Maciej Szukała
|
25 marca 2022
Spis treści

Komisja Nadzoru Finansowego, która pełni m.in. funkcję organu regulacyjnego względem podmiotów z sektora finansowego, w tym fintechowego, dostrzega zagrożenia związane ze stopniową digitalizacją usług podmiotów nadzorowanych. Wytyczne dotyczące stosowania modelowego sposobu działania tych przedsiębiorców publikowane są w formie komunikatów chmurowych.

Dlaczego przetwarzanie informacji w chmurze musi być nadzorowane i jakie warunki powinny spełnić podmioty zobligowane do stosowania komunikatu?

Na czym polegają rozwiązania chmurowe?

Technologia chmury obliczeniowej (ang. cloud computing) to usługa polegająca na możliwości świadczenia cyfrowych usług bez posiadania własnej infrastruktury i oprogramowania. Zarówno software, jak i hardware dostarczane są przez usługodawcę, który gwarantuje również dostęp do chmury (ang. cloud), czyli wirtualnej przestrzeni, gdzie gromadzone są informacje (bazy danych, formularze, pliki).

Chmurę danych najłatwiej porównać do dysku FLASH o dużej pojemności z tą różnicą, że przedsiębiorca korzystający z usług chmurowych nie może dostać się do danych, korzystając ze swoich urządzeń.

Zasadniczą zaletą technologii cloud computing jest:

  • decentralizacja danych, które mogą być szybko i bez wysiłku udostępnione wybranym adresatom,

  • ochrona danych przed zniszczeniem lub dostaniem się w niepowołane ręce na wypadek kradzieży komputera albo cyfrowego ataku.

Ze względu na kompleksowe rozwiązania chmurowe świadczy się niejako „z zewnątrz”. To dostawca usługi jest odpowiedzialny za utrzymanie integralności danych, ich ochronę, a także zapewnienie sprawnie działających serwerów, które umożliwią dostęp do zasobów w czasie rzeczywistym.

Wyróżnia się kilka rodzajów usług chmurowych, które są dostępne dla różnych grup odbiorców:

  • chmura publiczna (ang. public cloud) – dostępna dla użytkowników indywidualnych oraz instytucji. Najczęściej korzystają z nich firmy, które świadczą swoje usługi szerokiemu gronu odbiorców. Z tego względu chmury publiczne są najczęściej łatwe w obsłudze i wyróżniają się przyjaznym interfejsem,

  • chmura prywatna (ang. private cloud) – tworzona na potrzeby konkretnej firmy lub instytucji. Wyróżnia się wysokim poziomem bezpieczeństwa, ale wymaga poniesienia znacznych kosztów związanych z utworzeniem odpowiedniej infrastruktury oraz wyszkoleniem kadry,

  • chmura hybrydowa (ang. hybrid cloud) – łączy sobie zalety chmury publicznej i prywatnej. Dostęp do niej jest łatwy, ale dane są przechowywane na zabezpieczonych, prywatnych serwerach. Chmury hybrydowe wybierają firmy, które dywersyfikują potrzeby swoich klientów na bardziej i mniej złożone, ponieważ usługę łatwo dopasować do konkretnych sytuacji.

Podział na rodzaje chmur w kontekście komunikatu KNF jest o tyle istotny, że zawarte w nim wytyczne stosuje się wyłącznie do chmur publicznych oraz hybrydowych, w zakresie, w jakim stanowią chmurę publiczną.

Gdzie stosuje się cloud computing?

Świadczenie usług poprzez cyfrową chmurę danych jest popularne we wszystkich sektorach gospodarki, gdzie liczy się szybki dostęp do usługi. Z cloud computing korzystają dostawcy streamowanych mediów, usług biurowych czy telekomunikacyjnych. Eksploatują ją także:

  • banki,

  • inne instytucje finansowe (np. fintechy),

  • zakłady ubezpieczeń.

Właśnie w przypadku tych kilku ostatnich kategorii podmiotów kluczowe staje się wprowadzenie odpowiednich standardów świadczenia usług i bezpieczeństwa. W tym celu powstają komunikaty chmurowe KNF.

Jaka jest funkcja komunikatu chmurowego KNF?

Komisja zwróciła uwagę, że przedmiotem cyfrowego outsourcingu jest coraz więcej danych prawnie chronionych (np. objętych tajemnicą bankową). Nie ma niestety jednolitego standardu zarządzania takimi informacjami, co potencjalnie rodzi ryzyko utraty kontroli nad wrażliwymi danymi w całym sektorze.

Wszystkie postanowienia komunikatu powinny być stosowane wprost, chyba, że dany podmiot podlega regulacjom szczególnym (np. Rekomendacji-D lub D-SKOK odpowiednio dla banków lub SKOK-ów). W takim przypadku komunikat chmurowy powinien być traktowany jako rozwinięcie i uszczegółowienie partykularnej regulacji.

Każdy z podmiotów nadzorowanych ma obowiązek dostosować swój schemat postępowania do modelu referencyjnego ustanowionego przez komunikat. Dokument obliguje także do informowania KNF o zamiarze przetwarzania informacji w usługach chmury obliczeniowej z odpowiednim wyprzedzeniem. Oznacza to, że wymiana informacji w tym przedmiocie musi być zrealizowana przed rozpoczęciem przetwarzania (a nie już po fakcie).

W celu wdrożenia wytycznych zawartych w komunikacie chmurowym KNF warto skorzystać z pomocy prawników wyspecjalizowanych w prawie nowych technologii. Głębokie zrozumienie przepisów oraz znajomość zasad rządzących środowiskiem IT pozwala na stworzenie realnie działających procedur.

Co składa się na model referencyjny KNF?

Aby ujednolicić korzystanie z usług cloud computing, KNF stworzył model referencyjny. Został on oparty na określeniu:

  • odpowiedniego stosowania wytycznych,

  • klasyfikacji i zastosowania informacji,

  • szacowania ryzyka,

  • minimalnych wymagań dla przetwarzania informacji w chmurze obliczeniowej,

  • zasad informowania KNF o zamiarze przetwarzania danych.

Na czym polega odpowiednie stosowanie wytycznych KNF?

KNF podkreśla, że nadrzędnym celem każdego podmiotu stosującego komunikat powinno być zapewnienie bezpieczeństwa przetwarzania danych oraz dokonywania tego w zgodzie z przepisami prawa.

Jednocześnie dopuszcza się zasadę proporcjonalności, która zakłada, że mniejsze podmioty (takie, które dysponują mniejszymi środkami finansowymi lub technologicznymi) mogą wdrażać mniej efektywne zabezpieczenia.

Klasyfikacja i zastosowanie informacji

Każdy podmiot samodzielnie dokumentuje klasyfikację informacji z uwzględnieneim podziału na informacje prawnie chronione (na mocy komunikatu i przepisów prawa powszechnego oraz pozostałe) kierując się:

  • zgodnością z wymaganiami prawnymi oraz zobowiązaniami umownymi,

  • zakresem, rodzajem i ważnością informacji,

  • wartością informacji dla podmiotu.

Przy ocenie informacji należy wziąć pod uwagę skalę prowadzonej działalności, odpowiedzialność za przetwarzanie danych informacji oraz przyjęte standardy, jeżeli takie obowiązują dla danej grupy podmiotów.

Ponowna ocena metod przetwarzania informacji powinna być przeprowadzona nie rzadziej niż raz w roku, a także za każdym przypadkiem, gdy:

  • przetwarzany jest nowy rodzaj informacji,

  • podmiot korzysta z nowej usługi chmury obliczeniowej,

  • dochodzi do zmiany przepisów lub umów, które mogą wpłynąć na zgodność przetwarzania z wytycznymi,

  • podmiot znacząco zmniejsza albo zwiększa skalę przetwarzania informacji,

  • przetwarzana informacja zyskuje znacząco większą wagę.

Szacowanie ryzyka

Ocena ryzyka przetwarzania informacji powinna odbywać się w oparciu o usystematyzowany zbiór wytycznych (np. PN-ISO 27005 lub podejścia równoważnego), w trybie ciągłym oraz z wykorzystaniem tzw. cyklu Deminga. Pozwala to na bieżącą cenę efektywności wprowadzonych rozwiązań i szybkie podjęcie działań naprawczych.

W komunikacie chmurowym KNF nakazuje uwzględnienie w procesie szacowania ryzyka kilku składowych:

  • ogólne zagrożenia dla stosowania chmury obliczeniowej (m.in. rozproszenie geograficzne przetwarzanych informacji, dostęp do chmury publicznej przez osoby niepowołane),

  • specyficzne zagrożenia dla konkretnych usług chmury obliczeniowej (m.in. wadliwość mechanizmów uwierzytelniania, dostęp do danych z poziomu urządzeń osobistych – smartfony, tablety),

  • specyficzne zagrożenia związane z zasobami podmiotu nadzorowanego (m.in. zgodność środowiska teleinformatycznego, pracownicy o określonych kompetencjach),

  • wartość przetwarzanych informacji oraz skutki utraty kontroli nad nimi (bezpośrednie i pośrednie),

  • inne zagrożenia związane z wykorzystaniem usług chmury obliczeniowej.

W dokonaniu oceny należy także uwzględnić stanowisko nadzoru w zakresie:

  • szyfrowania informacji,

  • tworzenia łańcucha outsourcingowego,

  • usług dostawców chmury obliczeniowej,

  • prawa właściwego dla umowy między podmiotem nadzorowanym a dostawcą usług chmury obliczeniowej.

Po zakończneiu analizy ryzyka podmiot nadzorowany zarządza nim uwzględniając nie tylko uwarunkowania prawne i umowne, ale przede wszystkim swoją strukturę, podział kompetencji, uprawnień i odpowiedzialności.

Wyniki powinny zostać formalnie zatwierdzone. Okresowo należy je też aktualizować i weryfikować. Muszą jednak prowadzić do konkluzji, że świadczenie usług chmury obliczeniowej będzie realizowane zgodnie z:

  • wymaganiami prawa obowiązującego podmiot nadzorowany,

  • regulacjami wewnętrznymi i zewnętrznymi,

  • przyjętymi standardami wewnętrznymi.

Ocena ryzyka przetwarzania danych to wieloetapowy i skomplikowany proces, który wymaga dobrej znajomości przepisów prawa, ale też przepływu procesów w dużych organizacjach. Aby mieć pewność, że komunikat KNF jest wdrożony prawidłowo, warto skorzystać z pomocy zespołu prawników.

Minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej

Aby zapewnić zgodne z prawem przetwarzanie informacji w chmurze obliczeniowej, podmiot nadzorowany musi spełnić szereg wymagań technicznych i organizacyjnych, które będą odpowiednie do poziomu oszacowanego ryzyka.

Ze względu na cykliczne weryfikowanie poziomu ryzyka oraz ponowną ocenę określających je kryteriów minimalne wymagania mogą z biegiem czasu ulegać zmianie. Czego dotyczą wymagania określone w komunikacie chmurowym?

  • Kompetencji – odnoszą się do kwalifikacji, doświadczenia, umiejętności i wyszkolenia pracowników lub współpracowników podmiotu nadzorowanego,

  • Umowy z dostawcą usług chmury obliczeniowej – określają minimalne wymagania umowy, w tym podział praw, obowiązków i odpowiedzialności i zabezpieczeń kontraktu,

  • Planu przetwarzania informacji w chmurze obliczeniowej – jest opracowywany na w oparciu o szacowany poziom ryzyka i dotyczy takich kwestii, jak sposób szyfrowania informacji, podmiotowy zakres legitymacji do przetwarzania informacji, czy plan ciągłości działania infrastruktury w przypadku utraty kontroli nad przetwarzaniem informacji,

  • Wymagań względem dostawców usług chmury obliczeniowej – określa szczegółowe wymagania certyfikacji względem podmiotu przetwarzającego informacje (m.in. określone normy ISO, ISO/IEC),

  • Kryptografii – podmiot nadzorowany musi zapewnić odpowiedni standard informatycznego zabezpieczenia informacji, a niekiedy także korzystać z kluczy szyfrujących,

  • Monitorowania środowiska przetwarzania informacji w usługach chmury obliczeniowej – definiują obowiązek posiadania procedury zbierania logów systemowych oraz posiadania zabezpieczeń przed ich nieuprawnionym modyfikowaniem i usuwaniem,

  • Dokumentowania działań podmiotu nadzorowanego – dotyczy prowadzenia rejestrów dotyczących pracowników odpowiedzialnych m.in. za cyberbezpieczeństwo, a także struktury sieci i zachowania ciągłości działania.

Zasady informowania KNF o zamiarze przetwarzania lub przetwarzaniu informacji

Komunikat chmurowy KNF obliguje podmiot nadzorowany do przekazania w terminie nie późniejszym niż 14 dni przed rozpoczęciem przetwarzania informacji z wykorzystaniem usługi chmury obliczeniowej następujących informacji:

  • rodzaju i zakresu informacji, które mają być przetwarzane,

  • nazwie dostawcy usług chmury obliczeniowej oraz rodzaju tej usługi,

  • dacie podpisania umowy z dostawcą usług,

  • lokalizacji centrum przetwarzania danych świadczącym usługę,

  • spełnieniu wymagań określonych w komunikacie chmurowym,

  • osobach lub stanowiskach właściwych do kontaktu w sprawie stosowania usługi.

Spełnienie wszystkich wymagań określonych w nowym komunikacie chmurowym wymaga dochowania dużej staranności nie tylko na etapie organizacji infrastruktury sprzętowej. To także duże wyzwanie na płaszczyźnie formalnej, ponieważ wdrożenie komunikatu pociąga za sobą konieczność stworzenia ogromnej ilości dokumentacji i precyzyjnego podziału obowiązków i kompetencji.

Skorzystanie z prawnej obsługi przedsiębiorców – także przez podmioty z rynku regulowanego – może znacząco ułatwić ten proces i zapewnić sprawne wdrożenie komunikatu.

Kiedy należy stosować komunikat KNF?

Stosowanie komunikatu jest obligatoryjne, jeżeli dochodzi do przetwarzania informacji prawnie chronionych lub innych w drodze outsourcingu szczególnego chmury obliczeniowej. Obowiązek jego stosowania pojawia się także w przypadku, kiedy przetwarzane są dane prawnie chronione, ale z użyciem outsourcingu innego niż szczególny.

We wszystkich innych przypadkach (dane inne niż prawnie chronione i outsourcing inny niż szczególny stosowanie komunikatu jest fakultatywne).

Obowiązek stosowania komunikatu zachodzi, kiedy przetwarzanie jest realizowane w chmurze obliczeniowej publicznej lub hybrydowej. Wszystkie środki zaradcze powinny być wdrożone przed rozpoczęciem przetwarzania danych.

Czym są dane prawnie chronione i outsourcing szczególny

Stosowanie komunikatu KNF jest obligatoryjne w przypadku przetwarzania informacji prawnie chronionych z wykorzystaniem outsourcingu szczególnego. Co oznaczają te pojęcia?

Pod pojęciem informacji prawnie chronionej rozumie się informacje związane z tajemnicami sektora finansowego, które wymienione są w ustawach sektorowych takich jak:

  • ustawa prawo bankowe,

  • ustawa o obrocie instrumentami finansowymi,

  • ustawa o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi,

  • ustawa o działalności ubezpieczeniowej i reasekuracyjnej,

  • ustawa o giełdach towarowych,

  • ustawa o dystrybucji ubezpieczeń,

  • ustawa o organizacji i funkcjonowaniu funduszy emerytalnych,

  • ustawa o pracowniczych planach kapitałowych,

  • ustawa o usługach płatniczych,

  • ustawa o spółdzielczych kasach oszczędnościowo-kredytowych.

Z kolei outsourcing szczególny określa udostępnienie usługi chmury obliczeniowej, w przypadku awarii lub naruszeniu zasad bezpieczeństwa, której dochodzi do przynajmniej jednej z poniższych sytuacji:

  • naruszenia w sposób istotny ciągłości podstawowych obowiązków wypełnianych przez podmiot nadzorowany,

  • powstania istotnego zagrożenia wyników finansowych podmiotu nadzorowanego, ciągłości lub niezawodności wykonywania ciągłości nadzorowanej.

Nowy komunikat chmurowy KNF nakłada konieczność wdrożenia wielu połączonych ze sobą rozwiązań, w opracowaniu, których muszą współpracować ze sobą specjaliści z zakresu IT, prawnicy, działy HR, oraz zarząd spółki.

Z pewnością wymaga to także doskonale opracowanych Compliance, które pozwolą zautomatyzować przepływ procesów. Nie ulega jednak wątpliwości, że nowe technologie stają się nieodłączną częścią wielu branży.

Marcin Staniszewski

Radca Prawny



Zaufali nam:


5/5 - (liczba głosów: 2)