Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków

Wielkość: px

Rozpocząć pokaz od strony:

Download "Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków"

Zuzanna Wojciechowska
6 lat temu
Przeglądów:

1 Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków Agata Szeliga Partner, radca prawny, Kancelaria Sołtysiński Kawecki & Szlęzak Renata Zalewska radca prawny, Microsoft

2 OUTSOURCING BANKOWY Usługi outsourcingu bankowego: - dotyczą kluczowych systemów banku - wiążą się z dostępem do tajemnicy bankowej Czy usługi online Microsoft są zawsze outsourcingiem bankowym?

3 CZY USŁUGI ONLINE SĄ OUTSOURCINGIEM? Czy usługi online dotyczą systemu kluczowego dla działalności banku? Czy Microsoft ma dostęp do danych objętych tajemnicą bankową?

4 CZY USŁUGI ONLINE SĄ OUTSOURCINGIEM? Praktyczne doświadczenia: Usług Azure: dane szyfrowane przez bank, aplikacja banku w chmurze, brak dostępu do danych brak outsourcingu Office 365: dane szyfrowane, potencjalnie możliwy dostęp do treści maila/pliku przez wsparcie możliwy outsourcing

5 W ZAKRESIE OUTSOURCINGU Podstawowe regulacje: - Prawo bankowe - przepisy dot. ochrony danych osobowych - Rekomendacja D

6 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Brak konieczności uzyskiwania zgody Komisji Nadzoru Finansowego na outsourcing poza EU. - umowa z Microsoft Ireland Operations Limited z siedzibą w Irlandii; - centra danych Microsoft znajdują się w UE (np. Irlandia, Holandia, Niemcy);

7 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Brak konieczności uzyskiwania zgody Komisji Nadzoru Finansowego na outsourcing poza EU. - Klient ma możliwość wyboru obszaru w którym będą magazynowane jego dane; - podwykonawcy angażowani wyłącznie do określonych czynności a klient ma możliwość kontrolowania dostępu do swoich danych za pomocą funkcji Lockbox dla Office 365

8 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Podoutsourcing: - zgoda Banku w umowie na korzystanie z podwykonawców i możliwość sprzeciwu wobec nowych - brak podoutsourcingu brak dostępu podwykonawców do danych objętych tajemnicą bankową funkcja Lockbox Office 365

9 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Podoutsourcing - znana lista podwykonawców i zakresu powierzonych im czynności;

10 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Odpowiedzialność: - odpowiedzialność usługodawcy nie jest odpowiedzialnością obiektywną czy gwarancyjną; - specjalne zapisy oferowane w Aneksie Finansowym; - uwagi KNF dot. biegłego weryfikującego wysokość rekompensaty.

11 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Bezpieczeństwo w tle: - Microsoft posiada plany zapewniające ciągłe i niezakłócone prowadzenie działalności; - Bank ma dostęp do corocznych audytów bezpieczeństwa; - Bank ma możliwość wizyty w centrum danych Microsoft.

12 CYBERNETYCZNA FORTYFIKACJA $15B x

13 W ZAKRESIE OUTSOURCINGU PRAWO BANKOWE Uprawnienia kontrolne KNF - Aneks Finansowy zapewnia bankowi zobowiązanie do spełnienia wymogów kontrolnych KNF - wyraźnie przewidziana możliwość kontroli centrów danych przez KNF

14 W ZAKRESIE OUTSOURCINGU OCHRONA DANYCH OSOBOWYCH Microsoft działa ew. jako przetwarzający dane osobowe np. przechowując dane; Microsoft nigdy nie staje się administratorem danych klienta Cele i zakres przetwarzania określony w umowie

15 W ZAKRESIE OUTSOURCINGU OCHRONA DANYCH OSOBOWYCH Standardowe Klauzule Umowne z Microsoft Corp. są oferowane wszystkim klientom standardowo nie ma automatycznego transferu danych do USA Kontrola nad dostęp do danych (Lockbox, logi)

16 W ZAKRESIE OUTSOURCINGU REKOMENDACJA D Brak uzależnienia od jednego dostawcy dane są przenaszalne przez 180 dni (R 10.4) Bank ma możliwość monitorowania jakości świadczenia usług (R 10.5) np. dostęp do raportów z rocznych audytów, uprawnienia z Aneksu Finansowego, narzędzia dostępne dla administratora

17 W ZAKRESIE OUTSOURCINGU REKOMENDACJA D Standardowe szyfrowanie danych przez Microsoft, możliwość zastosowania zaawansowanego szyfrowania skrzynek pocztowych czy własnych mechanizmów szyfrujących (10.6) Obowiązek informowania banku o incydentach bezpieczeństwa (10.6)

18 W ZAKRESIE OUTSOURCINGU REKOMENDACJA D Zgodność ze standardami kontroli i normami ISO 27001, ISO 27002, ISO 2718 Kodeks postępowania, SSAE 16 SOC Type II i 16 SOC 2 Type II (10.6) Uprawnienia kontrolne banku (10.7) Umowy, w tym Aneks Finansowy regulują kwestie odpowiedzialności, poufności, SLA (10.8)

19 W ZAKRESIE OUTSOURCINGU REKOMENDACJA D Obowiązek przestrzegania przepisów prawa, w tym dot. ochrony danych osobowych i powiadamiania o naruszeniach bezpieczeństwa (10.9)

20 [PROŚBA O DODANIE FILMU SLAJD 28 z prezentacji z linku]

Podobne dokumenty

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird Sebastian Szumczyk IBM Agenda prawnika! Czy Cloud jest uregulowany? Czym dla prawnika jest Cloud? Czy jest bezpiecznie? Co warto zmienić?