Cloud & Law

Chmura w Finansach​

Kochański i Partnerzy
Cloud & Law

Chmura w Finansach​

Kochański i Partnerzy

Kancelaria Kochański & Partners, w ramach Bankowej Grupy Roboczej przy Związku Banków Polskich, uczestniczyła w pracach nad stworzeniem polskiego standardu wdrożeń chmury obliczeniowej w bankach, tzw. PolishCloud.

PolishCloud, który powstał w oparciu, między innymi, o najnowszy Komunikat KNF z 23 stycznia 2020 roku*, stanowi mapę drogową dla banków w Polsce w zakresie implementacji usług chmurowych.

Unikatowa wiedza zdobyta w trakcie prac nad PolishCloud oraz długoletnie doświadczenie zdobyte w ramach obsługi klientów z sektora finansowego, pozwoliły nam stworzyć kompleksowy pakiet usług, które pomogą sprawnie i skutecznie wdrożyć w Państwa firmie każdą usługę chmurową.

*24 stycznia 2020 roku Urząd Komisji Nadzoru Finansowego opublikował na swoich stronach internetowych Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

Zawiera on zbiór wytycznych, zaleceń oraz objaśnień, mających umożliwić powszechne i bezpieczne stosowanie przez podmioty nadzorowane rozwiązań chmury obliczeniowej publicznej oraz hybrydowej.

Informacje, akty prawne, porady dotyczące implementacji PolishCloud

Opracowane przez Kochański i Partnerzy

Wdrożenie chmury

Usługa chmurowa, w zależności od jej przedmiotu (zarówno ze względu na rodzaj przetwarzanych informacji, jak i zlecane procesy), może wymagać stosowania odpowiednich przepisów branżowych, w tym postanowień Komunikatu Chmurowego oraz przepisów o outsourcingu. Odpowiednia identyfikacja usługi chmurowej pozwoli na dobranie zestawu tylko tych narzędzi, które są niezbędne do wdrożenia chmurowego.

Zakres naszych usług obejmuje m.in.:

  • audyt prawny dostawcy usług chmurowych,
  • audyt prawny stosowanych przez klienta polityk (procedur) oraz szablonów,
  • przygotowywanie / negocjowanie umowy na dostawę usługi chmurowej, sporządzanie opinii,
  • zgłoszenie do nadzoru, o ile wynika to z charakteru usługi chmurowej.
Certyfikacja ISO dla użytkowników chmury obliczeniowej

Normy z rodziny ISO 27000 określają międzynarodowe standardy dotyczące Systemu Zarządzania Bezpieczeństwem Informacji. Zawarte w nich zasady i środki kontroli mają zapewnić bezpieczeństwo informacji istotnych dla każdej organizacji. Uzyskanie certyfikatu poprzedzone jest przeprowadzeniem audytu weryfikującego spełnienie wymagań normy. Certyfikacja potwierdza najwyższą dbałość o bezpieczeństwo danych klientów i kontrahentów, a także spełnienie wymogów regulacyjnych (np. RODO, Prawo bankowe).

K&P oferuje swoje usługi doradcze i wdrożeniowe przy przygotowaniu do certyfikacji ISO/ IEC 27001 z uwzględnieniem normy ISO/IEC 27017 dedykowane dla klientów korzystających z usług chmury obliczeniowej. Usługi K&P obejmują w szczególności przeprowadzenie audytu, zweryfikowanie lub przygotowanie wymaganej dokumentacji, a także doradztwo wdrożeniowe i wsparcie Klienta podczas procesu certyfikacji.

Certyfikacja ISO w tym zakresie potwierdza odpowiedni stopień bezpieczeństwa danych oraz pozwala na maksymalne ograniczenie ryzyka korzystania z usług chmurowych.

Uzyskanie certyfikacji ISO powinno zainteresować w szczególności podmioty objęte nadzorem finansowym, przetwarzające dane szczególnej kategorii lub objęte tajemnicą zawodową, czyli wszędzie tam gdy bezpieczeństwo danych i informacji jest szczególnie istotne, a dbałość o ten obszar jest wyrazem najwyższej staranności członków zarządu i managerów w dobie gospodarki 4.0.

Wybrane produkty jednostkowe
Identyfikacja chmury obliczeniowej

Pomagamy w identyfikacji chmury obliczeniowej publicznej, hybrydowej i prywatnej, pod kątem modeli chmury społecznościowej oraz outsourcingu informacji prawnie chronionej – outsourcing szczególny. W zależności od rodzaju usługi chmurowej wskazujemy zakres obowiązujących regulacji.

Wybór dostawcy

Pomagamy przy wyborze dostawcy ze względu na:

  • Lokalizację centrum przetwarzania danych.
  • Siedzibę dostawcy usług chmurowych.
  • Metody stosowanych przez dostawcę zabezpieczeń informacji w tym ich szyfryzacji, Inne zagadnienia zgodnie z wyborem klienta.
Umowa outsourcingowa

Sporządzamy umowy/dostosowanie wzorca umownego oraz prowadzimy negocjacje z dostawcą usługi chmurowej. Asystujemy przy jej zawieraniu.

Procesy wdrożeniowe

Doradzamy w zakresie następujących procesów:

  • Klasyfikacja i ocena informacji wraz z ich udokumentowaniem.
  • Szacowanie ryzyka wraz z jego dokumentacji.
  • Spełnienie poszczególnych wymagań technicznych i organizacyjnych dla przetwarzania informacji w chmurze obliczeniowej wraz z tworzeniem dokumentacji.
Wybrana dokumentacja

Udzielamy pomocy prawnej przy opracowywaniu wskazanej przez klienta dokumentacji na potrzeby wdrożenia chmurowego, w tym:

  • Schematu organizacyjnego stanowisk lub funkcji odpowiedzialnych za cyberbezpieczeństwo.
  • Zasad (polityk) stosowanych w organizacji zabezpieczeń technologicznych
    i rozwiązań organizacyjnych w odniesieniu do rozwiązań w chmurze obliczeniowej.
  • Zasad (polityk) zarządzania ciągłością działania.
  • Zasad (polityk) zarządzania zgodnością z prawem (m.in. procesy licencjonowania oprogramowania), w tym zgodnością z wymogami regulacyjnymi.
  • Zasad (polityk) przeglądu i weryfikacji zarządczej systemu bezpieczeństwa związanego z używaniem chmury obliczeniowej.
  • Zasad (polityk) raportowania, przeglądania i weryfikowania parametrów jakościowych funkcjonowania Usług chmury obliczeniowej.
  • Opisu procesów, procedur lub instrukcji dotyczących wybranych obszarów (zarządzanie logami, kluczami incydentami itd.).
  • Zasad zarządzania politykami i dokumentacją w ramach systemu zarządzania organizacją.
Reprezentacja przed KNF

Reprezentacja w związku ze zgłoszeniami, postepowaniami wyjaśniającymi oraz kontrolami KNF.

Symulacja kontroli KNF

Zgodnie z obowiązującymi przepisami KNF może przeprowadzić kontrolę dotyczącą użytkowania chmury obliczeniowej. Podmioty, które są zobowiązane do przestrzegania zaleceń KNF, powinny być odpowiednio przygotowane do takiej ewentualnej kontroli.

Dobrym rozwiązaniem jest przeprowadzenie symulacji kontroli w danej jednostce. Taka symulacja pozwala na zidentyfikowanie najsłabszych ogniw w zakresie ochrony przetwarzania danych osobowych w przedsiębiorstwie.

KALENDARIUM

1 listopada 2020

Aktualizacja Komunikatu chmurowego w związku z epidemią, wydłużająca czas na wdrożenie do 1 listopada 2020 r..

Marzec 2020

Premiera Polish Cloud, polskiego standardu wdrożeń chmury obliczeniowej w bankach, który powstaje w oparciu, między innymi, o Komunikat KNF z 24 stycznia 2020. Stanowi on mapę drogową dla banków w Polsce w zakresie implementacji usług chmurowych w bankach. 

24 stycznia 2020

Opublikowanie przez Urząd Komisji Nadzoru Finansowego Komunikatu dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, który stanowi zbiór wytycznych, zaleceń oraz objaśnień, mających umożliwić powszechne i bezpieczne stosowanie przez podmioty nadzorowane rozwiązań chmury obliczeniowej publicznej oraz hybrydowej. Przez lata rozwiązania te, ze względu na otoczenie prawne, albo nie były stosowane, albo stosowane były w bardzo niewielkim stopniu przez podmioty nadzorowane, w tymi banki.

Informacje powiązane

h

PolishCloud

h

Usługa chmurowa dla sektora finansowego

h

Coraz bliżej chmur: Nowy komunikat UKNF w sprawie rozwiązań chmurowych dla sektora usług finansowych.

h

Co zmienia komunikat KNF w sprawie chmury obliczeniowej?

h

Nowy komunikat UKNF ws. rozwiązań chmurowych dla sektora usług finansowych

h

Cloud computing: czyli polskie banki w chmurach

h

Cloud computing in Polish Financial Institutions

h

Polish Cloud. Tak nazywa się standard wdrożeniowy chmury obliczeniowej, przyjęty wczoraj przez ZBP

Osoba kontaktowa

Daniel Kozłowski

Adwokat/ Manager Projektów Cloud Computing
Praktyka: Bankowość i Usługi Finansowe
E-mail: d.kozłowski@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.: +48 538 646 453

więcej..

Monika Maćkowska-Morytz

E-mail: m.mackowska-morytz@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.: +48 660 765 918

więcej..

Aleksandra Piech

Radca prawny/ Starszy Prawnik, Specjalista ds. Projektu Chmurowego
Praktyka: Technologie / Ochrona Danych / Forensic
E-mail: a.piech@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.: +48 608 882 193

więcej..

Kontakt

Adres

Kochański i Partnerzy
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00

Telefon

tel.+48 22 326 9600
fax +48 22 326 9601

Bądźmy w kontakcie

3 + 2 =