Cloud & Law

Chmura w Finansach​

Kochański i Partnerzy
Cloud & Law

Chmura w Finansach​

Kochański i Partnerzy

Kochański & Partners, w ramach Bankowej Grupy Roboczej przy Związku Banków Polskich, uczestniczy w pracach nad stworzeniem polskiego standardu wdrożeń chmury obliczeniowej w bankach, tzw. Polish Cloud.

Polish Cloud, który powstaje w oparciu, między innymi o najnowszy Komunikat KNF z 23 stycznia 2020 roku*, stanowić będzie mapę drogową dla banków w Polsce w zakresie implementacji usług chmurowych.

Unikatowa wiedza zdobyta w trakcie prac nad Polish Cloud oraz długoletnie doświadczenie zdobyte w ramach obsługi klientów z sektora finansowego, pozwoliły nam stworzyć kompleksowy pakiet usług, które pomogą sprawnie i skutecznie wdrożyć w Państwa firmie każda usługę chmurową.

*24 stycznia 2020 roku Urząd Komisji Nadzoru Finansowego opublikował na swoich stronach internetowych Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

Zawiera on zbiór wytycznych, zaleceń oraz objaśnień, mających umożliwić powszechne i bezpieczne stosowanie przez podmioty nadzorowane rozwiązań chmury obliczeniowej publicznej oraz hybrydowej.

Informacje, akty prawne, porady dotyczące implementacji Polish Cloud

Opracowane przez Kochański i Partnerzy

Wdrożenie chmury

Usługa chmurowa, w zależności od jej przedmiotu (zarówno ze względu na rodzaj przetwarzanych informacji, jak i zlecane procesy), może wymagać stosowania odpowiednich przepisów branżowych, w tym postanowień Komunikatu Chmurowego oraz przepisów o outsourcingu. Odpowiednia identyfikacja usługi chmurowej pozwoli na dobranie zestawu tylko tych narzędzi, które są niezbędne do wdrożenia chmurowego.

Zakres naszych usług obejmuje m.in.

  • audyt prawny dostawcy usług chmurowych,
  • audyt prawny stosowanych przez klienta polityk (procedur) oraz szablonów,
  • przygotowywanie / negocjowanie umowy na dostawę usługi chmurowej, sporządzanie opinii,
  • zgłoszenie do nadzoru, o ile wynika to z charakteru usługi chmurowej.
Certyfikacja ISO dla użytkowników chmury obliczeniowej

Normy z rodziny ISO 27000 określają międzynarodowe standardy dotyczące Systemu Zarządzania Bezpieczeństwem Informacji. Zawarte w nich zasady i środki kontroli mają zapewnić bezpieczeństwo informacji istotnych dla każdej organizacji. Uzyskanie certyfikatu poprzedzone jest przeprowadzeniem audytu weryfikującego spełnienie wymagań normy. Certyfikacja potwierdza najwyższą dbałość o bezpieczeństwo danych klientów i kontrahentów, a także spełnienie wymogów regulacyjnych (np. RODO, Prawo bankowe).

K&P oferuje swoje usługi doradcze i wdrożeniowe przy przygotowaniu do certyfikacji ISO/ IEC 27001 z uwzględnieniem normy ISO/IEC 27017 dedykowane dla klientów korzystających z usług chmury obliczeniowej. Usługi K&P obejmują w szczególności przeprowadzenie audytu, zweryfikowanie lub przygotowanie wymaganej dokumentacji, a także doradztwo wdrożeniowe i wsparcie Klienta podczas procesu certyfikacji.

Certyfikacja ISO w tym zakresie potwierdza odpowiedni stopień bezpieczeństwa danych oraz pozwala na maksymalne ograniczenie ryzyka korzystania z usług chmurowych.

Uzyskanie certyfikacji ISO powinno zainteresować w szczególności podmioty objęte nadzorem finansowym, przetwarzające dane szczególnej kategorii lub objęte tajemnicą zawodową, czyli wszędzie tam gdy bezpieczeństwo danych i informacji jest szczególnie istotne, a dbałość o ten obszar jest wyrazem najwyższej staranności członków zarządu i managerów w dobie gospodarki 4.0.

Wybrane produkty jednostkowe
Identyfikacja chmury obliczeniowej
Pomagamy w identyfikacji chmury obliczeniowej publicznej, hybrydowej i prywatnej, pod kątem modeli chmury społecznościowej oraz outsourcingu informacji prawnie chronionej – outsourcing szczególny. W zależności od rodzaju usługi chmurowej wskazujemy zakresu obowiązujących regulacji.
Wybór dostawcy

Pomagamy przy wyborze dostawcy ze względu na:

  • Lokalizację centrum przetwarzania danych.
  • Siedzibę dostawcy usług chmurowych.
  • Metody stosowanych przez dostawcę zabezpieczeń informacji w tym ich szyfryzacji, Inne zagadnienia zgodnie z wyborem klienta.
Umowa outsourcingowa

Sporządzamy umowy/dostosowanie wzorca umownego oraz prowadzimy negocjacje z dostawcą usługi chmurowej. Asystujemy przy jej zawieraniu.

Procesy wdrożeniowe

Doradzamy w zakresie następujących procesów:

  • Klasyfikacja i ocena informacji wraz z ich udokumentowaniem.
  • Szacowanie ryzyka wraz z jego dokumentacji.
  • Spełnienie poszczególnych wymagań technicznych i organizacyjnych dla przetwarzania informacji w chmurze obliczeniowej wraz z tworzeniem dokumentacji.
Wybrana dokumentacja

Udzielamy pomocy prawnej przy opracowywaniu wskazanej przez klienta dokumentacji na potrzeby wdrożenia chmurowego, w tym:

  • Schematu organizacyjny stanowisk lub funkcji odpowiedzialnych za cyberbezpieczeństwo.
  • Zasad (polityk) stosowanych w organizacji zabezpieczeń technologicznych
    i rozwiązań organizacyjnych w odniesieniu do rozwiązań w chmurze obliczeniowej.
  • Zasad (polityk) zarządzania ciągłością działania.
  • Zasad (polityk) zarządzania zgodnością z prawem (m.in. procesy licencjonowania oprogramowania), w tym zgodnością z wymogami regulacyjnymi.
  • Zasad (polityk) przeglądu i weryfikacji zarządczej systemu bezpieczeństwa związanego z używaniem chmury obliczeniowej.
  • Zasad (polityk) raportowania, przeglądania i weryfikowania parametrów jakościowych funkcjonowania Usług chmury obliczeniowej.
  • Opisu procesów, procedur lub instrukcji dotyczących wybranych obszarów (zarządzanie logami, kluczami incydentami itd.).
  • Zasad zarządzania politykami i dokumentacją w ramach systemu zarządzania organizacją.
Reprezentacja przed KNF

Reprezentacja w związku ze zgłoszeniami, postepowaniami wyjaśniającymi oraz kontrolami KNF.

Symulacja kontroli KNF

Zgodnie z obowiązującymi przepisami KNF może przeprowadzić kontrolę dotyczącą użytkowania chmury obliczeniowej zgodnie w obowiązującymi przepisami. Podmioty, które są zobowiązane do przestrzegania zaleceń KNF powinny być odpowiednio przygotowane do takiej ewentualnej kontroli.

Dobrym rozwiązaniem jest przeprowadzenie symulacji kontroli w danej jednostce. Taka symulacja pozwala na zidentyfikowanie najsłabszych ogniw w zakresie ochrony przetwarzania danych osobowych w przedsiębiorstwie.

KALENDARIUM

Marzec 2020

Premiera Polish Cloud, polskiego standardu wdrożeń chmury obliczeniowej w bankach, który powstaje w oparciu, między innymi, o Komunikat KNF z 24 stycznia 2020. Stanowi on mapę drogową dla banków w Polsce w zakresie implementacji usług chmurowych w bankach. Unikatowa.

24 stycznia 2020

Opublikowanie przez Urząd Komisji Nadzoru Finansowego Komunikatu dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, który zbiór wytycznych, zaleceń oraz objaśnień, mających umożliwić powszechne i bezpieczne stosowanie przez podmioty nadzorowane rozwiązań chmury obliczeniowej publicznej oraz hybrydowej. Przez lata rozwiązania te, względu na otoczenie prawne, nie były stosowane albo stosowane były w bardzo niewielkim stopniu przez podmioty nadzorowane, w tymi banki.

Informacje powiązane

h

Usługa chmurowa dla sektora finansowego

h

Coraz bliżej chmur: Nowy komunikat UKNF w sprawie rozwiązań chmurowych dla sektora usług finansowych.

h

Co zmienia komunikat KNF w sprawie chmury obliczeniowej?

h

Nowy komunikat UKNF ws. rozwiązań chmurowych dla sektora usług finansowych

h

Cloud computing: czyli polskie banki w chmurach

h

Cloud computing in Polish Financial Institutions

h

Polish Cloud. Tak nazywa się standard wdrożeniowy chmury obliczeniowej, przyjęty wczoraj przez ZBP

Osoba kontaktowa

Daniel Kozłowski

Starszy prawnik, Koordynator Projektu Chmurowego
Praktyka: Bankowość i Usługi Finansowe
E-mail: d.kozłowski@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.: +48 538 646 453

więcej..

Agnieszka Serzysko

Radca prawny/Partner
Praktyka: Bankowość i Usługi Finansowe
E-mail: a.serzysko@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.:+48 608 317 176

więcej..

Maciej Mackiewicz

Adwokat/Partner, Koordynator Projektu Certyfikacji ISO
Praktyka: Technologie / Ochrona Danych / Forensic
E-mail: m.mackiewicz@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.:+48 795 182 139

więcej..

Aleksandra Piech

Radca prawny/ Starszy Prawnik, Specjalista ds. Projektu Chmurowego
Praktyka: Technologie / Ochrona Danych / Forensic
E-mail: a.piech@kochanski.pl
Tel. +48 22 326 9600
Tel. kom.: +48 608 882 193

więcej..

Kontakt

Adres

Kochański i Partnerzy
Plac Piłsudskiego 1, 00-078 Warszawa (bud. Metropolitan)
Godziny otwarcia biura:
Poniedziałek – Piątek, 9:00-20:00

Telefon

tel.+48 22 326 9600
fax +48 22 326 9601

Bądźmy w kontakcie

6 + 15 =