“Nadrzędnym zadaniem podmiotu nadzorowanego podczas przetwarzania informacji w chmurze obliczeniowej jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem” – czytamy w komunikacie. W krajach UE prawo to określają między innymi:
A. P-N.: Pracujemy ze spółkami z wielu sektorów gospodarki, m.in. spółkami energetycznymi, spółkami z WIG20 oraz podmiotami nadzorowanymi, takimi jak banki, dlatego naturalnym było dla nas sprawdzenie wymogów KNF. Poza tym kilku klientów wróciło z pytaniami związanymi z wymogami zawartymi w komunikacie. Przeanalizowaliśmy temat od strony techniczno-prawnej, aby uzyskać potwierdzenie, że takie wymogi spełniamy.
Potwierdziliśmy, że zgodnie z definicjami komunikatu KNF:
Z powyższego wynika, że wymogi określone przez KNF jak najbardziej dotyczą nas i naszych Klientów, którzy podlegają nadzorowi.
Niewątpliwie naszym atutem jest to, że jesteśmy spółką polską, z polskim kapitałem, nasze serwerownie (centra przetwarzania danych – CPD) są zlokalizowane na terenie Polski, umowy zawierane z klientami podlegają prawu polskiemu i polskim Sądom, a wszyscy nasi poddostawcy to firmy zlokalizowane w Polsce. KNF wymaga, aby przetwarzanie danych podmiotów nadzorowanych odbywało się na terenie EOG, a co więcej: od operatorów usług kluczowych oraz operatorów infrastruktury krytycznej oczekuje, że ich dane będą utrzymywane w Polsce. Nam spełnienie tych kryteriów przyszło naturalnie.
Wiemy z doświadczenia, że podmioty takie jak banki i inne podmioty z branży finansowej zmuszone są audytować dostawców swoich usług, jak też ich poddostawców – FORDATA jest dostawcą usług chmury i jednocześnie właścicielem systemu, co zmniejsza liczbę podmiotów audytowanych w stosunku do sytuacji, gdybyśmy np. bazowali na gotowych rozwiązaniach innych firm lub byli ich resellerem.
Teoretycznie tak. Większość wymogów wskazuje jedynie na konieczność przetwarzania informacji (zlokalizowania serwerowni, siedziby podwykonawców) na terenie EOG. Część wymogów jest uniwersalna, dotyczy typowo kwestii bezpieczeństwa, takich jak: szyfrowanie danych, zbieranie logów, posiadanie procedur dostępu do informacji, posiadanie certyfikatów itp. W naszym odczuciu wybrane wymagania jednak wskazują na preferowanie “polskości” dostawców chmury, np. w przypadku wspomnianych już operatorów usług kluczowych lub operatorów infrastruktury krytycznej, gdzie KNF rekomenduje, aby CPD były zlokalizowane właśnie na terenie Polski.
Jest również wymóg (względem wszystkich podmiotów nadzorowanych), aby prawem właściwym, któremu podlega umowa z dostawcą chmury, było prawo polskie, tak samo w przypadku Sądów – spory, zgodnie z umowami, powinny być rozstrzygane przez polskie sądy. Te rzeczy teoretycznie można z zagranicznym dostawcą chmury wynegocjować.
Rekomendujemy dokupienie takich usług dodatkowych, jak: dodatkowa 2-stopniowa autentykacja podczas logowania za pomocą kodów sms, czy ograniczenie puli adresów IP, z których użytkownicy mogą logować się do danego VDR. To zwiększa bezpieczeństwo i odpowiada na wymogi oczekiwania KNF.
W zakresie wewnętrznych procesów procedur działania od lat działamy zgodnie z ISO 27001:2013, więc mamy poukładane procesy procedury wewnętrzne i wiele rzeczy ważnych z perspektywy KNF, takich jak np.: zarządzanie prawami dostępu,, logami, standardy usuwania danych, a w przypadku pracy zdalnej stosowanie przez Zespół tzw. VPN`ów. Regularnie robimy szacowanie ryzyka i aktualizujemy strategię zachowania ciągłości.
Od lat pracujemy z podmiotami nadzorowanymi, więc mamy gotowe zestawy dokumentów, które są odpowiedzią na najczęściej pojawiające się pytania klientów przy podpisaniu umowy lub później, przy cyklicznych audytach. To skraca procesy obsługi formalnej o minimum 50%. Jest to korzyść dla nas, ale przede wszystkim dla klienta. Stworzyliśmy też specjalny dokument, który spółkom nadzorowanym ma pomóc w szybkim sprawdzeniu, czy ich aktualny lub potencjalny dostawca Virtual Data Room spełnia wymogi KNF. Można go też wykorzystać, aby sprawdzić dostawców także innych usług.
Dotyczy Cię komunikat KNF ws. chmury obliczeniowej?
Sprawdź, czy Twój dostawca spełnia wszystkie wymogi!
Zdjęcie główne: Unsplash.com