Przetwarzanie danych w chmurze a prawo
Cloud

Przetwarzanie danych w chmurze a prawo

4 stycznia 2021

Integrated Computing zapewnia przedsiębiorstwom wiele korzyści: wydajność, elastyczność, skalowalność, bezpieczeństwo, a to wszystko przy obniżeniu całkowitych kosztów IT. Z punktu widzenia instytucji bankowych równie ważne jest, że usługa spełnia wymagania Komisji Nadzoru Finansowego.

Risk-based approach, czyli efektywny cloud computing zgodny z przepisami

Jednym z kluczowych wyzwań związanych z IT w wielu branżach jest zapewnienie zgodności z regulacjami prawnymi. Jedną z branż tzw. ściśle regulowanych są finanse. Oczywiście nie jest to polska specyfika. Dotyczy instytucji na całym świecie. W zależności od rynku, na którym działają, zmieniają się jedynie szczegółowe zapisy.

Banki w Polsce obowiązują regulacje europejskie oraz krajowe. Europejski Urząd Nadzoru Bankowego szczególną uwagę zwraca na konieczność prawidłowej ochrony danych umieszczanych w chmurze. W tym celu zalecane jest stosowanie tzw. risk-based approach, czyli podejścia, gdzie cyberbezpieczeństwo stanowi pewien rodzaj ryzyka operacyjnego, które może spowodować straty biznesowe oraz choć nie może być w 100 proc. wyeliminowane, to powinno być ograniczane poprzez podejmowanie odpowiednich kroków. Wszystko to w odróżnieniu od tradycyjnego podejścia, w którym skupiano się przede wszystkim na zapewnieniu zgodności z regulacjami prawnymi i zbudowaniu odpowiednich zabezpieczeń technicznych lub organizacyjnych, które nie zawsze były efektywne ekonomicznie i nie zawsze faktycznie pozwalały zapewnić bezpieczeństwo w danym kontekście biznesowym.

RODO i KNF a chmura

Dostawca chmury zobligowany jest natomiast do stosowania się do przepisów dotyczących RODO. O wiele bardziej szczegółowe są jednak wymagania krajowe zawarte w komunikatach oraz dokumentach Komisji Nadzoru Finansowego (KNF), a także wynikające z Prawa bankowego. Zalecenia KNF dotyczą m.in. tego, żeby częścią zawieranej umowy były: efektywny nadzór nad dostawcą, który poddaje się nadzorowi przez regulatora dla kraju, w którym firma działa, wdrożenie planu wyjścia, tzw. exit planu, zatrudnienie odpowiedniego personelu, a także zobowiązanie dostawcy do niezwłocznego informowania o wszystkich danych związanych z incydentami. W praktyce okazuje się, że zalecenia KNF często są trudne lub wręcz niemożliwe do wynegocjowania z dostawcami usług cloud. Właśnie dlatego chmura Integrated Computing wyróżnia się na tle konkurencji: spełnia bowiem wszystkie te wymagania.

Jak ustrzec się przed vendor lock-in? Postaw na chmurę, która spełnia wymogi KNF

W ogromnym skrócie – po szczegóły odsyłając do odpowiednich dokumentów – można stwierdzić, że KNF dopuszcza zastosowanie chmury w bankowości pod warunkiem spełnienia wymogów w zakresie bezpieczeństwa. Dodatkowo ostatecznie to bank na podstawie swoich wewnętrznych procedur i analizy ryzyka określa, czy wymagania według niego są spełnione. Pomocą dla klientów z sektora bankowego w tej ocenie mogą być narzędzia przygotowane przez operatorów chmury Integrated Computing czyli firmę Integrated Solutions oraz Orange.

Jednym z nich jest np. szablon szacowania ryzyka, w którym wzięto pod uwagę m.in. rozproszenie geograficzne dotyczące przetwarzania w chmurze. Ma to znaczenie zwłaszcza w kontekście przepisów prawa i różnych jurysdykcji. Trzeba wziąć pod uwagę, gdzie dane mogą być przechowywane, np. czy chcemy, aby były tylko w Polsce, na terenie Europejskiego Obszaru Gospodarczego, czy mogą być przechowywane poza Europą. Ponadto szablon bierze pod uwagę dostęp do danych w chmurze dla pracowników dostawcy usługi chmurowej i dostęp do przetwarzanych danych dla innych podmiotów, a także brak zgodności technologicznej pomiędzy dostawcą usługi chmurowej a innymi dostawcami, który skutkować może tzw. vendor lock-in, czyli niebezpieczeństwem braku możliwości przeniesienia danych do innego dostawcy, a co za tym idzie brakiem możliwości zmiany dostawcy na innego.

Oczywiście niektóre ryzyka mogą powstać dopiero po wyborze usługi, dlatego też trzeba koniecznie pamiętać o wykonaniu analizy ryzyka zarówno przed wyborem dostawcy, jak i po nim. To pozwoli uniknąć sytuacji, w której po zawarciu z nim umowy i uruchomieniu usługi nagle dojdziemy do wniosku, że jednak nie jest ona bezpieczna.

Inne przygotowane narzędzia to plan przetwarzania informacji w chmurze obliczeniowej oraz scenariusz wyjścia z relacji z dostawcą, który obejmuje polityki i procedury związane z przeniesieniem usług do własnej infrastruktury lub innego dostawcy chmury – wszystko powinno zostać przeprowadzone w taki sposób, żeby nie wpływało negatywnie na bieżącą działalność i nie obniżało bezpieczeństwa danych. Dodatkowo przygotowany został opis kontroli po stronie dostawcy zgodny z normą ISO 27001, a także dokument zawierający poszczególne kroki wdrożenia usługi przetwarzania w chmurze obliczeniowej.

Mogą Cię również zainteresować

  • Chmura elastyczna w wielu wymiarach, w skrócie: IaaS

    Chmura elastyczna w wielu wymiarach, w skrócie: IaaS
    Chmura elastyczna w wielu wymiarach, w skrócie: IaaS

    Cloud

    Cloud

    Budując firmową serwerownię, trudno przewidzieć zasoby, jakich będziemy potrzebowali za pięć lat czy nawet za rok. Oczywiście, można stworzyć serwerownię „z zapasem”, ale czy warto […]

  • Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe

    Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe
    Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe

    Cloud

    Cloud

    Centrum Obliczeniowe, Data Center, Chmura – wszyscy o tym mówią, niewielu miało okazję poznać. Choć są niewidoczne, w praktyce są „kręgosłupem” chmury […]