Przetwarzanie danych w chmurze a prawo
Cloud 4 stycznia 2021 <1 minut czytania

Przetwarzanie danych w chmurze a prawo

Integrated Computing zapewnia przedsiębiorstwom wiele korzyści: wydajność, elastyczność, skalowalność, bezpieczeństwo, a to wszystko przy obniżeniu całkowitych kosztów IT. Z punktu widzenia instytucji bankowych równie ważne jest, że usługa spełnia wymagania Komisji Nadzoru Finansowego.

Risk-based approach, czyli efektywny cloud computing zgodny z przepisami

Jednym z kluczowych wyzwań związanych z IT w wielu branżach jest zapewnienie zgodności z regulacjami prawnymi. Jedną z branż tzw. ściśle regulowanych są finanse. Oczywiście nie jest to polska specyfika. Dotyczy instytucji na całym świecie. W zależności od rynku, na którym działają, zmieniają się jedynie szczegółowe zapisy.

Banki w Polsce obowiązują regulacje europejskie oraz krajowe. Europejski Urząd Nadzoru Bankowego szczególną uwagę zwraca na konieczność prawidłowej ochrony danych umieszczanych w chmurze. W tym celu zalecane jest stosowanie tzw. risk-based approach, czyli podejścia, gdzie cyberbezpieczeństwo stanowi pewien rodzaj ryzyka operacyjnego, które może spowodować straty biznesowe oraz choć nie może być w 100 proc. wyeliminowane, to powinno być ograniczane poprzez podejmowanie odpowiednich kroków. Wszystko to w odróżnieniu od tradycyjnego podejścia, w którym skupiano się przede wszystkim na zapewnieniu zgodności z regulacjami prawnymi i zbudowaniu odpowiednich zabezpieczeń technicznych lub organizacyjnych, które nie zawsze były efektywne ekonomicznie i nie zawsze faktycznie pozwalały zapewnić bezpieczeństwo w danym kontekście biznesowym.

RODO i KNF a chmura

Dostawca chmury zobligowany jest natomiast do stosowania się do przepisów dotyczących RODO. O wiele bardziej szczegółowe są jednak wymagania krajowe zawarte w komunikatach oraz dokumentach Komisji Nadzoru Finansowego (KNF), a także wynikające z Prawa bankowego. Zalecenia KNF dotyczą m.in. tego, żeby częścią zawieranej umowy były: efektywny nadzór nad dostawcą, który poddaje się nadzorowi przez regulatora dla kraju, w którym firma działa, wdrożenie planu wyjścia, tzw. exit planu, zatrudnienie odpowiedniego personelu, a także zobowiązanie dostawcy do niezwłocznego informowania o wszystkich danych związanych z incydentami. W praktyce okazuje się, że zalecenia KNF często są trudne lub wręcz niemożliwe do wynegocjowania z dostawcami usług cloud. Właśnie dlatego chmura Integrated Computing wyróżnia się na tle konkurencji: spełnia bowiem wszystkie te wymagania.

Jak ustrzec się przed vendor lock-in? Postaw na chmurę, która spełnia wymogi KNF

W ogromnym skrócie – po szczegóły odsyłając do odpowiednich dokumentów – można stwierdzić, że KNF dopuszcza zastosowanie chmury w bankowości pod warunkiem spełnienia wymogów w zakresie bezpieczeństwa. Dodatkowo ostatecznie to bank na podstawie swoich wewnętrznych procedur i analizy ryzyka określa, czy wymagania według niego są spełnione. Pomocą dla klientów z sektora bankowego w tej ocenie mogą być narzędzia przygotowane przez operatorów chmury Integrated Computing czyli firmę Integrated Solutions oraz Orange.

Jednym z nich jest np. szablon szacowania ryzyka, w którym wzięto pod uwagę m.in. rozproszenie geograficzne dotyczące przetwarzania w chmurze. Ma to znaczenie zwłaszcza w kontekście przepisów prawa i różnych jurysdykcji. Trzeba wziąć pod uwagę, gdzie dane mogą być przechowywane, np. czy chcemy, aby były tylko w Polsce, na terenie Europejskiego Obszaru Gospodarczego, czy mogą być przechowywane poza Europą. Ponadto szablon bierze pod uwagę dostęp do danych w chmurze dla pracowników dostawcy usługi chmurowej i dostęp do przetwarzanych danych dla innych podmiotów, a także brak zgodności technologicznej pomiędzy dostawcą usługi chmurowej a innymi dostawcami, który skutkować może tzw. vendor lock-in, czyli niebezpieczeństwem braku możliwości przeniesienia danych do innego dostawcy, a co za tym idzie brakiem możliwości zmiany dostawcy na innego.

Oczywiście niektóre ryzyka mogą powstać dopiero po wyborze usługi, dlatego też trzeba koniecznie pamiętać o wykonaniu analizy ryzyka zarówno przed wyborem dostawcy, jak i po nim. To pozwoli uniknąć sytuacji, w której po zawarciu z nim umowy i uruchomieniu usługi nagle dojdziemy do wniosku, że jednak nie jest ona bezpieczna.

Inne przygotowane narzędzia to plan przetwarzania informacji w chmurze obliczeniowej oraz scenariusz wyjścia z relacji z dostawcą, który obejmuje polityki i procedury związane z przeniesieniem usług do własnej infrastruktury lub innego dostawcy chmury – wszystko powinno zostać przeprowadzone w taki sposób, żeby nie wpływało negatywnie na bieżącą działalność i nie obniżało bezpieczeństwa danych. Dodatkowo przygotowany został opis kontroli po stronie dostawcy zgodny z normą ISO 27001, a także dokument zawierający poszczególne kroki wdrożenia usługi przetwarzania w chmurze obliczeniowej.

Oceń artykuł

Popularne tagi

Mogą Cię również zainteresować

  • 10 wyzwań dla firm. W chmurze czy bez?

    10 wyzwań dla firm. W chmurze czy bez?
    10 wyzwań dla firm. W chmurze czy bez?
    Cloud 1 czerwca 2022

    Cloud

    Przetwarzanie danych w chmurze zapewnia bezpieczeństwo i elastyczność działania. Oznacza to również lepszą współpracę między pracownikami i firmami. Pomaga w podejmowaniu szybkich i trafnych decyzji, Co więcej, […]

  • Chmura elastyczna w wielu wymiarach, w skrócie: IaaS

    Chmura elastyczna w wielu wymiarach, w skrócie: IaaS
    Chmura elastyczna w wielu wymiarach, w skrócie: IaaS
    Cloud 31 sierpnia 2021

    Cloud Multimedia

    Budując firmową serwerownię, trudno przewidzieć zasoby, jakich będziemy potrzebowali za pięć lat czy nawet za rok. Oczywiście, można stworzyć serwerownię „z zapasem”, ale czy warto […]

  • Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe

    Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe
    Warsaw Data Hub – najnowocześniejsze w Polsce Centrum Obliczeniowe
    Cloud 4 sierpnia 2021

    Cloud

    Centrum Obliczeniowe, Data Center, Chmura – wszyscy o tym mówią, niewielu miało okazję poznać. Choć są niewidoczne, w praktyce są „kręgosłupem” chmury i  „łącznikiem” […]

  • Warsaw Data Hub – nowoczesne data center Warszawa

    Warsaw Data Hub – nowoczesne data center Warszawa
    Warsaw Data Hub – nowoczesne data center Warszawa
    Cloud 8 lipca 2021

    Cloud Multimedia

    Nowoczesne usługi kolokacji to nie tylko udostępnienie specjalnie przygotowanej przestrzeni, w której klient możne umieścić własną infrastrukturę IT. Gdzie ma ona zagwarantowane określone parametry środowiskowe, ciągłość […]