Cloud computing – komunikat UKNF i zmiana terminów

Komunikat UKNF dotyczący przetwarzania informacji w chmurze – zmiana terminów

Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej (cloud computing), termin dostosowania się do wymagań komunikatu ulega zmianie: z 1 sierpnia 2020 r. - na 1 listopada 2020 r.

Dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi  z wyprzedzeniem 14-dniowym zostaje zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.

Przesunięcie terminu poinformowania UKNF-u o korzystaniu z chmury (nie jak wcześniej 14 dni przed rozpoczęciem, a 30 dni po rozpoczęciu) może być bardzo cennym ułatwieniem, szczególnie w czasie, gdy wymaga się od pracodawców umożliwienia pracy zdalnej, a firmy muszą w największym stopniu, w jakim to możliwe - umożliwić klientom zdalne załatwienie swoich spraw. Wiele podmiotów regulowanych jeszcze przed czasami COVID-19 przygotowywało się do wdrożenia rozwiązań opartych o cloud computing, a teraz są one zmuszane do przyśpieszenia tych projektów i wykonania wdrożeń. Zmiana postanowień komunikatu chmurowego pozwala na szybszą realizację tych działań i dokonania zgłoszenia już po produkcyjnym wdrożeniu systemów.

Przypomnijmy, iż zgodnie z Pakietem Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju (pisaliśmy o tym w naszym poprzednim Alercie prawnym) - wydłużony o pół roku (tj. do 31 grudnia 2020 r.) zostaje również czas dostosowania się do wytycznych EBA dot. outsourcingu.

O Komunikacie UKNF pisaliśmy z kolei w tej publikacji.
 

Polish Cloud

Polish Cloud to nowy standard dotyczący wdrożenia chmury obliczeniowej, stworzony przez ZBP. Stanowi on zbiór praktyk i rozwiązań, mających na celu umożliwić bankom łatwe przejście przez proces adaptacji do chmury, zarówno całej organizacji, jak i w zakresie jedynie wybranych rozwiązań oferowanych przez dostawców usług chmurowych. Standard prezentuje, jakie zadania, procedury, procesy i analizy bank powinien przeprowadzić i udokumentować pod kątem przygotowania organizacji do działania w sferze usług chmurowych w odniesieniu do poszczególnych zapisów wybranych regulacji.

W regulacjach w zakresie technologii zawsze kluczowa jest kwestia balansu pomiędzy zapewnieniem kontroli i bezpieczeństwa danych z jednej strony, a nie stawianiem nadmiernych barier przed innowacjami z drugiej. W czasach COVID-19, kiedy firmy są de facto zmuszone przechodzić bardzo szybką transformację cyfrową, rozwiązania chmurowe są naturalnym wyborem. Modyfikując komunikat w zakresie cloud computing nadzorca wydaje się skłaniać lekko w kierunku zapewnienia, że będą mogły skupić się na zapewnieniu ciągłości działania oraz dostosowania sposobu funkcjonowania do nowej rzeczywistości.

Jak wskazano w zapisach Standardu, Standard analizuje wymogi Komunikatu UKNF z dnia 23 stycznia 2020 r., a co za tym idzie, przedstawia wymogi Urzędu Komisji Nadzoru Finansowego w przypadku przetwarzania w podmiotach objętych nadzorem bankowym informacji w chmurze obliczeniowej publicznej lub chmurze obliczeniowej hybrydowej; standard podsumowuje również wymagania Prawa bankowego.

Standard może mieć znaczący wymiar praktyczny, nie tylko dla banków. Większość ze wskazanych w Standardzie Polish Cloud kroków, mających na celu wdrożenie chmury, może znaleźć zastosowanie także do podmiotów z innych sektorów.

Standard ten zwraca w szczególności uwagę na kroki, jakie powinien podjąć bank w celu wdrożenia chmury. Należą do nich:

a) zidentyfikowanie potrzeby biznesowej;

b) wstępna ocena pod kątem możliwości realizacji potrzeby w usłudze chmurowej;

c) decyzja o dopuszczalności wdrożenia rozwiązania chmurowego;

d) opracowanie wymagań (na tym etapie tworzony jest zestaw wymagań biznesowych, formalnych, cyberbezpieczeństwa i innych - wymagania są określane na podstawie wymagań wewnętrznych przepisów banku oraz Komunikatu Chmurowego UKNF);

e) opracowanie i dystrybucja zapytania ofertowego;

f) ocena ryzyka związanego z usługą chmurową;

g) ocena ofert i akceptacja oferty;

h) podpisanie umowy z dostawcą usług chmurowych;

i) wdrożenie przedprodukcyjne (konfiguracja usługi);

j) zgłoszenie do KNF;

k) migracja danych produkcyjnych do usługi chmurowej;

l) uruchomienie produkcyjne.

Z perspektywy banków, prawidłowe spełnienie wymogów wskazanych w Standardzie na pewno ułatwi dostosowanie działalności do postanowień Komunikatu UKNF z dnia 23 stycznia 2020 r. Tym, co będzie miało jednak w tym przypadku kluczowe znaczenie, jest sposób wdrożenia wymogów, a także jakość przygotowanej w tym celu dokumentacji. Wdrożenie wymogów chmurowych w organizacji jest procesem złożonym, wymagającym kompetencji z różnych dziedzin, prawnej, compliance, cyberbezpieczeństwa, technologii, a także – odpowiednich zasobów ludzkich.

Autorzy:

Agata Jankowska-Galinska, Radca prawny
Paweł Kłosek, Starszy Menadżer, Cloud Engineering