczne EBA, z wyjątkiem umów, gdzie dochodzi do przetwarzania informacji w chmurze, w przypadku których powinno być stosowane podejście krajowe, czyli Komunikat UKNF. Należy też wspomnieć, że UKNF w odpowiedziach interpretacyjnych do Komunikatu przedstawił na stronie internetowej stanowisko, że korzystanie przez banki z oprogramowania w modelu usługi SaaS, gdzie dostawca dostarcza usługę na rzecz wielu podmiotów, a dane są odseparowane tylko w sposób logiczny, należy traktować jako usługę oferowaną w modelu chmury publicznej. W praktyce oznaczałoby to, że banki powinny w przypadku zawierania nowych umów outsourcingowych lub analizy trwających, dokonywać w pierwszej kolejności oceny umowy pod kątem czy podlega ona pod Wytyczne EBA lub Komunikat UKNF, w zależności, czy jest to umowa dotycząca przetwarzania informacji w chmurze, czy też inna. Podkreślenia wymaga fakt, że ocena umowy i zastosowanego podejścia, jak również wynik analizy umowy oraz dostawcy to indywidualna ocena i odpowiedzialność podmiotu nadzorowanego. Zagadnienie jest o tyle trudne, że tematyka jest dość nowa, a praktyka aktualnie wypracowywana przez rynek.
Jak Asseco wspiera bankowość spółdzielczą w związku z wymaganiami EBA i UKNF?
– Wytyczne EBA i Komunikat KNF dotyczą wszystkich instytucji finansowych, bez względu na ich wielkość, strukturę czy zasoby. Zdajemy sobie sprawę, że dla mniejszych banków te obowiązki są trudne do udźwignięcia. Dlatego też podjęliśmy decyzję o zredefiniowaniu roli dostawcy. Naszym celem jest bycie partnerem banków spółdzielczych na długie lata, wspieranie ich w zmianach i wspólne dostosowywanie się do regulacji, które dalej będą ulegały modyfikacjom i będą narzucały nowe obowiązki. W tej kwestii stawiamy na ścisłą współpracę klient-dostawca. Jednym z filarów naszej działalności jest bezpieczeństwo usług chmurowych i przetwarzania informacji, to tutaj kładziemy największy nacisk. Zapewniamy wsparcie merytoryczne naszym klientom, pomoc w opracowywaniu dokumentacji zgodnej z wymaganiami. Tak zaprojektowana rola dostawcy jest bardzo ważna dla mniejszych instytucji finansowych, gdyż zapewniamy stałe doskonalenie procesów pod kątem norm i rekomendacji regulatorów bankowych.
Obowiązki narzucane na banki są rygorystyczne i wymagają wdrożenia wielu wewnętrznych zmian, jak do tego procesu przygotowywał się dostawca usług technologicznych?
– Asseco tworzy rozwiązania dla banków spółdzielczych od 30 lat, jesteśmy częścią tego środowiska, znamy je i rozumiemy. Dlatego jeszcze większe wsparcie klientów będących podmiotami nadzorowanymi było dla nas naturalne. Aby temu sprostać, zdefiniowaliśmy konkretny plan działań, zwiększaliśmy i nadal zwiększamy nasz zespół ekspertów, pozyskujemy nowe kompetencje, dzięki transferowi wiedzy z sektora bankowego. Zaadaptowaliśmy standardy instytucji finansowych do firmy technologicznej jako dostawcy usług w modelu SaaS. Zdajemy sobie sprawę, że banki potrzebują wsparcia w zakresie dostosowywania umów i procesów oraz utrzymania usług w zgodzie z rekomendacjami oraz normami.
To jakie rozwiązania oferuje swoim klientom Asseco?
– Bankom spółdzielczym oferujemy bezpośrednie merytoryczne wsparcie, współpracę w zakresie opracowania analiz zgodności oraz przeprowadzenia analiz ryzyka, pomoc przy przygotowywaniu dokumentacji oraz wsparcie technologiczne w realizacji zadań wynikających z wymagań regulatorów. Naszym sztandarowym produktem jest WPI (Wspólna Platforma Informatyczna), której przyświeca idea, aby udostępniać bankom spółdzielczym jedną platformę informatyczną, jednocześnie zapewniając im pełną autonomię prowadzenia biznesu. Dzięki temu rozwiązaniu mają one możliwość pełnego wykorzystania najnowocześniejszych rozwiązań informatycznych z obszarów bankowości. Pozwala to budować przewagę konkurencyjną na rynku, przy minimalnych kosztach inwestycji po stronie banku.
Jakie dalsze plany rozwoju?
– Jesteśmy świadomi, że wymagania, jakie dzisiaj stoją przed bankami, ulegną zmianie i będą rozbudowywane. Pojawią się nowe regulacje, które będą obligowały naszych klientów do dalszego dostosowywania się i wypełniania obowiązków prawnych. Dlatego, wychodząc naprzeciw, budujemy kompetencje wewnątrz Asseco, wzmacniamy procesy, gdyż chcemy długofalowo wspierać naszych klientów. Naszym celem jest bezpieczeństwo usług, ich zgodność z wytycznymi regulatorów oraz stałe merytoryczne wsparcie dla klientów, w szczególności banków spółdzielczych.
*Wytyczne EBA w sprawie outsourcingu z dnia 25 lutego 2019 r.
** Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 r.