WDROŻENIE SYSTEMU EON W Banku Spółdzielczym w Brodnicy

O FIRMIE

Bank Spółdzielczy w Brodnicy powstał w 1862 roku i jest obecnie jednym z najstarszych funkcjonujących banków w Polsce. W 2016 roku jako pierwszy wystąpił z instytucji zrzeszającej z powodzeniem prowadząc samodzielną działalność. W ciągu ostatnich lat BS Brodnica stał się nowoczesną instytucją finansową, dzięki rozwojowi zarówno oferty dla Klientów jak i korzystania z najnowocześniejszych rozwiązań informatycznych. Łącząc nowoczesność z tradycją spełniają oczekiwania najbardziej wymagających klientów.   

Problem

Sprawozdawczość obligatoryjna ulega ciągłej transformacji. Od kilku lat jej zakres dynamicznie się zwiększa i obejmuje swoim zasięgiem kolejne obszary działalności bankowej. Dziś ilość sprawozdań sięga już kilkudziesięciu w skali miesiąca. Każde kolejne sprawozdanie czy rozbudowa już istniejących wymaga od Banku nowych zasobów na serwerach jak też często inwestycji w stacje komputerowe poprawiające wydajność i szybkość działania systemów do przygotowania wymaganych zestawień. 

Kamil Pabich – dyrektor Departamentu Ryzyka w BS Brodnica 

W wielu obszarach obecnie obserwujemy dynamiczny rozwój technologii. Instytucje finansowe zmuszone są jednocześnie do szukania nowoczesnych i bezpiecznych rozwiązań oraz oszczędności.  

W ostatnich latach wzrastają również obowiązki sprawozdawcze, zarówno pod względem liczby jak i objętości sprawozdań np. Baza Statystyki Płatniczej BPS2. Wymusza to potrzebę skalowania maszyn do ich przetwarzania, zapewnienia stabilności i ciągłości działania systemu sprawozdawczego.  

Kluczowym elementem wdrożenia rozwiązań chmurowych w przypadku bankowości jest spełnienie komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument ten definiuje model referencyjny stosowania usług chmury obliczeniowej, na który składają się:  

  • wytyczne stosowania
  • wytyczne do klasyfikacji i oceny informacji 
  • wytyczne do szacowania ryzyka
  • minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej
  • zasady informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej. 

Przed przeniesieniem usług technologii informacyjnej do chmury, instytucje finansowe muszą zadbać o minimalizację ryzyka oraz zapewnienie bezpieczeństwa danych, co wymaga dokładnego przeanalizowania ryzyk związanych z tym procesem oraz zastosowania odpowiednich strategii. 

Analizując możliwości i zasadność przeniesienia procesów sprawozdawczych do rozwiązań chmurowych jako podstawowe aspekty braliśmy pod uwagę utrzymanie wysokiego poziomu bezpieczeństwa oraz podniesienie poziomu efektywności tego procesu. 

Grzegorz Głowacki – członek Zarządu ds. informatyki i innowacji BS Brodnica 

Migrator oracle2derby nie był przygotowany na dodatkowe tabele, które wykraczają poza zakres schematu bazodanowego w systemie aSISt. 

Czas wdrożenia systemu eON w banku pokrywał się z okresem sprawozdawczym, dlatego istotne było, aby cały proces nie zakłócił przygotowania i wysyłki raportów.  

ROZWIĄZANIE

eON to chmurowe rozwiązanie do sprawozdawczości obligatoryjnej. Aplikacja ta w modelu SaaS umożliwia pracę poprzez przeglądarkę, bez konieczności instalacji na infrastrukturze Klienta. 

Nowoczesne technologie wykorzystane w aplikacji w pełni zapewniają wysoką wydajność systemu. Dzięki czemu przygotowanie sprawozdania jest bardzo efektywne. Natomiast dzięki walidatorowi XBRL posiadającemu funkcję walidacji w czasie rzeczywistym, klient zyskuje pewność, że wygenerowane raporty są zgodne z wymogami nadzorcy.  

Dzięki dodatkowemu pakietowi Compliance, Klient podczas przygotowywania dokumentacji dla UKNF mógł korzystać ze wsparcia ICO i dokumentacji przygotowanej przez FINGO. Pakiet gwarantował dedykowane wsparcie do momentu złożenia dokumentów w KNF.  

Stworzona została przestrzeń do komunikacji, dzięki czemu każda ze stron miała możliwość szybkiej reakcji na zadane pytania.  

REZULTAT

Dostarczone przez FINGO rozwiązanie przyniosło BS w Brodnicy wiele korzyści: 

  • zwiększenie efektywności procesu sprawozdawczego
  • minimalizacja ryzyka i zapewnienie bezpieczeństwa danych: przeniesienie procesów sprawozdawczych do chmury obliczeniowej zostało dokładnie przeanalizowane pod kątem ryzyka
  • oszczędność zasobów: rozwiązanie chmurowe pozwoliło uniknąć konieczności inwestycji w serwery i stacje komputerowe
  • wsparcie podczas procesu przygotowywania dokumentacji dla UKNF
  • efektywna komunikacja: dodatkowa przestrzeń do komunikacji między bankiem a dostawcą umożliwia szybką reakcję na pytania i wątpliwości.

System eON działa w chmurze obliczeniowej, co zdecydowanie poprawia sprawność działania i pozwala zaoszczędzić czas na przygotowanie sprawozdań. Swoim zakresem rozwiązanie to obejmuje praktycznie 100% sprawozdawczości kierowanej do NBP i BFG. 

Kamil Pabich – dyrektor Departamentu Ryzyka w BS Brodnica 

Katarzyna Obiała

Poruszam się w świecie marketingu już od ponad 15 lat. Zgodnie z ideą marketingu 360º działam w wielu jego obszarach —  pomagam zwiększać świadomość marki, budować lojalność Klientów, a przede wszystkim generować sprzedaż. Moje motto: “Szaleństwem jest robić wciąż to samo      i oczekiwać różnych rezultatów” (A. Einstein)   

Read More

eON + Compliance FINGO = bezpieczeństwo danych w chmurze

W tym roku rozpoczęliśmy wdrażanie w instytucjach finansowych w Polsce naszego chmurowego rozwiązania w modelu SaaS – eON. Pierwsze instytucje z sukcesem rozpoczęły już raportowanie.  Z rozmów z Klientami wynika, że to ocena ryzyka oraz procedury związane ze zgodnością i bezpieczeństwem budzą w nich największe obawy. Dlatego zapytaliśmy naszą Information Compliance Officer Kingę Brzozowską jak wygląda proces onbordingu od strony Compliance, w jakim zakresie Klienci mogą liczyć na wsparcie FINGO, a przede wszystkim, czy mają się czego obawiać. 

Kinga, wdrożenie eON w Bankach wiąże się z analizą ryzyka, podczas której FINGO jest oceniane jako dostawca, możesz nam powiedzieć z czym to jest związane? 

Standardy prawne i techniczne, które muszą spełniać dostawcy usług w obszarze sprawozdawczości bankowej są w Polsce niezwykle wysokie. Organy Nadzorcze ustanawiają w zakresie zgodności ramy, w których możemy się poruszać, ma to gwarantować najwyższy poziom bezpieczeństwa danych, a także stały nadzór nad skutecznością wdrożonych zabezpieczeń.  

Dlaczego to jest tak ważne? 

Kwantyfikacja ryzyka oraz ocena dostawców kluczowe w procesie zarządzania ryzykiem i oceny jego wpływu na instytucję. Zbadanie poziomu ryzyk pozwala wdrożyć działania, które zmniejszą ich negatywny wpływ na funkcjonowanie podmiotu.  

Wydaje się to dość skomplikowane, możesz opisać, jak wyglądają te procesy i czemu służą? 

Chodzi o określenie podatności i luk w systemie oraz określenia poziomów każdego ryzyka, a to nigdy nie jest łatwe.  

Sam proces oceny ryzyka wymaga dogłębnej analizy narzędzi oraz dokumentacji dostarczonych przez dostawcę. Dla dostawcy analiza i ocena ryzyka wiążą się z koniecznością odpowiedzi na wiele – niekiedy trudnych i złożonych – pytań. Dlatego to bardzo istotne, aby partner Banku był wiarygodny. Kluczowe jest, aby dobrze zrozumieć proces analizy ryzyka, jego cele i narzędzia.  

Zakładając, że podczas kontroli zostały wykryte ryzyka, co dalej?  

Z ryzykiem, które zdefiniujemy, możemy postąpić na kilka sposobów: gdy jest niskie lub nie da się go uniknąć, musimy je zaakceptować; gdy to tylko możliwe ryzyko należy zredukować lub zmitygować; niekiedy możemy także uniknąć ryzykaocena i wybór sposobu postępowania z ryzykiem zawsze należy do odpowiedzialnego za analizę. 

Za Tobą już kilka takich analiz, co za tym idzie, zebrałaś już spore doświadczenie. Czy i w tym obszarze także Klienci mogą liczyć na pomoc? 

W mojej opinii, niezwykle istotne jest, aby być gotowym merytorycznie wesprzeć Klienta w tym procesie, pomagając mu w razie wątpliwości. Ważne jest również, aby móc zaoferować Bankom narzędzia ułatwiające analizę ryzyka, które spełniają wymagania Nadzorców, takich jak, np. UKNF

Współpracując z FINGO Banki mogą liczyć na profesjonalne wsparcie, gdyż jako wieloletni dostawca produktów i usług z zakresu sprawozdawczości regulacyjnej, mamy obszerną wiedzę, które z procesów są kluczowe. Nasze doświadczenie z pewnością ułatwia ten skomplikowany proces. 

To znaczy, że każdy Bank zobowiązany jest zarządzać ryzykiem?  

Oczywiście! Bez polityki zarządzania ryzykiem nie da się bezpiecznie poruszać po obszarach regulowanych, żaden Bank nie mógłby, ale pewnie nawet by nie chciał, funkcjonować bez systemu gwarantującego ocenę i minimalizację ryzyk 

Powiedziałaś wcześniej, że ocena dostawcy wiąże się z odpowiedzią na wiele trudnych pytań. Chciałabym przybliżyć tę część naszym Klientom, mogłabyś powiedzieć jakie są kluczowe czynniki brane pod uwagę podczas oceny dostawców? 

Najważniejszymi czynnikami, które w mojej opinii, wpływają na ocenę dostawców są standardy zabezpieczeń, które oni gwarantują – mam tu na myśli zarówno zabezpieczenia systemowe i proceduralne, jak i te fizyczne, np. bezpieczeństwo dokumentacji czy serwerowni. Klienci zawsze pytają nas także o sposoby szyfrowania danych, gromadzenie logów i wdrożenie zasady privacy by design. Oczywiście musimy potwierdzić także wdrożenie odpowiednich procesów oraz posiadanie dokumentacji compliance, dlatego chętnie odpowiadam na pytania dotyczące wdrożonych polityk i procedur w zakresie bezpieczeństwa informacji, ochrony danych osobowych, wdrożenia i ewaluacji planów ciągłości działania, zarządzania rozwiązaniami chmurowymi, a nawet o standardy tworzenia oprogramowania.  

Wprowadzenie chmury obliczeniowej jest obecnie regulowane wieloma ustawami oraz komunikatami. Na które należy zwrócić szczególną uwagę?

Oj, to niezwykle trudne wymienić je wszystkie, choćby z tego względu, że prawodawstwo europejskie to system naczyń połączonych. 

Co masz na myśli?

Chodzi mi o to, że zapisy w jednej ustawie czy rozporządzeniu generują szereg innych regulacji, a te odnoszą się do kolejnych i są często doprecyzowane w najróżniejszych dokumentach pochodnych.  

Jednak z pewnością warto wspomnieć kilka najważniejszych filarów naszego bezpieczeństwa prawnego, w pierwszej kolejności oczywiście nie zapominajmy, że nasza działalność podlega pod Ustawę Prawo BankoweRODO. Wśród istotnych wytycznych znajdą się z pewnością także komunikaty i rekomendacje UKNF, jak Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej oraz Rekomendacja D. Powstaje także szereg nowych inicjatyw regulacyjnych, jak, np. Rozporządzenie dot. odporności cyfrowej (DORA), czy przyjęta, dosłownie kilka dni temu, Transatlantycka umowa o adekwatności danych (DPF). Chcąc oferować najwyższy standard usług nie można pomijać również norm ISO. Ważne jest, aby śledzić zmiany prawne na bieżąco i dostosowywać do nich działania FINGO.  

Zatem możemy zapewnić naszych Klientów, że oferowany przez nas system do sprawozdawczości obligatoryjnej eON spełnia wymagania Nadzorców 

Jak wspominałam na wstępie, poruszamy się w obszarze ściśle regulowanym, dla FINGO oznacza to konieczność spełniania wszystkich wymagań prawnych, które Nadzorcy nakładają na dostawców. 

Wspomnieliśmy już o wielu dokumentach, regulacjach, może spróbujmy zebrać to w pomocną listę kontrolną. Jak bank powinien się przygotować na przejście do chmury, jakie dokumenty są wymagane i jakie polityki powinny być wdrożone? 

W Polsce proces onbordingu do chmury obliczeniowej nadzoruje KNF, ma prawo odrzucić wniosek Banku o wejście w chmurę, jeśli tylko uzna, że nie wszystkie wymagania są spełnione.  

Warunkiem koniecznym jest posiadanie przez Bank dwunastu dokumentów, są to: 

  1. Formularz klasyfikacji i oceny informacji pod kątem dopuszczalności przetwarzania w chmurze. 
  2. Formularz szacowania ryzyka uwzględniający zagrożenia opisane w komunikacie chmurowym. 
  3. Dokument z opisem wymaganych kompetencji w zakresie korzystania z usług chmury obliczeniowej. 
  4. Udokumentowana weryfikacja spełnienia wymagań dla umowy z dostawcą chmury obliczeniowej. 
  5. Udokumentowana weryfikacja spełnienia przez dostawcę usług wymagań komunikatu chmurowego KNF. 
  6. Plan przetwarzania danych w chmurze obliczeniowej. 
  7. Dokument opisujący sposób zarządzania kluczami szyfrującymi. 
  8. Dokument opisujący zasady zbierania logów związanych z planem przetwarzania informacji w chmurze. 
  9. Scenariusze testowe na wdrożenie usług chmurowych. 
  10. Exit plan.
  11. Plan awaryjny (w kontekście ciągłości działania). 
  12. Formularz zgłoszenia do KNF. 

Jakie dokładnie wsparcie oferujemy naszym Klientom, którzy są zdecydowani przejść z nami procesy Compliance? 

FINGO we współpracy z Operatorem Chmury Krajowej sp. z o. o.  przygotowało szablony wszystkich tych dokumentów. Oferujemy je naszym Klientom w ramach Pakietów Compliance FINGO, które wraz ze wsparciem merytorycznym w ich dostosowaniu do potrzeb Banku, zapewniają pełną zgodność z wymaganiami KNF. Potwierdza to fakt, że Komisja Nadzoru Finansowego nie wyraziła dotychczas żadnego sprzeciwu wobec przejścia do chmury przez instytucje płatnicze, które onbordowały się w oparciu o dokumentację przekazaną im przez FINGO.  

Oferujemy naprawdę szeroki wachlarz wsparcia, a czy Klienci mają jakieś obawy przed wdrożeniem systemu eON?  

Jak każda radykalna zmiana, przejście do chmury budzi obawy. Nic dziwnego, gdyż eON to zwrot w sprawozdawczości bankowej o 180°. Przygotowując się do przeniesienia naszych usług do chmury obliczeniowej musieliśmy bardzo restrykcyjnie podejść do kwestii związanej z wyborem dostawcy usługi chmurowej, zaostrzyć wewnętrzne procedury, a także wzmocnić – i tak już bardzo wysokie – standardy bezpieczeństwa danych.  

Dlaczego o tym wspominam? Bo największe obawy budzi właśnie bezpieczeństwo danych i o nie jesteśmy zawsze pytani. Dlatego FINGO zdecydowało się nawiązać współpracę z Google, gdyż w naszym przekonaniu ten dostawca gwarantuje najwyższe standardy zabezpieczenia.  

Powiedziałaś o tym, co czeka Banki w związku z chęcią wdrożenia systemu chmurowego, a jakie Twoim zdaniem były kluczowe wyzwania, przed którymi stanęło FINGO? 

Największym wyzwaniem podczas realizacji projektu było zapewnienie, że eON będzie bezpieczny i spełni wszystkie wymogi prawne. Dlatego w skład zespołu projektowego wchodzili nie tylko najlepsi programiści i architekci IT, prawnicy oraz eksperci compliance, ale także specjaliści i konsultanci zewnętrzni, którzy wsparli zespół FINGO swoim wieloletnim doświadczeniem. 

Załóżmy, że Bank przygotował całą dokumentację, ma wdrożone wszystkie polityki, dokonał niezębnych ocen ryzyka i dostawcy, czy to wystarczy do zgłoszenia do KNFzakończenia wdrożenia? 

Tak. Zgłoszenie do KNF to ostatni element w procesie “przejścia na chmurę”.  Jeśli w przeciągu dwóch tygodni Organ Nadzorczy (KNF) nie wyrazi sprzeciwu, Bank może śmiało przystąpić do raportowania. 

Katarzyna Obiała

Poruszam się w świecie marketingu już od ponad 15 lat. Zgodnie z ideą marketingu 360º działam w wielu jego obszarach —  pomagam zwiększać świadomość marki, budować lojalność Klientów, a przede wszystkim generować sprzedaż. Moje motto: “Szaleństwem jest robić wciąż to samo      i oczekiwać różnych rezultatów” (A. Einstein)   

ZAPRASZAMY DO KONTAKTU

    | Regulamin świadczenia usług drogą elektroniczną |
    | Polityka Prywatności |

    Read More