Coraz bliżej chmur: Nowy komunikat UKNF w sprawie rozwiązań chmurowych dla sektora usług finansowych.
Urząd Komisji Nadzoru Finansowego opublikował dziś (tj. 24.01.2020 r.) długo oczekiwany komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Jego założenia wpisują się w standardy opracowywane przez grupę roboczą przy Związku Banków Polskich, której głównym partnerem prawnym jest kancelaria Kochański
& Partners, projektem zarządza Accenture, a jego Liderem jest Grzegorz Pędzisz, CIO Idea Banku.
Nowy komunikat zastąpi ten opublikowany 23.10.2017 r. dotyczący „korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej”.
Nowością są, przede wszystkim zmienione wymagania co do umowy outsourcingowej oraz wytyczne dla dostawców usług chmurowych, w szczególności obowiązek zgodności z normą ISO/IEC 27017 dotyczącą bezpieczeństwa informacji w chmurze obliczeniowej.
W nowym komunikacie znajdują się również informacje dotyczące szacowania ryzyka zgodnie z wymaganiami aktualnego wydania normy PN-ISO 27005 lub jej odpowiednika w europejskim systemie normalizacji lub na bazie innego, usystematyzowanego podejścia.
Komunikat prezentuje też niezbędną bogatą siatkę pojęciową, wraz z nieznaną dotąd definicją outsourcingu szczególnego. Przedstawia również przydatną matrycę wyjaśniającą jak Komunikat ma być stosowany oraz wytyczne co do ponownej klasyfikacji i oceny informacji.
W nowym komunikacie UKNF określone zostały również szczegółowe zasady i terminy na wdrożenie chmurowe, w tym formularz zgłoszeniowy dotyczący przetwarzania informacji w chmurze obliczeniowej.
Publikacja komunikatu może znacznie przyspieszyć proces pełnego przejścia polskich banków do tzw. chmury. Jak przewidywała dr Agnieszka Serzysko (Radca prawny, Partner, Szef Sektora Usług Finansowych w kancelarii Kochański & Partners) w grudniowym wywiadzie dla magazynu Forbes to prawdopodobnie kwestia 2-3 lat.
– Banki będą musiały nie tylko podpisać odpowiednie umowy, ale też dostosować swoją infrastrukturę. Muszą też stworzyć, bądź dostosować, swoje procedury wewnętrzne, w czym oczywiście jako kancelaria i Praktyka Usług Finansowych możemy wesprzeć banki. Byłoby dobrze, gdyby do przeniesienia się do chmury doszło wcześniej. Optymistycznie zakładając może się to udać już w ciągu 1 roku – 2 lat. – tłumaczyła dr Serzysko.