Urząd  Komisji Nadzoru Finansowego wydał długo oczekiwany przez branżę komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, czyli tzw. komunikat chmurowy. To ważne, bo jak wynika z raportu firmy Accenture 20 proc. banków na świecie już przeznaczyło środki na inwestycje w rozwój otwartej bankowości korzystającej z chmury obliczeniowej, a 77 proc. zamierza to zrobić jeszcze w tym roku, bo pozwala im na rozwój.

Chmura obliczeniowa (z ang. cloud computing) to rozległa sieć połączonych ze sobą serwerów znajdujących się w różnych miejscach, nawet na świecie, które tworzą olbrzymią moc obliczeniową. W sektorze bankowym mogą być wykorzystane do szybszej i lepszej obsługi klientów, analizowania ich potrzeb, wykonywania płatności, rozbudowywania aplikacji mobilnych, usług opartych na sztucznej inteligencji. Banki jednak podlegają ścisłym regulacjom i nie mogą, jak każda inna firma skorzystać z chmury. Muszą spełnić wymogi zapewniające bezpieczeństwo przetwarzania danych określone w przepisach, w tym RODO. KNF opublikowała właśnie komunikat, w którym wyjaśnia, jak je rozumie.

Eksperci oceniają go pozytywnie. Nie mają wątpliwości, że KNF uwzględnił niektóre opinie podmiotów zainteresowanych i wyszedł im naprzeciw.  W teorii daje im nawet wybór między serwerami zlokalizowanymi w Polsce i zagranicą, choć w praktyce dla banków najlepsza może się okazać polska chmura. Inne podmioty nadzorowane przez KNF jak ubezpieczyciele, towarzystwa funduszy inwestycyjnych, domy maklerskie, które nie są operatorami usług kluczowych, mają wprost zapewnioną możliwość korzystania z CPD na terenie EOG.

Czytaj również: Banki mają dziewięć miesięcy na dostosowanie się do wytycznych w sprawie outsourcingu >>

 


Ważna jest lokalizacja centrów przetwarzania danych

KNF rekomenduje, by serwery obsługujące chmurę, czyli centra przetwarzania danych (CPD) były zlokalizowanych na terenie państw należących do Europejskiego Obszaru Gospodarczego (EOG). Lokalizację powinna wskazywać umowa z dostawcą usług  chmurowych. KNF rozumie, że jej precyzyjne określenie może rodzić zagrożenie dla bezpieczeństwa, jednak jako minimum należy podać, co najmniej kraj. Tyle, że jednocześnie KNF rekomenduje,  by podmioty  uznane za operatorów usług kluczowych - wskazuje je ustawa o krajowym systemie cyberbezpieczeństwa, i z założenia są nimi banki - w pierwszej kolejności wykorzystywały CPD znajdujące się na terenie Polski, o ile oferowane warunki umowne, ekonomiczne, operacyjne są nie gorsze od CPD znajdujących się poza Polską.

Czytaj w LEX: Praktyczne konsekwencje dla banków stosowania Ustawy o krajowym systemie cyberbezpieczeństwa >>

Obecnie rozwiązania chmurowe oferuje czterech głównych dostawców – Amazon, Microsoft i Google, a także polska spółka Operator Chmury Krajowej (OChK) utworzona przez bank PKO BP i Polski Fundusz  Rozwoju. I tylko ona posiada serwery na terenie Polski. Spółka gwarantuje, że dane nie opuszczą kraju, i daje możliwość pełnego audytu ich lokalizacji. Jej pierwszym klientem został na początku 2019 roku PKO BP.

Czy to oznacza, że KNF preferuje OCHK? - Nie powiedziałbym że preferuje akurat OCHK. To OCHK wpisuje się w trend o którym nadzór mówił od lat, czyli, że najlepsze byłyby CPD zlokalizowane w Polsce. Proszę przy tym pamiętać, że instytucje nie muszą korzystać z centrów w Polsce, jeśli potrafią udowodnić że obiektywne kryteria zdecydowały o wyborze w EOG - mówi Wojciech Kapica, partner w kancelarii SMM Legal, współkierujący departamentem prawa rynków finansowych kancelarii.
Michał Nowakowski, radca prawny, we wpisie na blogu www.finregtech.pl zauważa, że na plus zasługuje fakt, że KNF dał wybór pomiędzy CDP zlokalizowanym w Polsce, a za granicą, nawet gdy trudno jest ocenić, czy w jest on w praktyce możliwy. Banki wybierając dostawcę usług chmurowych powinny więc przeanalizować kilka ofert, w tym OChK. Spółka na swoim profilu na LinkedIn napisał, że już dziś spełnia wszystkie wymogi dla dostawcy chmury obliczeniowej określone w komunikacie UKNF.

Czytaj w LEX: Michał Nowakowski ocenia wymogi prawne w świetle projektowanego rozporządzenia Ministra Finansów dotyczące 
zezwolenie na prowadzenie działalności w charakterze Krajowej Instytucji Płatniczej >>

Ponadto zdaniem spółki komunikat to ważna i oczekiwana przez rynek zmiana w podejściu polskiego regulatora do migracji danych do chmury przez podmioty nadzorowane. - Z jednej strony upraszcza ten proces, z drugiej sprawia, że dane, w tym te objęte m. in. tajemnicą bankową i ubezpieczeniową, pozostaną bezpieczne i będę przechowywane i przetwarzane w pierwszej kolejności na terytorium RP. Zgodnie z nowymi wytycznymi podmioty nadzorowane nie będą musiały w umowie z dostawcą chmury zawierać wszystkich wymaganych dotąd elementów (np. RTO, RPO, SLA), będą jednak musiały wskazać źródła tych informacji. Wszystkie zmigrowane do chmury dane powinny być szyfrowane, a niezbędne klucze kodujące powinny być w posiadaniu klienta chmury np. banku lub ubezpieczyciela, co wprost zapobiega ujawnieniu chronionych prawem informacji.

Ważne zmiany w definicjach 

Ponadto Wojciech Kapica zwraca uwagę, że KNF zdecydowała się na wiele korzystnych zmian. Jakich? - Choćby zmodyfikowano definicję chmury obliczeniowej i poszerzono katalog rodzajów  chmur - tłumaczy. Zgodnie z komunikatem chmurę obliczeniową należy rozumieć jako pulę współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane  lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. Jak zauważa Wojciech Kapica jest to definicja tożsama z  zaproponowaną  przez National Institute of Standards and Technology. Ponadto KNF wyróżnił chmurę obliczeniową:

  • publiczną - dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej; 
  • prywatną – chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot; 
  • społecznościową –dostępna do wyłącznego użytku grupy podmiotów powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy;
  • hybrydową –składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej), która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą.

Wojciech Kapica dodaje, że w komunikacie jest jeszcze więcej definicji, w tym rozróżnienie pojęć usługi  oraz dostawcy usługi chmury obliczeniowej.

 


Z kolei Michał Ćwiakowski, szef praktyki regulacji bankowych i finansowych w kancelarii Gawroński & Partners, zwraca uwagę na doprecyzowanie zakresu stosowania komunikatu w stosunku do wcześniejszego projektu. - Powinien on być stosowany w przypadku outsourcingu do chmury publicznej lub hybrydowej, gdy w ramach usługi chmurowej przetwarzane są informacje prawnie chronione - chodzi tu np. o tajemnicę bankową lub zawodową, lub też gdy brak lub przerwa w wykonywaniu powierzonych czynności lub funkcji generuje istotne ryzyko dla podmiotu nadzorowanego. - Ta druga z przesłanek pozostaje oczywiście niedookreślona i każdorazowo będzie wymagała oceny przez instytucje finansowe. Chodzi tu bowiem o takie czynniki, jak wyniki finansowe czy ciągłość wykonywania działalności nadzorowanej – tłumaczy Michał Ćwiakowski. I zauważa jeszcze, że KNF wychodząc naprzeciw podmiotom nadzorowanym KNF wprost wskazał, że komunikatu nie trzeba stosować na etapie projektowania i eksploatacji środowisk testowych lub rozwojowych, o ile nie dochodzi tam do przetwarzania informacji prawnie chronionych. Eksperci nie mają wątpliwości, że jego finalna wersja zawiera część uwag zgłaszanych podczas konsultacji projektu. 

Ważne daty – na zgłoszenie i dostosowanie

Podmioty nadzorowane przez KNF zobowiązane są do stosowania nowego komunikatu od 1 sierpnia 2020 r. To oznacza, że od tej daty komunikat z 2017 r. przestaje obowiązywać. - To, na co warto zwrócić uwagę to fakt, że wszelkie wytyczne EBA, ESMA czy EIOPA (np. wytyczne EBA w sprawie outsourcingu czy ryzyk IT i bezpieczeństwa) w aspekcie chmury obliczeniowej nie będą miały zastosowania do podmiotów nadzorowanych. Ważne będzie więc przeprowadzenie weryfikacji czy dotychczas stosowane rozwiązania nie pozostają w sprzeczności z komunikatem - pisze na blogu Michał Nowakowski. 

Czytaj w LEX: Nowe zasady outsourcingu dla instytucji finansowych w świetle wytycznych EBA. Nowe technologie a podejście regulatorów >>

Ponadto podmioty nadzorowane muszą poinformować urząd KNF o zamiarze przetwarzania informacji w chmurze, na zasadach określonych w komunikacie na 14 dni przed rozpoczęciem przetwarzania. A jeśli już korzystają z chmury takie zgłoszenie trzeba dokonać do sierpnia 2020 roku. Komunikat zawiera też wzór informacji w tej sprawie, a także wzór jego wypełnienie. Trzeba w nim podać lokalizację CPD, w przykładowej informacji wskazano, że może ich być kilka, np. Warszawa, Wrocław, Frankfurt (Niemcy), Dublin (Irlandia). Informacja ma być ona podpisana przez osoby upoważnione do reprezentowania danego podmiotu. Michał Nowakowski na swoim blogu podkreśla, że załączenie wzoru zgłoszenia ułatwi pracę podmiotom nadzorowanym. Ponadto Urząd KNF planuje przeprowadzić dla podmiotów nadzorowanych oraz dostawców usług chmury obliczeniowej warsztaty, podczas których omówi wymagania komunikatu. To bardzo dobry pomysł ocenia Łukasz Łyczko, radca prawny z PwC. - Niektóre kwestie poruszone w komunikacie wymagają bowiem poznania interpretacji urzędu, np. definicja ujawnienia informacji czy wytyczne w zakresie szyfrowania - dodaje. Za sprawą dr Jana Byrskiego, adwokata i partnera w kancelarii Traple Konarski Podrecki i Wspólnicy, wiemy, że pierwsze warsztaty będą dla banków i odbędą się 4 lutego, kolejne 11 lutego będą dla zakładów ubezpieczeń. Dr Byrski liczy, że wkrótce na stronie KNF pojawią się wszystkie terminy spotkań.