Chcesz otrzymywać najnowsze wiadomości
Wydarzenia
Nowe wytyczne do przetwarzania informacji w chmurze


Nowy komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej („Komunikat”) z dnia 24 stycznia 2020 r. wydany przez KNF, zastępuje w całości poprzedni komunikat KNF z 23 października 2017 r.

W zakresie uregulowanym przez Komunikat nie stosuje się wytycznych regulatorów europejskich, w tym Europejskiego Urzędu Nadzoru Bankowego, które odnoszą się do przetwarzania informacji w chmurze, co może być problematyczne przy wdrożeniach chmury w ramach międzynarodowych grup kapitałowych.

Które podmioty muszą wdrożyć wytyczne KNF?

Komunikat jest adresowany do szerokiego kręgu podmiotów nadzorowanych przez KNF w tym m.in. banków, zakładów ubezpieczeń, instytucji płatniczych, firm inwestycyjnych, towarzystw emerytalnych, towarzystw funduszy inwestycyjnych.

Komunikat ma zastosowanie w przypadku przetwarzania informacji prawnie chronionych lub tzw. outsourcingu szczególnego chmury obliczeniowej.

Do kiedy należy wdrożyć nowe wytyczne?

Komunikat powinien być stosowany od dnia jego opublikowania tj. 24 stycznia 2020 r.

Przewidziany został jednak okres przejściowy dla podmiotów nadzorowanych, które obecnie przetwarzają informacje w chmurze obliczeniowej. Powinny one dostosować swoje działanie do wymagań Komunikatu do 1 sierpnia 2020 r.
 
W zakresie wymogów ogólnych
najważniejsze zmiany w przetwarzaniu danych w chmurze w odniesieniu do komunikatu z 2017 roku:
  • Zdefiniowanie tzw. modelu referencyjnego chmury i wyrażone wprost oczekiwanie nadzoru co do jego stosowania przez podmioty nadzorowane.  
  • Wprowadzenie szeregu definicji, wyjaśniających wątpliwości interpretacyjne pojawiające się na gruncie poprzedniego komunikatu KNF, m.in. informacji prawnie chronionych, chmury prywatnej i chmury społecznościowej, usługi chmury obliczeniowej, poddostawcy, outsourcingu chmury obliczeniowej oraz outsourcingu szczególnego chmury obliczeniowej.   
  • Opracowanie definicji podoutsourcingu (łańcucha outsourcingowego). Ponadto KNF wskazuje w jakich sytuacjach tworzenie łańcucha jest dopuszczalne, a także zakres odpowiedzialności dostawców chmury obliczeniowej oraz poddostawców, który może ulegać ograniczeniu lub wyłączeniu. Jednocześnie KNF krytycznie ocenia powyższe wyłączenie oraz ograniczenia w przypadkach, gdy w chmurze przetwarzane są informacje prawnie chronione, a także przetwarzanie ma charakter outsourcingu chmury obliczeniowej.
  • Wprowadzenie definicji ujawnienia informacji, zgodnie z którą do ujawnienia informacji nie dochodzi, jeżeli informacje są przetwarzane w chmurze obliczeniowej w sposób zaszyfrowany, bez możliwości uzyskania dostępu do kluczy szyfrujących lub szyfrowanych tymi kluczami informacji przez dostawcę chmury obliczeniowej lub jego poddostawcę w łańcuchu outsourcingowym.
  • Wprowadzenie obowiązku informowania KNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej na 14 dni przed rozpoczęciem przetwarzania. W przypadku gdy przetwarzanie jest już realizowane – nie później niż do 1 sierpnia 2020 r.
  • Odejście od części wymogów, które były obecne w poprzednim komunikacie KNF w sprawie chmury, m.in. brak obowiązku zapewnienia kopii zapasowej danych uznanych za krytyczne, posiadania planów ciągłości działania przez dostawcę oraz przeprowadzenia analizy SWOT.
Źródło: PwC Polska


dodano: 2020-02-17 06:25:20