Chmura w finansach
Kancelaria Kochański & Partners, w ramach Bankowej Grupy Roboczej przy Związku Banków Polskich, uczestniczyła w pracach nad stworzeniem polskiego standardu wdrożeń chmury obliczeniowej w bankach, tzw. PolishCloud oraz PolishCloud 2.0.
PolishCloud, który powstał w oparciu, między innymi, o najnowszy Komunikat KNF z 23 stycznia 2020 roku*, stanowi mapę drogową dla banków w Polsce w zakresie implementacji usług chmurowych.
Unikatowa wiedza zdobyta w trakcie prac nad PolishCloud oraz długoletnie doświadczenie zdobyte w ramach obsługi klientów z sektora finansowego, pozwoliły nam stworzyć kompleksowy pakiet usług, które pomogą sprawnie i skutecznie wdrożyć w Państwa firmie każdą usługę chmurową.
Zawiera on zbiór wytycznych, zaleceń oraz objaśnień, mających umożliwić powszechne i bezpieczne stosowanie przez podmioty nadzorowane rozwiązań chmury obliczeniowej publicznej oraz hybrydowej.
Informacje, akty prawne, porady dotyczące implementacji PolishCloud
Opracowane przez Kochański & Partners
Wdrożenie chmury
Usługa chmurowa, w zależności od jej przedmiotu (zarówno ze względu na rodzaj przetwarzanych informacji, jak i zlecane procesy), może wymagać stosowania odpowiednich przepisów branżowych, w tym postanowień Komunikatu Chmurowego oraz przepisów o outsourcingu. Odpowiednia identyfikacja usługi chmurowej pozwoli na dobranie zestawu tylko tych narzędzi, które są niezbędne do wdrożenia chmurowego.
Zakres naszych usług obejmuje m.in.:
- audyt prawny dostawcy usług chmurowych,
- audyt prawny stosowanych przez klienta polityk (procedur) oraz szablonów,
- przygotowywanie / negocjowanie umowy na dostawę usługi chmurowej, sporządzanie opinii,
- zgłoszenie do nadzoru, o ile wynika to z charakteru usługi chmurowej.
Certyfikacja ISO dla użytkowników chmury obliczeniowej
Normy z rodziny ISO 27000 określają międzynarodowe standardy dotyczące Systemu Zarządzania Bezpieczeństwem Informacji. Zawarte w nich zasady i środki kontroli mają zapewnić bezpieczeństwo informacji istotnych dla każdej organizacji. Uzyskanie certyfikatu poprzedzone jest przeprowadzeniem audytu weryfikującego spełnienie wymagań normy. Certyfikacja potwierdza najwyższą dbałość o bezpieczeństwo danych klientów i kontrahentów, a także spełnienie wymogów regulacyjnych (np. RODO, Prawo bankowe).
Kochański & Partners oferuje swoje usługi doradcze i wdrożeniowe przy przygotowaniu do certyfikacji ISO/ IEC 27001 z uwzględnieniem normy ISO/IEC 27017 dedykowane dla klientów korzystających z usług chmury obliczeniowej. Usługi Kochański & Partners obejmują w szczególności przeprowadzenie audytu, zweryfikowanie lub przygotowanie wymaganej dokumentacji, a także doradztwo wdrożeniowe i wsparcie Klienta podczas procesu certyfikacji.
Certyfikacja ISO w tym zakresie potwierdza odpowiedni stopień bezpieczeństwa danych oraz pozwala na maksymalne ograniczenie ryzyka korzystania z usług chmurowych.
Uzyskanie certyfikacji ISO powinno zainteresować w szczególności podmioty objęte nadzorem finansowym, przetwarzające dane szczególnej kategorii lub objęte tajemnicą zawodową, czyli wszędzie tam gdy bezpieczeństwo danych i informacji jest szczególnie istotne, a dbałość o ten obszar jest wyrazem najwyższej staranności członków zarządu i managerów w dobie gospodarki 4.0.
Wybrane produkty jednostkowe
Identyfikacja chmury obliczeniowej
Pomagamy w identyfikacji chmury obliczeniowej publicznej, hybrydowej i prywatnej, pod kątem modeli chmury społecznościowej oraz outsourcingu informacji prawnie chronionej – outsourcing szczególny. W zależności od rodzaju usługi chmurowej wskazujemy zakres obowiązujących regulacji.
Wybór dostawcy
Pomagamy przy wyborze dostawcy ze względu na:
- Lokalizację centrum przetwarzania danych.
- Siedzibę dostawcy usług chmurowych.
- Metody stosowanych przez dostawcę zabezpieczeń informacji w tym ich szyfryzacji, Inne zagadnienia zgodnie z wyborem klienta.
Umowa outsourcingowa
Sporządzamy umowy/dostosowanie wzorca umownego oraz prowadzimy negocjacje z dostawcą usługi chmurowej. Asystujemy przy jej zawieraniu.
Procesy wdrożeniowe
Doradzamy w zakresie następujących procesów:
- Klasyfikacja i ocena informacji wraz z ich udokumentowaniem.
- Szacowanie ryzyka wraz z jego dokumentacji.
- Spełnienie poszczególnych wymagań technicznych i organizacyjnych dla przetwarzania informacji w chmurze obliczeniowej wraz z tworzeniem dokumentacji.
Wybrana dokumentacja
Udzielamy pomocy prawnej przy opracowywaniu wskazanej przez klienta dokumentacji na potrzeby wdrożenia chmurowego, w tym:
- Schematu organizacyjnego stanowisk lub funkcji odpowiedzialnych za cyberbezpieczeństwo.
- Zasad (polityk) stosowanych w organizacji zabezpieczeń technologicznych
i rozwiązań organizacyjnych w odniesieniu do rozwiązań w chmurze obliczeniowej. - Zasad (polityk) zarządzania ciągłością działania.
- Zasad (polityk) zarządzania zgodnością z prawem (m.in. procesy licencjonowania oprogramowania), w tym zgodnością z wymogami regulacyjnymi.
- Zasad (polityk) przeglądu i weryfikacji zarządczej systemu bezpieczeństwa związanego z używaniem chmury obliczeniowej.
- Zasad (polityk) raportowania, przeglądania i weryfikowania parametrów jakościowych funkcjonowania Usług chmury obliczeniowej.
- Opisu procesów, procedur lub instrukcji dotyczących wybranych obszarów (zarządzanie logami, kluczami incydentami itd.).
- Zasad zarządzania politykami i dokumentacją w ramach systemu zarządzania organizacją.
Reprezentacja przed KNF
Reprezentacja w związku ze zgłoszeniami, postepowaniami wyjaśniającymi oraz kontrolami KNF.
Symulacja kontroli KNF
Zgodnie z obowiązującymi przepisami KNF może przeprowadzić kontrolę dotyczącą użytkowania chmury obliczeniowej. Podmioty, które są zobowiązane do przestrzegania zaleceń KNF, powinny być odpowiednio przygotowane do takiej ewentualnej kontroli.
Dobrym rozwiązaniem jest przeprowadzenie symulacji kontroli w danej jednostce. Taka symulacja pozwala na zidentyfikowanie najsłabszych ogniw w zakresie ochrony przetwarzania danych osobowych w przedsiębiorstwie.
Informacje powiązane
PolishCloud 2.0
PolishCloud
Usługa chmurowa dla sektora finansowego
Coraz bliżej chmur: Nowy komunikat UKNF ws. rozwiązań chmurowych dla sektora usług finansowych
Co zmienia komunikat KNF w sprawie chmury obliczeniowej?
Nowy komunikat UKNF ws. rozwiązań chmurowych dla sektora usług finansowych
Cloud computing: czyli polskie banki w chmurach
Cloud computing in Polish Financial Institutions
Polish Cloud. Tak nazywa się standard wdrożeniowy chmury obliczeniowej, przyjęty wczoraj przez ZBP
Zapraszamy do kontaktu:
Maciej Kuranc
Radca prawny / Starszy Prawnik / Praktyka NewTech / Ochrona Danych Osobowych i Cyberbezpieczeństwo