- Wymogi bezpieczeństwa w chmurze obliczeniowej - wywiad z Aleksandrą Porębska-Nowak
- Dlaczego komunikat KNF ma znaczenie dla FORDATA?
- Co ustaliliśmy?
- W jaki sposób FORDATA spełnia wymogi zawarte w komunikacie?
- Czyli rozumiem, że w kontekście komunikatu KNF ta polskość ma znaczenie? Jakie są inne wymogi? Czy dostawcy spoza Polski mogą w takim razie podjąć współpracę z podmiotami nadzorowanymi?
- Jakie dodatkowe usługi oferujemy Klientom w związku z wymogami KNF?
- Co jeszcze FORDATA robi dla klientów?
W skrócie:
- Komunikat KNF z 2020 roku dotyczy przetwarzania informacji w chmurze obliczeniowej publicznej lub hybrydowej przez podmioty nadzorowane, w tym banki, firmy ubezpieczeniowe czy serwisy płatnicze.
- Podmioty nadzorowane muszą zapewnić bezpieczeństwo przetwarzanych informacji oraz zgodność sposobu i zakresu tego przetwarzania z prawem.
- Wymogi KNF dotyczą m.in. lokalizacji serwerowni, siedziby podwykonawców, prawa właściwego umowy z dostawcą chmury oraz praw sądowych.
- W przypadku operatorów usług kluczowych i operatorów infrastruktury krytycznej KNF rekomenduje, aby CPD były zlokalizowane na terenie Polski.
- Dostawcy chmury spoza Polski mogą podjąć współpracę z podmiotami nadzorowanymi, ale muszą spełnić wszystkie wymogi KNF.
Warto wiedzieć:
- Fordata spełnia wszystkie wymogi KNF, ponieważ jest spółką polską, z polskim kapitałem, z serwerowniami zlokalizowanymi w Polsce.
- Fordata oferuje swoim klientom dodatkowe usługi, takie jak: dodatkowa dwustopniowa autentykacja podczas logowania, ograniczenie puli adresów IP, czy zarządzanie prawami dostępu.
- Fordata stworzyła specjalny dokument, który pomaga podmiotom nadzorowanym w szybkim sprawdzeniu, czy ich dostawca Virtual Data Room spełnia wymogi KNF.
Wymogi bezpieczeństwa w chmurze obliczeniowej - wywiad z Aleksandrą Porębska-Nowak
23 stycznia 2020 Komisja Nadzoru Finansowego wydała komunikat “dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej”. Informacja ta wywołała niemałe zamieszanie, a instytucje, między innymi sektor bankowy, ubezpieczeniowy czy usług płatniczych, których ono dotyczy, muszą upewnić się, że spełniają wszystkie wymienione w dokumencie założenia bezpieczeństwa. Odpowiadamy na najczęstsze pytania klientów FORDATA odnośnie do tych wymogów.
“Nadrzędnym zadaniem podmiotu nadzorowanego podczas przetwarzania informacji w chmurze obliczeniowej jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem” – czytamy w komunikacie. W krajach UE prawo to określają między innymi:
1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO)
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
Instytucje te mają obowiązek realizować szereg postulatów i celów związanych z odpowiednią ochroną informacji. Podlegając prawu unijnemu i polskiemu ustawodawstwu, podmioty nadzorowane, w myśl rekomendacji UKNF, muszą m.in. przetwarzać informacje w centrach przetwarzania danych zlokalizowanych na terenie państw należących do Europejskiego Obszaru Gospodarczego i dbać o ochronę informacji.
W jaki sposób FORDATA pomaga swoim Klientom odpowiedzieć na wymagania KNF? Zapytaliśmy o to naszą dyrektor IT Aleksandrę Porębską-Nowak.
Dlaczego komunikat KNF ma znaczenie dla FORDATA?
A. P-N.: Pracujemy ze spółkami z wielu sektorów gospodarki, m.in. spółkami energetycznymi, spółkami z WIG20 oraz podmiotami nadzorowanymi, takimi jak banki, dlatego naturalnym było dla nas sprawdzenie wymogów KNF. Poza tym kilku klientów wróciło z pytaniami związanymi z wymogami zawartymi w komunikacie. Przeanalizowaliśmy temat od strony techniczno-prawnej, aby uzyskać potwierdzenie, że takie wymogi spełniamy.
Co ustaliliśmy?
Potwierdziliśmy, że zgodnie z definicjami komunikatu KNF:
- nasz system Virtual Data Room (VDR) oferowany jest na zasadzie “outsourcingu chmury obliczeniowej”
- oferujemy klientom dedykowaną chmurę społecznościową (ang. dedicated community cloud)
- w VDR przetwarzane są informacje prawnie chronione
Z powyższego wynika, że wymogi określone przez KNF jak najbardziej dotyczą nas i naszych Klientów, którzy podlegają nadzorowi.
W jaki sposób FORDATA spełnia wymogi zawarte w komunikacie?
Niewątpliwie naszym atutem jest to, że jesteśmy spółką polską, z polskim kapitałem, nasze serwerownie (centra przetwarzania danych – CPD) są zlokalizowane na terenie Polski, umowy zawierane z klientami podlegają prawu polskiemu i polskim Sądom, a wszyscy nasi poddostawcy to firmy zlokalizowane w Polsce.
KNF wymaga, aby przetwarzanie danych podmiotów nadzorowanych odbywało się na terenie EOG, a co więcej: od operatorów usług kluczowych oraz operatorów infrastruktury krytycznej oczekuje, że ich dane będą utrzymywane w Polsce. Nam spełnienie tych kryteriów przyszło naturalnie.
Wiemy z doświadczenia, że podmioty takie jak banki i inne podmioty z branży finansowej zmuszone są audytować dostawców swoich usług, jak też ich poddostawców – FORDATA jest dostawcą usług chmury i jednocześnie właścicielem systemu, co zmniejsza liczbę podmiotów audytowanych w stosunku do sytuacji, gdybyśmy np. bazowali na gotowych rozwiązaniach innych firm lub byli ich resellerem.
Czyli rozumiem, że w kontekście komunikatu KNF ta polskość ma znaczenie? Jakie są inne wymogi? Czy dostawcy spoza Polski mogą w takim razie podjąć współpracę z podmiotami nadzorowanymi?
Teoretycznie tak. Większość wymogów wskazuje jedynie na konieczność przetwarzania informacji (zlokalizowania serwerowni, siedziby podwykonawców) na terenie EOG. Część wymogów jest uniwersalna, dotyczy typowo kwestii bezpieczeństwa, takich jak: szyfrowanie danych, zbieranie logów, posiadanie procedur dostępu do informacji, posiadanie certyfikatów itp.
W naszym odczuciu wybrane wymagania jednak wskazują na preferowanie “polskości” dostawców chmury, np. w przypadku wspomnianych już operatorów usług kluczowych lub operatorów infrastruktury krytycznej, gdzie KNF rekomenduje, aby CPD były zlokalizowane właśnie na terenie Polski.
Jest również wymóg (względem wszystkich podmiotów nadzorowanych), aby prawem właściwym, któremu podlega umowa z dostawcą chmury, było prawo polskie, tak samo w przypadku Sądów – spory, zgodnie z umowami, powinny być rozstrzygane przez polskie sądy. Te rzeczy teoretycznie można z zagranicznym dostawcą chmury wynegocjować.
Jakie dodatkowe usługi oferujemy Klientom w związku z wymogami KNF?
Rekomendujemy dokupienie takich usług dodatkowych, jak: dodatkowa 2-stopniowa autentykacja podczas logowania za pomocą kodów sms, czy ograniczenie puli adresów IP, z których użytkownicy mogą logować się do danego VDR. To zwiększa bezpieczeństwo i odpowiada na wymogi oczekiwania KNF.
W zakresie wewnętrznych procesów procedur działania od lat działamy zgodnie z ISO 27001:2013, więc mamy poukładane procesy procedury wewnętrzne i wiele rzeczy ważnych z perspektywy KNF, takich jak np.: zarządzanie prawami dostępu,, logami, standardy usuwania danych, a w przypadku pracy zdalnej stosowanie przez Zespół tzw. VPN`ów. Regularnie robimy szacowanie ryzyka i aktualizujemy strategię zachowania ciągłości.
Co jeszcze FORDATA robi dla klientów?
Od lat pracujemy z podmiotami nadzorowanymi, więc mamy gotowe zestawy dokumentów, które są odpowiedzią na najczęściej pojawiające się pytania klientów przy podpisaniu umowy lub później, przy cyklicznych audytach. To skraca procesy obsługi formalnej o minimum 50%. Jest to korzyść dla nas, ale przede wszystkim dla klienta. Stworzyliśmy też specjalny dokument, który spółkom nadzorowanym ma pomóc w szybkim sprawdzeniu, czy ich aktualny lub potencjalny dostawca Virtual Data Room spełnia wymogi KNF. Można go też wykorzystać, aby sprawdzić dostawców także innych usług.
Podobał Ci się artykuł?
Ile głów, tyle pomysłów. Właśnie dlatego każdy z nas dokłada swoją cegiełkę, by zamieszczone treści na naszym blogu były dla Ciebie atrakcyjne i niosły wartość. Odkryj źródło wiedzy i inspiracji dla Twojego biznesu z Fordata.
Chcesz wymienić się wiedzą, podyskutować, zadać pytanie?
Napisz do mnie : #FORDATAteam strona otworzy się w nowym oknie
Rozpocznij pracę z Virtual Data Room
Przetestuj przez 14 dni Przetestuj przez 14 dni-
01 . Seryjne przejęcia M&A w pigułce - dobre praktyki i technologia
Zarówno seryjne, jak i pojedyncze procesy buy side M&A odgrywają istotną rolę w strategiach rozwoju firm. Jednak różnią się one celem, skalą i podejściem, co determinuje ich znaczenie dla firmy.
15.07.2024
-
02 . Fałszywe porównywarki Virtual Data Room – jak je rozpoznać?
Fałszywe porównywarki oprogramowania to problem również branży Virtual Data Room. Jakie cechy mówią, że serwis rankingowy to zwyczajny fejk? Sprawdźcie!
14.03.2024
-
03 . Wywiad: Ruszył nabór do programu EPC Plus - jednostki samorządu terytorialnego mają czas do sierpnia
Nabór do projektu „Renowacja z gwarancją oszczędności EPC Plus” trwa od 29 stycznia do 30 sierpnia 2024 r. Wywiad z dr. Rafałem Cieślak, radcą prawnym specjalizującym się w projektach EPC i PPP.
13.02.2024
-
04 . Bezpieczna alternatywa dla Dropboxa do Due Diligence
„Po co mam płacić za VDR, skoro mogę użyć Dropbox”– to pytanie czasem pada z ust naszych klientów. Odpowiedź…
26.01.2024
-
05 . Transformacje i wyzwania: europejski fintech w 2023 roku
Europejski ekosystem Fintech, niegdyś charakteryzujący się szybkim wzrostem i licznymi inwestycjami, doświadczył znaczących zmian i wyzwań w 2023 roku. Gdzie obecnie znajduje się sektor? Jaki wpływ ma środowisko inwestycyjne? Jakie są widoczne trendy?
16.11.2023
-
06 . Partnerstwo Publiczno-Prywatne (PPP) w Polsce
Partnerstwo Publiczno-Prywatne (PPP) – optymalizacja wydatków budżetowych i efektywna współpraca między sektorem publicznym a prywatnym. Poznaj korzyści i kluczowe elementy wspólnych projektów PPP.
09.11.2023
-
07 . Branża energetyczna 2023: Virtual Data Room w transakcjach M&A
Sytuacja w branży energetycznej w Polsce i w Europie Środkowo-Wschodniej dynamicznie się zmienia. Inwestycje w odnawialne źródła energii – jak wyglądają?
06.06.2023
-
08 . Po co VDR w procesie Due Diligence?
Procesy fuzji i przejęć stanowią stały element świata gospodarczego. Ich celem jest osiągnięcie korzyści str…
27.05.2023
-
09 . Jakie dokumenty można załadować do systemu VDR?
Virtual Data Room to świetna alternatywa dla programów typu Dropbox i Google Drive, szczególnie gdy w grę..
13.03.2023
-
10 . Co to jest i na czym polega audyt w firmie?
Bywa nieunikniony i często wzbudza nieracjonalny strach. W rzeczywistości jest doskonałą okazją, by…
09.02.2023
-
11 . Venture Capital a Private Equity. Różnice między funduszami.
Jakie są główne różnice pomiędzy funduszami Private Equity i Venture Capital? Przekazujemy w pigułce najważniejsze cechy obu z nich.
15.06.2022
-
12 . Fundraising - jak pozyskać finansowanie z narzędziem VDR?
Pozyskiwanie finansowania to proces wymagający właściwego planowania w oparciu o aktualne warunki ek…
26.05.2022
-
13 . Kogo i do czego zobowiązuje DORA?
Rozporządzenie DORA to kolejny krok UE w stronę operacyjnej odporności na zagrożenia cyfrowe podmiotów sektora finansowego. Kogo dotyczy?
19.05.2022
-
14 . Bezpieczne udostępnianie dokumentów firmowych. Poradnik dla właścicieli firm.
Jak udostępniać dokumenty firmowe bezpiecznie? Udostępnianie plików w wirtualnym pokoju danych to sposób na lepszy workflow oraz wizerunek.
15.04.2022
-
15 . Jak usprawnić obieg dokumentów w firmie - 5 zasad
Biurka załadowane segregatorami i zabiegani pracownicy z tekturowymi folderami w rękach – to już kl…
25.11.2021
-
16 . Plan ciągłości działania - dlaczego firma powinna go mieć?
Pandemia uświadomiła wielu firmom, że chociaż nie da się przewidzieć wszystkich czarnych scenariuszy, posia…
25.06.2020
-
17 . Czy załączniki w twoim emailu są bezpieczne?
Współczesne biuro nie potrafi funkcjonować bez poczty email. Według firmy Radicati Group, statystyczny pra…
02.03.2020
-
18 . Zaczernianie tekstu w dokumentach PDF - jak robić to dobrze?
Anonimizacja anonimizacji nierówna – może się okazać, że zaczernienie tekstu w naszym dokumencie, które na pi…
27.02.2020
-
19 . 5 porad dla startupu od FORDATA – od czego zacząć?
Porady dla startupu, od startupu. Jak zacząć? Na co zwrócić uwagę? Opieramy się na własnych doświadczeniach.
19.11.2019
-
20 . VDR - wygodna alternatywa dla serwerów FTP
Serwer FTP nawet dzisiaj jest popularną metoda przesyłania plików. Z jego pomocą możemy szybko podzielić się w…
18.09.2019
-
21 . VDR jako Legal Tech - Elastyczne oprogramowanie dla prawników
Termin legal tech w ciągu ostatnich lat zyskał w Polsce bardzo dużą popularność. Dzieje się tak ze względu na sze…
12.09.2019
-
22 . Przechowywanie danych w chmurze, a bezpieczeństwo plików
Wydaje się, że sieć już spowszedniała. Ogrom dedykowanych usług, coraz szybsze transfery i wzrastająca mobil…
31.07.2019
-
23 . Etapy badania Due Diligence – sprzedaż biznesu krok po kroku
Każda dobra decyzja inwestycyjna opiera się na solidnej wiedzy na temat danego przedsiębiorstwa i pr…
25.06.2019
-
24 . Badanie Due Diligence spółki - na czym polega i jak przebiega proces?
Wyjaśniamy czym jest oraz jak przebiega badanie Due Diligence. Sprawdź jak rozwiązania VDR mogą pomóc w procesie badania spółki.
18.06.2019
-
25 . Audyt Due diligence z wykorzystaniem Virtual Data Room czyli bezpieczeństwo w Twojej firmie
Każda firma wraz ze swoim rozwojem dochodzi do etapu, kiedy kontrole w postaci audytów (np. finansowych, po…
14.01.2019
-
26 . Własność intelektualna w Life Science, a ochrona poufnych informacji
Life Science jest pojęciem szerokim i w biznesie obejmuje przedsiębiorstwa, których główna działalność…
16.11.2018
-
27 . Etapy projektu z wykorzystaniem Virtual Data Room
Ciekawi jesteście, w jaki sposób przebiega projekt VDR w firmie FORDATA? Co nasz fantastyczny Dział…
22.10.2018
-
28 . Jak sprzedać pakiety wierzytelności w Data Room?
Odkryj skuteczne strategie sprzedaży pakietów wierzytelności dzięki wykorzystaniu Data Room – dowiedz się, jak osiągnąć sukces w sprzedaży dłużnych aktywów.
18.10.2018
-
29 . Fantastyczny Dział OK - przewaga konkurencyjna FORDATA
W FORDATA jesteśmy ponadprzeciętnie elastyczni i skupieni na potrzebach naszych klientów. Możesz zlecić nam szereg zadań…
06.12.2017
-
30 . Polityka i Organizacja InfoSec, czyli jak wdrożyliśmy normę ISO 27 001 w FORDATA
Jak nasza firma skutecznie wdrożyła politykę i organizację InfoSec zgodnie z normą ISO 27001? Odkryj tajniki naszego sukcesu w zarządzaniu bezpieczeństwem informacji.
30.11.2017
-
31 . Co to jest Virtual Data Room czyli wszystko co powinieneś wiedzieć
Co to jest Virtual Data Room? Jak korzystać z systemu, który pozwala na efektywniejsze przeprowadzenie transakcji fuzji i przejęć?
25.10.2017
-
32 . ISO 27001:2013 audyt recertyfikacji bieżącej rejestracji
Celem audytu było przeprowadzenie audytu re-certyfikacji bieżącej rejestracji. W ramach audytu zweryfikowano, czy wszystkie elementy zakresu certyfikacji oraz wszystkie obszary normy są skutecznie
20.07.2017
-
33 . Przekazujesz dane osobowe do chmury?
Zobowiązanie RODO powinniśmy mieć zawsze z tyłu głowy. Jak zadbać o jego przestrzeganie i wybrać odpowiedniego dostawcę chmury?
24.02.2017
-
34 . Gwarancja bezpieczeństwa dla klientów ISO 27001:2013
FORDATA, od momentu podjęcia swojej działalności, dąży do zagwarantowania jak najwyższej ochrony danych powierzanych przez klientów.
13.01.2017
-
35 . Standard GPG, czyli o bezpiecznym szyfrowaniu
Rozwój technologii niesie ze sobą coraz większe zagrożenia związane z bezpieczeństwem informacji. Ochrona poufnych danych przed tzw. wyciekiem dotyczy już każdej firmy, która ceni bezpieczeństwo informacji.
13.07.2016
-
36 . Powstał Kodeks Dobrych Praktyk Restrukturyzacji
Kodeks Dobrych Praktyk Restrukturyzacji powstał w ramach drugiej edycji kampanii: „For better data flow – praktykuj efektywne transakcje”.
16.06.2016
-
37 . BYOD jako nowe wyzwanie dla działów bezpieczeństwa firm
Wykorzystywanie prywatnych urządzeń podczas wykonywania obowiązków zawodowych powoli staje się regułą, która nie dziwi. W jakim kierunku zmierzać będzie trend BYOD?
15.02.2016
-
38 . Popieramy Kodeks Dobrych Praktyk Transakcyjnych
Wskazówki Kodeksu dobrych praktyk transakcyjnych dotyczą̨ transakcji fuzji i przejęć́, partnerstwa publiczno-prywatnego, restrukturyzacji, debiutu giełdowego, emisji obligacji oraz pozyskiwania inwestora.
10.11.2015
-
39 . Vendor Due Diligence - wartość przygotowania się do negocjacji
Jak właściciele spółki powinni przygotować się do negocjacji, by wynieść jak najwięcej korzyści ze sprzedaży własnego podmiotu? Korzyści z przeprowadzenia Vendor Due Diligence
09.11.2015
-
40 . Seed capital jako szansa dla rozwoju innowacyjności w Polsce?
Fundusze Seed Capital inwestują przede wszystkim niewielkie kwoty w projekty będące w początkowej fazie realizacji.
21.01.2014
-
41 . Przygotowanie spółki do debiutu giełdowego
Wiele spośród dobrze prosperujących firm decyduje się pozyskać środki finansowe na dalszy rozwój na giełdzie papierów wartościowych. Gdzie szukać zainteresowanych?
07.10.2013