Komisja Nadzoru Finansowego to organ regulujący w Polsce działalność tzw. podmiotów nadzorowanych, a więc firm i instytucji działających w obszarze finansowym, w tym m.in.: banków komercyjnych, spółdzielczych i hipotecznych, firm ubezpieczeniowych, brokerów inwestycyjnych, SKOK-ów czy tzw. fintechów.

 

W kontekście przetwarzania danych w chmurze publicznej i hybrydowej podmioty te powinny stosować się do zapisów dwóch dokumentów, które dokładniej opiszemy w dalszej części artykułu.

 

Co zawiera komunikat UKNF z 2020 roku?

 

Komunikat chmurowy z 2020 roku zastąpił dokument opublikowany w 2017 roku i został przyjęty przez podmioty sektora finansowego jako zielone światło dla wykorzystania technologii chmurowej do przetwarzania danych prawnie chronionych (m.in. tajemnicą bankową). Wcześniej banki i inne podmioty nadzorowane patrzyły na rozwijający się rynek cloud computingu z nadzieją, ale i obawą wynikającą z niesprecyzowanego stanowiska KNF.

 

Outsourcing w zakresie infrastruktury IT rodził bowiem obawy o bezpieczeństwo wrażliwych informacji. Wspomniany komunikat zawiera klarowne wytyczne i definiuje model referencyjny dla usług chmury publicznej oraz hybrydowej dostarczanej przez zewnętrzne podmioty. Model pozwala uniknąć wątpliwości interpretacyjnych i ujednolicić zasady korzystania z zewnętrznej infrastruktury.

 

Na model referencyjny składają się:

 

1. Wytyczne stosowania.

 

2. Klasyfikacja i ocena informacji.

 

3. Szacowanie i zarządzanie ryzykiem.

 

4. Minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej.

 

5. Zasady informowania UKNF o zamiarze lub przetwarzaniu informacji w chmurze obliczeniowej.

 

Komunikat wprowadza także precyzyjne definicje chmury prywatnej, publicznej, hybrydowej i społecznościowej (zgodnie z komunikatem to chmura do wyłącznego użytku podmiotów powiązanych kapitałowo lub na mocy umowy o współpracy). Znajdziemy w nim także definicje outsourcingu, metod szyfrowania danych oraz opisane szczegółowo wymagania dla dostawców chmury.

 

Komunikat wyraźnie rozróżnia outsourcing usług chmury obliczeniowej od outsourcingu szczególnego chmury obliczeniowej. Drugi termin oznacza świadczenie szczególnie istotnych usług chmurowych na rzecz podmiotu nadzorowanego, w przypadku których awaria dostawcy mogłaby zagrozić ciągłości procesów lub wynikom finansowym organizacji z sektora finansowego. W przypadku „standardowego” outsourcingu mówimy o wsparciu zewnętrznego dostawcy w procesach, które podmiot nadzorowany może kontynuować samodzielnie w przypadku awarii.

 

Ma to duże znaczenie dla konieczności stosowania wytycznych komunikatu. Sugestie KNF dotyczące chmury można bowiem potraktować dobrowolnie w przypadku świadczenia usług outsourcingu innego niż szczególny oraz w przypadku przetwarzania informacji innych niż prawnie chronione.

 

Komunikat chmurowy z 2020 roku nie zmienia obowiązujących przepisów prawa (takich jak np. rozporządzenie DORA czy dyrektywa RODO) i powinien być traktowany jako uzupełnienie i rozwinięcie wiążących regulacji. Zapisy komunikatu nie muszą być jednak stosowane w przypadku korzystania z chmury prywatnej. O zamiarze wdrożenia infrastruktury chmurowej podmioty nadzorowane powinny poinformować KNF z co najmniej 14-dniowym wyprzedzeniem.

 

Rekomendacja D KNF – co oznacza dla firm korzystających z chmury?

 

Rekomendacja D wydana przez KNF w 2013 roku zastąpiła już mocno przestarzałe wytyczne z roku 2002. W dokumencie zawarto 22 rekomendacje dla podmiotów nadzorowanych dotyczące następujących obszarów:

 

• Strategia i organizacja obszarów technologii oraz bezpieczeństwa środowiska IT. Jednym z podstawowych założeń rekomendacji D jest ustanowienie jasnej polityki udzielania dostępów oraz przydzielania obowiązków związanych z bezpieczeństwem informacji konkretnym osobom w firmie. Dokument reguluje także rolę zarządu w systemie ochrony danych. Kładzie ponadto nacisk na precyzyjne określanie zasad współpracy z innymi podmiotami świadczącymi usługi z zakresu środowiska teleinformatycznego.


• Rozwój środowiska IT. W tym obszarze, zgodnie z dokumentem KNF, organizacje finansowe powinny korzystać ze sprawdzonych standardów zarządzania projektami. Rekomendacja D wskazuje m.in.: standardy proponowane przez PMI (Project Management Institute), a w szczególności PMBoK (Project Management Body of Knowledge) oraz metodykę PRINCE2 (PRojects IN Controlled Environments). Drugi obszar wskazuje także na konieczność zachowania elastyczności w projektowaniu środowiska w celu dopasowania do zmieniających się warunków rynkowych (w tym warunków prawnych).


• Utrzymania i eksploatacji środowiska IT. W tym obszarze rekomendacja D kładzie nacisk na zarządzanie danymi, aktualizowanie komponentów infrastruktury, edukację pracowników oraz mechanizmy dostępu do zasobów. Reguluje również tak istotne kwestie, jak metody weryfikacji tożsamości klientów przy otwieraniu rachunków oraz wymaga formalizacji zasad współpracy z zewnętrznymi partnerami chmurowymi.


• Zarządzanie bezpieczeństwem środowiska IT. To ostatni obszar rekomendacji D, który dotyczy konieczności sformalizowania systemu zarządzania bezpieczeństwem informacji oraz wdrażania procedur identyfikacji, oceny, reagowania oraz raportowania incydentów i ryzyk. Rekomendacja D nakłada także obowiązek wykonywania audytów czy testów penetracyjnych i określa kwalifikacje osób odpowiedzialnych za ich przeprowadzanie.

   

Choć ani komunikat UKNF z 2020 roku, ani też rekomendacja D nie zawierają informacji o możliwych karach finansowych lub sankcjach, to w przypadku braku zgodności z przedstawionymi w nich wytycznymi, niedostosowanie się do tych warunków może zostać uznane za naruszenie obowiązków wynikających z prawa bankowego. To z kolei może już prowadzić do naliczenia kar finansowych.

 

Komisja Nadzoru Finansowego jest organem o bardzo szerokich kompetencjach, bez zgody którego żadna z firm sektora finansowego nie może legalnie świadczyć swoich usług na terenie Polski. W przypadku podejrzenia nieprawidłowości KNF może przeprowadzać kontrole, wdrażać działania naprawcze lub nawet ograniczać działalność podmiotu. Nieścisłości, które wskaże KNF, negatywnie wpływają także na reputację firmy, a ta, szczególnie w sektorze finansowym, ma ogromne znaczenie.

 

Podstawą funkcjonowania instytucji finansowych jest dział compliance, czyli zespół specjalistów czuwających nad zachowaniem zgodności z przepisami prawa, obowiązującymi regulacjami oraz wewnętrznymi procedurami i politykami.

 

Wytyczne zawarte m.in. w rekomendacji D, czy przytoczonym komunikacie dotyczącym chmury obliczeniowej, stanowią spore ułatwienie dla banków. Instytucje nie muszą organizować infrastruktury na własną rękę, lecz mogą skorzystać z usług certyfikowanych podmiotów zewnętrznych. Outsourcing jest prostym i wydajnym kosztowo sposobem zapewnienia zgodności w dynamicznie zmieniającym się środowisku.

   

Netia to jeden z liderów rynku usług chmurowych w Polsce, mogący pochwalić się certyfikatami zgodności z normami ISO/IEC 27001 (zarządzanie bezpieczeństwem informacji), ISO/IEC 9001 (zarządzanie jakością świadczonych usług). Potwierdzają one wysokie standardy bezpieczeństwa oferowanych usług.

 

Zgodne z rekomendacją D oraz komunikatem chmurowym Netia jest w stanie zapewnić:

 

• zaawansowane mechanizmy szyfrowania danych,


• zgodny z wymaganiami normy ISO 27001 system raportowania incydentów bezpieczeństwa oraz pełny wgląd do wyników audytów zewnętrznych i wewnętrznych,


• gwarancję zgodności z polskim prawem oraz prawem UE w zakresie przetwarzania danych oraz sformalizowaną procedurę zakończenia współpracy z uwzględnieniem pełnego zabezpieczenia danych klienta.

 

Data Center Netii doskonale wpisują się także w rekomendację dotyczącą lokalizacji obiektów data center (zwanych Centrami Przetwarzania Danych – CPD) dostawców usług chmurowych. KNF wskazuje bowiem, że obiekty te powinny znajdować się na terytorium Europejskiego Obszaru Gospodarczego. W pierwszej kolejności Komisja Nadzoru Finansowego zaleca także korzystanie z usług dostawców z obiektami zlokalizowanymi na terenie Polski, o ile jest to ekonomicznie i operacyjnie uzasadnione.

   

Netia to firma, która doskonale zdaje sobie sprawę z obowiązujących w sektorze finansowym zasad i regulacji. Wieloletnie doświadczenie pozwala na świadczenie usługi chmury obliczeniowej – w zgodzie z prawem krajowym i międzynarodowym. Netia Compute to prosty, wydajny oraz bezpieczny sposób na migrację środowiska firmowego do chmury przy użyciu środowiska VMware oraz hiperkonwergentnej infrastruktury DELL EMC – z pełnym wsparciem technicznym.

 

Infrastruktura Netii jest zlokalizowana w najnowocześniejszych w Polsce obiektach Data Center znajdujących się blisko kluczowych ośrodków biznesowych, co zapewnia łatwy dojazd oraz minimalne opóźnienie wynikające z nieodległej lokalizacji. W naszych obiektach stosujemy najlepsze technologie ochrony fizycznej i przeciwpożarowej, wydajne systemy chłodzenia oraz systemy zasilania z 3 niezależnymi liniami zasilającymi, modułami UPS i podtrzymaniem bateryjnym.