Raport: W prawnej chmurze z B&B

Przetwarzanie w informatycznej chmurze, tzw. cloud computing to jeden z trendów, jakie wyznaczają kierunek rozwoju branży IT. Czy da się pogodzić wymagania stawiane przez branżę finansową ze związanym z przetwarzaniem w chmurze brakiem fizycznej kontroli użytkownika nad jego danymi. Jak to ocenia prawnik?

– Obecnie Związek Banków Polskich opracowuje raport o cloud computingu. Bird&Bird aktywnie uczestniczy w pracach tego zespołu. Opracowaliśmy jego część prawną. Opisujemy w niej obowiązujące w Polsce regulacje prawne mające zastosowanie do usług informatycznych i technologii wykorzystywanych w sektorze finansowym ze szczególnym uwzględnieniem cloud computingu

Ponieważ nie ma obecnie regulacji bezpośrednio dotyczących przetwarzania chmurowego, uważam, że należy interpretować istniejące przepisy – zwłaszcza te dotyczące outsourcingu – w taki sposób, by mogły znaleźć zastosowanie do przetwarzania chmurowego. Jest to rodzaj totalnego outsourcingu: infrastruktury, oprogramowania, platformy sprzętowej. Przekazujemy część naszych wewnętrznych procesów jako instytucji finansowej na zewnątrz, w dużym rozmiarze do infrastruktury, której nie widzimy i której nie kontrolujemy w sposób naturalny jak infrastrukturę wewnętrzną. Z punktu widzenia prawnika zwróciłbym uwagę na kontrolę i znajomość poziomu ryzyka. Wydaje się, że są metody, jak to rozwiązywać i są standardy w tym zakresie. Jest o tym więcej w raporcie, w którym przywołujemy konkretne normy ISO oraz amerykańskie AICIPA, w skład których wchodzą standardy SSAE16 i SAS Audit Consideration…, które zastąpiły standard SAS70. Wskazujemy też na standardy informatyczne ITIL 2011 (zestaw dobrych praktyk zarządzania usługami IT), wywodzące się ze standardów rządowych Wielkiej Brytanii.

W omawianym opracowaniu przygotowaliśmy również część, która odnosi się do ochrony danych osobowych. Dotyczy ona nie tylko bankowości, ale ma znaczenie w wielu usługach w sektorze finansowym.

Jakie praktyczne wskazania doświadczony prawnik może dać bankom zastanawiającym się nad wykorzystaniem usług w chmurze?

– Doradztwem w zakresie informatyki w sektorze finansowym zajmuję się od 11 lat, a dotyczącym informatyki ogólnie – nawet kilka lat dłużej. Według mojego doświadczenia, z punktu widzenia prawnego i regulacji sektorowych cloud computing jest na razie tym samym co outsourcing. Stosuje się te same zasady. Wyróżnikiem takich usług, jeśli chodzi o kwestie prawne, jest: weryfikacja bezpieczeństwa, krytyczność powierzanego procesu i dostęp do tajemnicy, czyli informacji prawnie chronionej. Z punktu widzenia ochrony danych osobowych musimy ocenić, czy dane te wyjdą poza europejski obszar gospodarczy (EOG). Weryfikujemy też, jakiego typu usługa jest świadczona. W przypadku dostarczenia oprogramowania jako usługi (tzw. Software as a Service) musimy sprawdzić, czy spełnia ono polskie wymagania dotyczące systemów informatycznych przetwarzających dane osobowe. Są one szczegółowe, nie zawsze wszystkie systemy je spełniają. Chodzi tu np. o możliwość tworzenia raportów zawierających informacje o tym, kto i kiedy miał dostęp do danych osobowych oraz kto je zmieniał.

Musimy sobie odpowiedzieć na pytanie, jakie cele stawia regulator w stosunku do sektora finansowego. Informacje, które przetwarza podmiot świadczący usługi finansowe, mają być bezpieczne. To znaczy: poufne, niezmienione, dostępne oraz rozliczalne, czyli możliwe ma być ustalenie, kto miał do nich dostęp i kiedy. Z takiego punktu widzenia ocenia się zarówno outsourcing, jak i procesy wewnętrzne w instytucjach finansowych. W taki sam sposób należy badać usługę, jaką jest cloud computing.

Usługi w chmurze obliczeniowej są atrakcyjne pod względem kosztów, ale budzą wiele niepokoju. Czy można oswoić tę nową technologię z punktu widzenia prawa?

– Po pierwsze, trzeba zadać pytanie, czy taka usługa jest bezpieczna? W ...