Komunikat KNF w sprawie cloud computing

Podobne dokumenty
17 listopada 2017 r. Prezentacja Raportu Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech)

Spis treści. Rozdział III. Outsourcing spółdzielczych kas oszczędnościowokredytowych

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

REKOMENDACJA D Rok PO Rok PRZED

Inspektor ochrony danych

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

Reforma regulacyjna sektora bankowego

Raport. z prac Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech)

Przetwarzanie danych w chmurze Cloud Computing

System kontroli wewnętrznej w Limes Banku Spółdzielczym

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

II. Rola Zarządu, Rady Nadzorczej i Komitetu Audytu

System kontroli wewnętrznej

Raport o usługach cloud computing w działalności ubezpieczeniowej Regulacje prawne dotyczące ubezpieczeo związane z outsourcingiem usług IT

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Zatrudnianie informatyków i kadry zarządczej IT. Aspekty prawne. Marcin Maruta, Kuczek Maruta i Wspólnicy marcin.maruta@kuczekmaruta.

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

BAKER TILLY POLAND CONSULTING

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŁOSICACH

$ $ MIP. Co musisz wiedzieć? Czym jest Mała Instytucja Płatnicza (MIP)? Co może, a czego nie może robić MIP? Nie może: Może:

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

3.1 Organizowanie rozliczeń pieniężnych jest jednym z obowiązków nałożonych na NBP 4. Prezes NBP

POLITYKA INFORMACYJNA PIENIŃSKIEGO BANKU SPÓŁDZIELCZEGO

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Business Process Outsourcing (BPO) Kancelaria Prawna FGGK ul. Dolna 10 lok. 2, Warszawa,

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Ocena stosowania w Banku Spółdzielczym w Suchej Beskidzkiej Zasad ładu korporacyjnego dla instytucji nadzorowanych za 2015 rok

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBARTOWIE

BANK SPÓŁDZIELCZY w GORLICACH ul. Stróżowska 1

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

Zasady/metodyki przeprowadzania badań inspekcyjnych w podmiotach nadzorowanych. Paweł Sawicki Dyrektor Zarządzający Pionem Inspekcji

Maciej Byczkowski ENSI 2017 ENSI 2017

Polityka zarządzania konfliktami interesów w Deutsche Bank PBC S.A. (poziom 3: Polityki lokalne DB Polityka)

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Outsourcing danych ubezpieczeniowych (w tym danych osobowych)

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

INFORMACJA BANKU SPÓŁDZIELCZEGO W KOŻUCHOWIE

Audyt systemów informatycznych w świetle standardów ISACA

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO

Cele systemu kontroli wewnętrznej. Zasady funkcjonowania systemu kontroli wewnętrznej

INFORMACJA BANKU SPÓŁDZIELCZEGO W MRĄGOWIE

Organizacja Systemu Kontroli Wewnętrznej w Banku Spółdzielczym w Radzyniu Podlaskim

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

RODO W IT Praktyczne rozwiązania dla działów IT zgodne z GDPR

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

BANK SPÓŁDZIELCZY w Krzeszowicach

Polityka zgodności w Banku Spółdzielczym w Zambrowie

Propozycje SABI w zakresie doprecyzowania statusu ABI

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Usługi dostępu do informacji o rachunku. Co musisz wiedzieć o AIS?

BANK SPÓŁDZIELCZY W SKAWINIE. Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Skawinie. SKAWINA, 2018 r.

Zasady Polityki Informacyjnej Deutsche Bank Polska S.A. w zakresie adekwatności kapitałowej oraz zakresu informacji podlegających ogłaszaniu

BANK SPÓŁDZIELCZY W GŁOGOWIE POLITYKA INFORMACYJNA BANKU SPÓŁDZIELCZEGO W GŁOGOWIE

System Kontroli Wewnętrznej w Banku BPH S.A.

POLITYKA INFORMACYJNA SPÓŁDZIELCZEGO BANKU POWIATOWEGO W PIASKACH

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

System kontroli wewnętrznej w Banku Spółdzielczym w Leśnicy

Zawarte w Warszawie w dniu. pomiędzy:

ROLA I OBOWIĄZKI AUDYTU WEWNĘTRZNEGO W BANKACH W OPARCIU O ZMIANY REGULACYJNE

do Umowy Operacyjnej Pożyczka Inwestycyjna oraz Pożyczka Profilowana nr [*] POROZUMIENIE w sprawie zasad powierzenia przetwarzania danych osobowych

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

Polityka informacyjna Braniewsko-Pasłęckiego Banku Spółdzielczego z/s w Pasłęku

I. Cele systemu kontroli wewnętrznej.

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

radca prawny Maciej Gawroński Konferencja: Bezpieczne dane bezpieczny biznes Warszawa,

ROLA I OBOWIĄZKI AUDYTU WEWNĘTRZNEGO W BANKACH W OPARCIU O ZMIANY REGULACYJNE

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krzywdzie

ZALECENIA DOTYCZĄCE OUTSOURCINGU W CHMURZE EBA/REC/2017/03 28/03/2018. Zalecenia. dotyczące zlecania zadań dostawcom usług w chmurze

Transkrypt:

Komunikat KNF w sprawie cloud computing Szansa na szersze wykorzystanie usług w chmurze przez sektor finansowy styczeń 2018 roku

Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Kwestia wykorzystywania usług przetwarzania w chmurze w działalności biznesowej została przez zespół roboczy zaliczona do kilkunastu najistotniejszych barier dla rozwoju tego sektora. 23 października 2017 roku Urząd Komisji Nadzoru Finansowego opublikował Komunikat dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej (tzw. cloud computing) ( Komunikat ). Komunikat jest rezultatem zainicjowanych na początku 2017 roku prac Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech). 17 listopada 2017 roku Zakończyły się prace Zespołu roboczego ds. rozwoju innowacji finansowych (FinTech), koordynowanego przez UKNF. Zadaniem zespołu roboczego było zidentyfikowanie barier natury prawnej, regulacyjnej i nadzorczej dla rozwoju sektora FinTech oraz przygotowanie propozycji sposobów ich eliminacji. Zagadnienie świadczenia usług w chmurze obliczeniowej w sektorze finansowym w Polsce wiązało się dotychczas z pytaniami o: Dopuszczalność ich zlecania przez podmioty nadzorowane (przy braku oficjalnego stanowiska Komisja Nadzoru Finansowego ( KNF ) co do warunków świadczenia usług opartych o cloud computing) Sposób zabezpieczenia danych wrażliwych Granice realizacji tych usług w kontekście obowiązujących przepisów prawa Treść Komunikatu wskazuje, że wykorzystywanie rozwiązań opartych o cloud computing przez podmioty podlegające pod nadzór KNF co do zasady nie jest zakazane. Jednocześnie w ocenie KNF przetwarzanie danych w chmurze jest powierzeniem wykonywania czynności podmiotowi zewnętrznemu i podlega przepisom o outsourcingu w działalności poszczególnych instytucji nadzorowanych. Zatem instytucje te będą musiały każdorazowo ocenić w jakim stopniu rodzaj powierzonych czynności uzasadnia nadanie umowie charakteru umowy outsourcingowej albo zawiadomienie KNF o zamiarze zawarcia takiej umowy. 2 Biuletyn ryzyka - Styczeń 2018

Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (1) KNF wskazał w Komunikacie szczegółowe wymagania wobec podmiotów nadzorowanych, które chciałyby skorzystać z usług w chmurze od dostawcy zewnętrznego. Wymagania te odnoszą się do etapów relacji z dostawcą usługi przetwarzania danych w chmurze obliczeniowej i obejmują następujące obszary: 1 Identyfikacja potrzeb biznesowych, podjęcie decyzji i planowanie korzystania z usług w chmurze Obowiązek systematycznej identyfikacji, monitorowania oraz raportowania zgodności świadczonej przez dostawcę usługi z wymaganiami dotyczącymi obszarów IT i bezpieczeństwa IT wynikającymi z obowiązujących przepisów prawa, regulacji zewnętrznych i wewnętrznych, zawartych umów i przyjętych standardów. W ramach przygotowania do wdrożenia podmiot nadzorowany powinien przeprowadzić odpowiednie analizy kosztów i korzyści i zaplanować konfigurację usług. 2 Zarządzanie ryzykiem usługi Proces powinien mieć charakter ciągły, działania monitorujące powinny wskazywać moment koniecznego przeglądu ryzyka, a ograniczanie ryzyk powinno następować poprzez stosowanie odpowiednich mechanizmów kontrolnych z uwzględnieniem możliwości powierzenia wykonywania określonych czynności podwykonawcom, w tym ryzyka zakończenia współpracy z dostawcą np. nieoczekiwanego i nieplanowanego wycofania się dostawcy ze współpracy. Odpowiednie dokumenty powinny potwierdzać poziom spełnienia wymagań co do mechanizmów kontrolnych po stronie dostawcy usługi i jego podwykonawców. 3 Biuletyn ryzyka - Styczeń 2018

Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (2) 3 Wymagania dotyczące umowy z dostawcą Umowa powinna zapewniać możliwość sprawowania kontroli nad działaniami dostawcy w zakresie wykorzystywanej usługi Komunikat wymienia szereg postanowień, które powinny znaleźć się w umowie. 4 Funkcjonowanie usługi Zapewnienie właściwego poziomu wiedzy i umiejętności po stronie podmiotu powierzającego (w tym o procesie zarządzania incydentami dostawcy i jego podwykonawców) w celu przygotowania, wdrożenia, zarządzania i kontrolowania wszystkich aspektów korzystania z usługi dla zapewnienia jakości i bezpieczeństwa usług świadczonych na rzecz klientów i kontrahentów oraz bezpieczeństwo ich danych, jak i zasobów i infrastruktury IT podmiotu nadzorowanego. 5 Zakończenie współpracy z dostawcą usługi Podmiot nadzorowany powinien dysponować planem działania na wypadek wystąpienia błędów lub niewłaściwego funkcjonowania usługi oraz rozwiązaniami zapewniającymi ciągłość działania procesów realizowanych przez usługę w chmurze, a także zapewnić potrzebny personel, środki techniczne i technologie na wypadek ryzyka związanego z zakończeniem współpracy z dostawcą. 4 Biuletyn ryzyka - Styczeń 2018

Komunikat Komisji Nadzoru Finansowego dotyczący cloud computing Wymagania odnośnie powierzenia przetwarzania danych w chmurze (3) Zwraca uwagę szeroki zakres i wysoki poziom szczegółowości oczekiwań KNF w stosunku do zasad korzystania z usług w chmurze. Sposób ujęcia problematyki cloud computingu w stanowisku KNF sugeruje, że sama okoliczność świadczenie usługi w chmurze zdaniem KNF przesądza o charakterze tej usługi, jako przypadku outsourcingu regulowanego. Może to stanowić poważną przeszkodę w negocjowaniu umów z dostawcami, szczególnie z dużymi, o ugruntowanej pozycji na rynku i zapewniającymi wysoki poziom bezpieczeństwa oferowanych usług. Nie są oni skłonni do zmiany swoich wzorców umów, a tym bardziej przyjęcia nieograniczonego poziomu odpowiedzialności za ewentualne szkody wyrządzone klientom podmiotu zlecającego, często całkowicie nie przystającego do ograniczonego kontekstu biznesowego realizacji danej usługi. 5 Biuletyn ryzyka - Styczeń 2018

Raport końcowy z prac Zespołu roboczego ds. rozwoju innowacji finansowych Zagadnienia dotyczące outsourcingu regulowanego bariery dla usług w chmurze Zespół roboczy przeprowadził analizę przepisów o outsourcingu stosowanych w nadzorowanych sektorach rynku finansowego co do możliwości ograniczenia odpowiedzialności dostawcy usług wobec zleceniodawcy (banku, firmy inwestycyjnej, spółdzielczej kasy oszczędnościowo-kredytowej oraz instytucji płatniczej). 1 2 3 4 Brak analogicznych uregulowań w innych krajach Ograniczenie możliwości współpracy z dostawcami usług Konieczność korzystania z małych dostawców IT, którzy akceptują restrykcyjne przepisy o outsourcingu Brak możliwości obniżenia kosztów prowadzonej działalności i wyrównania pozycji konkurencyjnej W wyniku analiz Zespołu roboczego KNF sformułował rekomendacje o podjęciu działań mających na celu modyfikację przepisów w celu: Zniesienia ograniczenia odpowiedzialności dostawcy outsourcingowego oraz Umożliwienia dalszego podoutsourcingu 5 Utrzymywanie bariery dla rozwoju innowacji finansowych Zespół roboczy zwrócił też uwagę na barierę w postaci zakazu dalszego podoutsourcingu, czyli outsourcing tylko do drugiego poziomu (dostawca poddostawca). Ograniczenie jest szczególnie problematyczne przy usługach chmurowych, gdzie zasoby IT służące do świadczenia usług nie są własnością jednego podmiotu. 6 Biuletyn ryzyka - Styczeń 2018

Kontakt Małgorzata Chruściak of Counsel Kancelaria Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp. k + 48 667 669 415 malgorzata.chrusciak@pl.ey.com Marcin Kolus Menedżer / Starszy Prawnik Kancelaria Ernst & Young Law Tałasiewicz, Zakrzewska i Wspólnicy sp. k +48 789 407 497 marcin.kolus@pl.ey.com Designed by VA team 7 Biuletyn ryzyka - Styczeń 2018

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres