Komunikat KNF w sprawie cloud computing

Transkrypt

1 Komunikat KNF w sprawie cloud computing Szansa na szersze wykorzystanie usług w chmurze przez sektor finansowy styczeń 2018 roku

2 Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Kwestia wykorzystywania usług przetwarzania w chmurze w działalności biznesowej została przez zespół roboczy zaliczona do kilkunastu najistotniejszych barier dla rozwoju tego sektora. 23 października 2017 roku Urząd Komisji Nadzoru Finansowego opublikował Komunikat dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej (tzw. cloud computing) ( Komunikat ). Komunikat jest rezultatem zainicjowanych na początku 2017 roku prac Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech). 17 listopada 2017 roku Zakończyły się prace Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech), koordynowanego przez UKNF. Zadaniem zespołu roboczego było zidentyfikowanie barier natury prawnej, regulacyjnej i nadzorczej dla rozwoju sektora FinTech oraz przygotowanie propozycji sposobów ich eliminacji. Zagadnienie świadczenia usług w chmurze obliczeniowej w sektorze finansowym w Polsce wiązało się dotychczas z pytaniami o: Dopuszczalność ich zlecania przez podmioty nadzorowane (przy braku oficjalnego stanowiska Komisja Nadzoru Finansowego ( KNF ) co do warunków świadczenia usług opartych o cloud computing) Sposób zabezpieczenia danych wrażliwych Granice realizacji tych usług w kontekście obowiązujących przepisów prawa Treść Komunikatu wskazuje, że wykorzystywanie rozwiązań opartych o cloud computing przez podmioty podlegające pod nadzór KNF co do zasady nie jest zakazane. Jednocześnie w ocenie KNF przetwarzanie danych w chmurze jest powierzeniem wykonywania czynności podmiotowi zewnętrznemu i podlega przepisom o outsourcingu w działalności poszczególnych instytucji nadzorowanych. Zatem instytucje te będą musiały każdorazowo ocenić w jakim stopniu rodzaj powierzonych czynności uzasadnia nadanie umowie charakteru umowy outsourcingowej albo zawiadomienie KNF o zamiarze zawarcia takiej umowy. 2 Biuletyn ryzyka - Styczeń 2018

3 Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (1) KNF wskazał w Komunikacie szczegółowe wymagania wobec podmiotów nadzorowanych, które chciałyby skorzystać z usług w chmurze od dostawcy zewnętrznego. Wymagania te odnoszą się do etapów relacji z dostawcą usługi przetwarzania danych w chmurze obliczeniowej i obejmują następujące obszary: 1 Identyfikacja potrzeb biznesowych, podjęcie decyzji i planowanie korzystania z usług w chmurze Obowiązek systematycznej identyfikacji, monitorowania oraz raportowania zgodności świadczonej przez dostawcę usługi z wymaganiami dotyczącymi obszarów IT i bezpieczeństwa IT wynikającymi z obowiązujących przepisów prawa, regulacji zewnętrznych i wewnętrznych, zawartych umów i przyjętych standardów. W ramach przygotowania do wdrożenia podmiot nadzorowany powinien przeprowadzić odpowiednie analizy kosztów i korzyści i zaplanować konfigurację usług. 2 Zarządzanie ryzykiem usługi Proces powinien mieć charakter ciągły, działania monitorujące powinny wskazywać moment koniecznego przeglądu ryzyka, a ograniczanie ryzyk powinno następować poprzez stosowanie odpowiednich mechanizmów kontrolnych z uwzględnieniem możliwości powierzenia wykonywania określonych czynności podwykonawcom, w tym ryzyka zakończenia współpracy z dostawcą np. nieoczekiwanego i nieplanowanego wycofania się dostawcy ze współpracy. Odpowiednie dokumenty powinny potwierdzać poziom spełnienia wymagań co do mechanizmów kontrolnych po stronie dostawcy usługi i jego podwykonawców. 3 Biuletyn ryzyka - Styczeń 2018

4 Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (2) 3 Wymagania dotyczące umowy z dostawcą Umowa powinna zapewniać możliwość sprawowania kontroli nad działaniami dostawcy w zakresie wykorzystywanej usługi Komunikat wymienia szereg postanowień, które powinny znaleźć się w umowie. 4 Funkcjonowanie usługi Zapewnienie właściwego poziomu wiedzy i umiejętności po stronie podmiotu powierzającego (w tym o procesie zarządzania incydentami dostawcy i jego podwykonawców) w celu przygotowania, wdrożenia, zarządzania i kontrolowania wszystkich aspektów korzystania z usługi dla zapewnienia jakości i bezpieczeństwa usług świadczonych na rzecz klientów i kontrahentów oraz bezpieczeństwo ich danych, jak i zasobów i infrastruktury IT podmiotu nadzorowanego. 5 Zakończenie współpracy z dostawcą usługi Podmiot nadzorowany powinien dysponować planem działania na wypadek wystąpienia błędów lub niewłaściwego funkcjonowania usługi oraz rozwiązaniami zapewniającymi ciągłość działania procesów realizowanych przez usługę w chmurze, a także zapewnić potrzebny personel, środki techniczne i technologie na wypadek ryzyka związanego z zakończeniem współpracy z dostawcą. 4 Biuletyn ryzyka - Styczeń 2018

5 Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (3) Zwraca uwagę szeroki zakres i wysoki poziom szczegółowości oczekiwań KNF w stosunku do zasad korzystania z usług w chmurze. Sposób ujęcia problematyki cloud computingu w stanowisku KNF sugeruje, że sama okoliczność świadczenie usługi w chmurze zdaniem KNF przesądza o charakterze tej usługi, jako przypadku outsourcingu regulowanego. Może to stanowić poważną przeszkodę w negocjowaniu umów z dostawcami, szczególnie z dużymi, o ugruntowanej pozycji na rynku i zapewniającymi wysoki poziom bezpieczeństwa oferowanych usług. Nie są oni skłonni do zmiany swoich wzorców umów, a tym bardziej przyjęcia nieograniczonego poziomu odpowiedzialności za ewentualne szkody wyrządzone klientom podmiotu zlecającego, często całkowicie nie przystającego do ograniczonego kontekstu biznesowego realizacji danej usługi. 5 Biuletyn ryzyka - Styczeń 2018

6 Raport końcowy z prac Zespołu roboczego ds. rozwoju innowacji finansowych Zagadnienia dotyczące outsourcingu regulowanego bariery dla usług w chmurze Zespół roboczy przeprowadził analizę przepisów o outsourcingu stosowanych w nadzorowanych sektorach rynku finansowego co do możliwości ograniczenia odpowiedzialności dostawcy usług wobec zleceniodawcy (banku, firmy inwestycyjnej, spółdzielczej kasy oszczędnościowo-kredytowej oraz instytucji płatniczej) Brak analogicznych uregulowań w innych krajach Ograniczenie możliwości współpracy z dostawcami usług Konieczność korzystania z małych dostawców IT, którzy akceptują restrykcyjne przepisy o outsourcingu Brak możliwości obniżenia kosztów prowadzonej działalności i wyrównania pozycji konkurencyjnej W wyniku analiz Zespołu roboczego KNF sformułował rekomendacje o podjęciu działań mających na celu modyfikację przepisów w celu: Zniesienia ograniczenia odpowiedzialności dostawcy outsourcingowego oraz Umożliwienia dalszego podoutsourcingu 5 Utrzymywanie bariery dla rozwoju innowacji finansowych Zespół roboczy zwrócił też uwagę na barierę w postaci zakazu dalszego podoutsourcingu, czyli outsourcing tylko do drugiego poziomu (dostawca poddostawca). Ograniczenie jest szczególnie problematyczne przy usługach chmurowych, gdzie zasoby IT służące do świadczenia usług nie są własnością jednego podmiotu. 6 Biuletyn ryzyka - Styczeń 2018

7 Kontakt Małgorzata Chruściak of Counsel Kancelaria Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp. k malgorzata.chrusciak@pl.ey.com Marcin Kolus Menedżer / Starszy Prawnik Kancelaria Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp. k marcin.kolus@pl.ey.com Designed by VA team 7 Biuletyn ryzyka - Styczeń 2018