DOBRE PRAKTYKI FORDATA a wymagania KNF - jak działamy?

23 stycznia 2020 Komisja Nadzoru Finansowego wydała komunikat “dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej”. Informacja ta wywołała niemałe zamieszanie, a instytucje, między innymi sektor bankowy, ubezpieczeniowy czy usług płatniczych, których ono dotyczy, muszą upewnić się, że spełniają wszystkie wymienione w dokumencie założenia bezpieczeństwa. 26 marca dokument został zaktualizowany, a jego postanowienia weszły w życie 1 listopada. Odpowiadamy na najczęstsze pytania klientów FORDATA odnośnie do tych wymogów.

“Nadrzędnym zadaniem podmiotu nadzorowanego podczas przetwarzania informacji w chmurze obliczeniowej jest zapewnienie bezpieczeństwa przetwarzanych informacji oraz zgodności sposobu i zakresu tego przetwarzania z prawem” – czytamy w komunikacie. W krajach UE prawo to określają między innymi:

1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO)
2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej

Instytucje te mają obowiązek realizować szereg postulatów i celów związanych z odpowiednią ochroną informacji. Podlegając prawu unijnemu i polskiemu ustawodawstwu, podmioty nadzorowane, w myśl rekomendacji UKNF, muszą m.in. przetwarzać informacje w centrach przetwarzania danych zlokalizowanych na terenie państw należących do Europejskiego Obszaru Gospodarczego i dbać o ochronę informacji.

W jaki sposób FORDATA pomaga swoim Klientom odpowiedzieć na wymagania KNF? Zapytaliśmy o to naszą dyrektor IT Aleksandrę Porębską-Nowak.

A. P-N.: Pracujemy ze spółkami z wielu sektorów gospodarki, m.in. spółkami energetycznymi, spółkami z WIG20 oraz podmiotami nadzorowanymi, takimi jak banki, dlatego naturalnym było dla nas sprawdzenie wymogów KNF. Poza tym kilku klientów wróciło z pytaniami związanymi z wymogami zawartymi w komunikacie. Przeanalizowaliśmy temat od strony techniczno-prawnej, aby uzyskać potwierdzenie, że takie wymogi spełniamy.

Potwierdziliśmy, że zgodnie z definicjami komunikatu KNF:

• nasz system Virtual Data Room (VDR) oferowany jest na zasadzie “outsourcingu chmury obliczeniowej”
• oferujemy klientom dedykowaną chmurę społecznościową (ang. dedicated community cloud)
• w VDR przetwarzane są informacje prawnie chronione

Z powyższego wynika, że wymogi określone przez KNF jak najbardziej dotyczą nas i naszych Klientów, którzy podlegają nadzorowi.

Niewątpliwie naszym atutem jest to, że jesteśmy spółką polską, z polskim kapitałem, nasze serwerownie (centra przetwarzania danych – CPD) są zlokalizowane na terenie Polski, umowy zawierane z klientami podlegają prawu polskiemu i polskim Sądom, a wszyscy nasi poddostawcy to firmy zlokalizowane w Polsce. KNF wymaga, aby przetwarzanie danych podmiotów nadzorowanych odbywało się na terenie EOG, a co więcej: od operatorów usług kluczowych oraz operatorów infrastruktury krytycznej oczekuje, że ich dane będą utrzymywane w Polsce. Nam spełnienie tych kryteriów przyszło naturalnie.

Wiemy z doświadczenia, że podmioty takie jak banki i inne podmioty z branży finansowej zmuszone są audytować dostawców swoich usług, jak też ich poddostawców – FORDATA jest dostawcą usług chmury i jednocześnie właścicielem systemu, co zmniejsza liczbę podmiotów audytowanych w stosunku do sytuacji, gdybyśmy np. bazowali na gotowych rozwiązaniach innych firm lub byli ich resellerem.

Teoretycznie tak. Większość wymogów wskazuje jedynie na konieczność przetwarzania informacji (zlokalizowania serwerowni, siedziby podwykonawców) na terenie EOG. Część wymogów jest uniwersalna, dotyczy typowo kwestii bezpieczeństwa, takich jak: szyfrowanie danych, zbieranie logów, posiadanie procedur dostępu do informacji, posiadanie certyfikatów itp. W naszym odczuciu wybrane wymagania jednak wskazują na preferowanie “polskości” dostawców chmury, np. w przypadku wspomnianych już operatorów usług kluczowych lub operatorów infrastruktury krytycznej, gdzie KNF rekomenduje, aby CPD były zlokalizowane właśnie na terenie Polski. 

Jest również wymóg (względem wszystkich podmiotów nadzorowanych), aby prawem właściwym, któremu podlega umowa z dostawcą chmury, było prawo polskie, tak samo w przypadku Sądów – spory, zgodnie z umowami, powinny być rozstrzygane przez polskie sądy. Te rzeczy teoretycznie można z zagranicznym dostawcą chmury wynegocjować.

Rekomendujemy dokupienie takich usług dodatkowych, jak: dodatkowa 2-stopniowa autentykacja podczas logowania za pomocą kodów sms, czy ograniczenie puli adresów IP, z których użytkownicy mogą logować się do danego VDR. To zwiększa bezpieczeństwo i odpowiada na wymogi oczekiwania KNF.

W zakresie wewnętrznych procesów procedur działania od lat działamy zgodnie z ISO 27001:2013, więc mamy poukładane procesy procedury wewnętrzne i wiele rzeczy ważnych z perspektywy KNF, takich jak np.: zarządzanie prawami dostępu,, logami, standardy usuwania danych, a w przypadku pracy zdalnej stosowanie przez Zespół tzw. VPN`ów. Regularnie robimy szacowanie ryzyka i aktualizujemy strategię zachowania ciągłości.

Od lat pracujemy z podmiotami nadzorowanymi, więc mamy gotowe zestawy dokumentów, które są odpowiedzią na najczęściej pojawiające się pytania klientów przy podpisaniu umowy lub później, przy cyklicznych audytach. To skraca procesy obsługi formalnej o minimum 50%. Jest to korzyść dla nas, ale przede wszystkim dla klienta. Stworzyliśmy też specjalny dokument, który spółkom nadzorowanym ma pomóc w szybkim sprawdzeniu, czy ich aktualny lub potencjalny dostawca Virtual Data Room spełnia wymogi KNF. Można go też wykorzystać, aby sprawdzić dostawców także innych usług.