FORDATA a wymagania KNF – jak działamy?

23 stycznia 2020 Komisja Nadzoru Finansowego wydała komunikat “dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej”. Informacja ta wywołała niemałe zamieszanie, a instytucje, między innymi sektor bankowy, ubezpieczeniowy czy usług płatniczych, których ono dotyczy, muszą upewnić się, że spełniają wszystkie wymienione w dokumencie założenia bezpieczeństwa. 26 marca dokument został zaktualizowany, a jego postanowienia weszły w życie 1 listopada. Odpowiadamy na najczęstsze pytania klientów FORDATA odnośnie do tych wymogów.

“Nadrzędnym zadaniem podmiotu nadzorowanego podczas przetwarzania informacji w chmurze obliczeniowej jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem” – czytamy w komunikacie. W krajach UE prawo to określają między innymi:

1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO)
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
Instytucje te mają obowiązek realizować szereg postulatów i celów związanych z odpowiednią ochroną informacji. Podlegając prawu unijnemu i polskiemu ustawodawstwu, podmioty nadzorowane, w myśl rekomendacji UKNF, muszą m.in. przetwarzać informacje w centrach przetwarzania danych zlokalizowanych na terenie państw należących do Europejskiego Obszaru Gospodarczego i dbać o ochronę informacji.
W jaki sposób FORDATA pomaga swoim Klientom odpowiedzieć na wymagania KNF? Zapytaliśmy o to naszą dyrektor IT Aleksandrę Porębską-Nowak.
Aleksandra Porębska-Nowak, FORDATA

Dlaczego komunikat KNF ma znaczenie dla FORDATA?

A. P-N.: Pracujemy ze spółkami z wielu sektorów gospodarki, m.in. spółkami energetycznymi, spółkami z WIG20 oraz podmiotami nadzorowanymi, takimi jak banki, dlatego naturalnym było dla nas sprawdzenie wymogów KNF. Poza tym kilku klientów wróciło z pytaniami związanymi z wymogami zawartymi w komunikacie. Przeanalizowaliśmy temat od strony techniczno-prawnej, aby uzyskać potwierdzenie, że takie wymogi spełniamy.

Co ustaliliśmy?

Potwierdziliśmy, że zgodnie z definicjami komunikatu KNF:

Z powyższego wynika, że wymogi określone przez KNF jak najbardziej dotyczą nas i naszych Klientów, którzy podlegają nadzorowi.

W jaki sposób FORDATA spełnia wymogi zawarte w komunikacie?

Niewątpliwie naszym atutem jest to, że jesteśmy spółką polską, z polskim kapitałem, nasze serwerownie (centra przetwarzania danych – CPD) są zlokalizowane na terenie Polski, umowy zawierane z klientami podlegają prawu polskiemu i polskim Sądom, a wszyscy nasi poddostawcy to firmy zlokalizowane w Polsce. KNF wymaga, aby przetwarzanie danych podmiotów nadzorowanych odbywało się na terenie EOG, a co więcej: od operatorów usług kluczowych oraz operatorów infrastruktury krytycznej oczekuje, że ich dane będą utrzymywane w Polsce. Nam spełnienie tych kryteriów przyszło naturalnie.

Wiemy z doświadczenia, że podmioty takie jak banki i inne podmioty z branży finansowej zmuszone są audytować dostawców swoich usług, jak też ich poddostawców – FORDATA jest dostawcą usług chmury i jednocześnie właścicielem systemu, co zmniejsza liczbę podmiotów audytowanych w stosunku do sytuacji, gdybyśmy np. bazowali na gotowych rozwiązaniach innych firm lub byli ich resellerem.

Czyli rozumiem, że w kontekście komunikatu KNF ta polskość ma znaczenie? Jakie są inne wymogi? Czy dostawcy spoza Polski mogą w takim razie podjąć współpracę z podmiotami nadzorowanymi?

Teoretycznie tak. Większość wymogów wskazuje jedynie na konieczność przetwarzania informacji (zlokalizowania serwerowni, siedziby podwykonawców) na terenie EOG. Część wymogów jest uniwersalna, dotyczy typowo kwestii bezpieczeństwa, takich jak: szyfrowanie danych, zbieranie logów, posiadanie procedur dostępu do informacji, posiadanie certyfikatów itp. W naszym odczuciu wybrane wymagania jednak wskazują na preferowanie “polskości” dostawców chmury, np. w przypadku wspomnianych już operatorów usług kluczowych lub operatorów infrastruktury krytycznej, gdzie KNF rekomenduje, aby CPD były zlokalizowane właśnie na terenie Polski. 

Jest również wymóg (względem wszystkich podmiotów nadzorowanych), aby prawem właściwym, któremu podlega umowa z dostawcą chmury, było prawo polskie, tak samo w przypadku Sądów – spory, zgodnie z umowami, powinny być rozstrzygane przez polskie sądy. Te rzeczy teoretycznie można z zagranicznym dostawcą chmury wynegocjować.

Jakie dodatkowe usługi oferujemy Klientom w związku z wymogami KNF?

Rekomendujemy dokupienie takich usług dodatkowych, jak: dodatkowa 2-stopniowa autentykacja podczas logowania za pomocą kodów sms, czy ograniczenie puli adresów IP, z których użytkownicy mogą logować się do danego VDR. To zwiększa bezpieczeństwo i odpowiada na wymogi oczekiwania KNF.

W zakresie wewnętrznych procesów procedur działania od lat działamy zgodnie z ISO 27001:2013, więc mamy poukładane procesy procedury wewnętrzne i wiele rzeczy ważnych z perspektywy KNF, takich jak np.: zarządzanie prawami dostępu,, logami, standardy usuwania danych, a w przypadku pracy zdalnej stosowanie przez Zespół tzw. VPN`ów. Regularnie robimy szacowanie ryzyka i aktualizujemy strategię zachowania ciągłości.

Co jeszcze FORDATA robi dla klientów?

Od lat pracujemy z podmiotami nadzorowanymi, więc mamy gotowe zestawy dokumentów, które są odpowiedzią na najczęściej pojawiające się pytania klientów przy podpisaniu umowy lub później, przy cyklicznych audytach. To skraca procesy obsługi formalnej o minimum 50%. Jest to korzyść dla nas, ale przede wszystkim dla klienta. Stworzyliśmy też specjalny dokument, który spółkom nadzorowanym ma pomóc w szybkim sprawdzeniu, czy ich aktualny lub potencjalny dostawca Virtual Data Room spełnia wymogi KNF. Można go też wykorzystać, aby sprawdzić dostawców także innych usług.

Stworzyliśmy też specjalny dokument, który ma pomóc spółkom nadzorowanym w szybkim sprawdzeniu, czy ich aktualny lub potencjalny dostawca Virtual Data Room spełnia wymogi KNF. Można go też wykorzystać, aby sprawdzić dostawców także innych usług.

Dotyczy Cię komunikat KNF ws. chmury obliczeniowej?

Sprawdź, czy Twój dostawca spełnia wszystkie wymogi!

Jeśli artykuł był dla Państwa wartościowy, proszę o udostępnienie dalej, np. poprzez Facebook czy LinkedIn!
Share on facebook
Facebook
Share on linkedin
LinkedIn

Zdjęcie główne: Unsplash.com

Może Cię też zainteresować
Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Nie akceptuję / AKCEPTUJĘ Polityka prywatności