Co hamuje rozwój chmury w bankowości?
Przez lata sektor finansowy był w zasadzie nieosiągalny dla dostawców usług chmurowych. Po powołaniu Operatora Chmury Krajowej na szczęście zaczęto podejmować kolejne kroki, które mają zmienić ten stan rzeczy. Tyle, że są one zbyt małe. Prawo bowiem wciąż nie jest dopasowane się wymogów świata finansów w zakresie swobodniejszego dostępu do tej bezpiecznej i popularnej na świecie technologii – pisze Daniel Kozłowski, Adwokat, Counsel, Szef Projektów Cloud Computing w Kochański & Partners.
Minął już termin dla podmiotów rynku finansowego na złożenie do Urzędu Komisji Nadzoru Finansowego informacji o przetwarzaniu określonej kategorii informacji lub procesów w chmurze obliczeniowej wykorzystującej infrastrukturę publiczną, czyli taką, która jest nie tylko dostarczana przez dostawcę usług chmurowych, ale też jest przez niego posiadana lub zarządzana. Co to oznacza w praktyce? To, że podmioty nadzorowane, które korzystały z rozwiązań zbudowanych na cloud computingu z elementem publicznym, przeważnie dostarczanych przez światowych graczy na rynku chmury, musiały zapewnić regulacyjną, finansową, kompetencyjną i technologiczną zgodność z tzw. Komunikatem Chmurowym UKNF wydanym w styczniu bieżącego roku.
Zmiany w otoczeniu chmurowym
Przez lata sektor finansowy, a zwłaszcza bankowy, był w zasadzie nieosiągalny dla dostawców usług chmurowych. Za taki stan rzeczy odpowiadało przede wszystkim otoczenie regulacyjne, na czele z poprzednim, wydanym przez KNF w 2017 roku, Komunikatem chmurowym. Jednak coraz większe potrzeby szybko cyfrującego się świata oraz rosnące koszty i trudności w utrzymaniu własnej infrastruktury informatycznej dla firm z branży finansowej sprawiły, że nadzór finansowy oraz Skarb Państwa musiały podjąć działania zmierzające w kierunku zmiany takiego stanu rzeczy.
Pierwszym krokiem było powołanie do życia (przez PKO BP oraz PFR) Operatora Chmury Krajowej – będącego z jednej strony dostawcą usług chmurowych a z drugiej strony brokerem usług innych dostawców cloud computingu. Kolejnym krokiem było wydanie wspominanego Komunikatu chmurowego w całości zastępującego ten z 2017 roku. Te dwa kamienie milowe zbiegły się z kolejnymi wydarzeniami takimi jak ogłoszenie inwestycji chmurowych Google i Microsoft w Polsce oraz wydanie przez Związek Banków Polskich standardu PolishCloud (standardu wdrożenia publicznej usługi chmurowej w banku). W efekcie wdrożenia chmury publicznej w instytucjach finansowych wyraźnie i znacząco przyśpieszyły.
Z własnego doświadczenia możemy powiedzieć, że na obecnym etapie wdrożenia dotyczą przede wszystkim usług wspomagających działanie instytucji, a nie będących częścią ich kluczowych procesów. Z czasem jednak i te drugie będą musiały w końcu oprzeć się o rozwiązania chmur wirtualnych zapewniających ogromne – i w zasadzie nieograniczone – moce obliczeniowe.
Co zrobić, żeby było lepiej
Wiele problemów prawnych pozostaje jednak wciąż nierozwiązanych. Komunikat chmurowy ze stycznia 2020 roku jest zdecydowanie lepszy od tego z 2017 roku, bo jasno formułuje wymagania regulatora co do nadzorowanych podmiotów i jasno precyzuje swój zakres podmiotowy i przedmiotowy (outsourcing procesów krytycznych oraz tajemnice sektorowe prawnie chronione). Jego wprowadzeniu nie towarzyszyły jednak równoczesne zmiany w ustawach sektorowych, a to właśnie w nich kryje się największe zagrożenie. Dla przykładu: Prawo bankowe w art. 6a-6d bardzo restrykcyjnie podchodzi do kwestii łańcuchów outsourcingowych czy odpowiedzialności na linii bank – dostawca. Nieco łagodniej sformułowane są inne ustawy branżowe, jednak i tam daleko do doskonałości. Jednocześnie od wielu lat branża sygnalizuje konieczność zmian, proponując nawet gotowe rozwiązania oparte o standardy z sukcesem przyjęte w innych krajach należących do UE czy EOG. Jednak mimo tych zabiegów ustawodawca pozostaje wciąż niewzruszony.
Czy w związku z przemianami na rynku chmury, które rękami rządu i Skarbu Państwa niejako sam spowodował, ustawodawca dojrzeje w końcu do koniecznej liberalizacji ustaw sektorowych? Trudno to dziś przewidzieć. Nie da się jednak nie zauważyć kreatywności i determinacji sektora finansowego, który podejmuje działania takie jak choćby ogromne – neutralne technologicznie – przedsięwzięcie szkoleniowe pod auspicjami Związku Banków Polskich o nazwie PolishCloud Academy. Branża bankowa nie da zapomnieć o swoich potrzebach w zakresie „uchmurowienia”. Pozostaje mieć nadzieję, że prawo dopasuje się do wymogów świata finansów w Polsce w zakresie swobodniejszego dostępu do tej przecież bezpiecznej i popularnej na świecie technologii.
Prawo.pl