Bezpieczne dane to szczęśliwe dane – krótka podróż po meandrach compliance

Kiedy poruszamy temat naszej certyfikacji ISO lub analizujemy dokumentację Compliance, wtedy tak naprawdę zdajemy sobie sprawę jaką drogę przeszliśmy. Weszliśmy w rozwiązania chmurowe, przyjęliśmy kilkadziesiąt polityk i procedur, dostosowaliśmy swoją codzienną pracę do wymagań, które pozwoliły nam wznieść się na kolejny poziom działalności na rynku regulowanym.

Chcielibyśmy opowiedzieć o naszej podróży, podzielić się zdobytą wiedzą i doświadczeniem, które zdobyliśmy przez ostatnie kilkanaście miesięcy. Mam nadzieję, że pomożemy Państwu zrozumieć znaczenie bezpiecznych danych, wartość norm i regulacji prawnych oraz poznać filary zgodności FINGO. Pokażemy Wam krótką, acz wyboistą drogę, którą sami przeszliśmy.

Co najważniejsze, chcemy pokazać, dlaczego warto ufać tylko sprawdzonym Partnerom, którzy dbałość o bezpieczeństwo danych stawiają zawsze na pierwszym miejscu.  

To była długa i wyczerpująca podróż, ale docierając do mety czujemy niemałą satysfakcję. Wszyscy – Pracownicy, Współpracownicy, Konsultanci i Eksperci – każdy z nas bez wyjątku, jest autorem sukcesu, który osiągnęliśmy jako FINGO.

Przygotowanie do podróży

ISO 27001 jest międzynarodowym standardem, który opiera się na idei ciągłego doskonalenia, obejmującego różnorodne procesy, takie jak analiza ryzyka, audyty, mierniki oraz ustanawianie polityk i procedur, które pomogą nam wszystkim aktywnie zadbać o bezpieczeństwo informacji.  

Postanowiliśmy wprowadzić standard ISO 27001 jako odpowiedź na stale rosnące wymagania w zakresie bezpieczeństwa cybernetycznego, potrzebę rozwoju i zwiększania konkurencyjności oraz jako odpowiedź na ciągły postęp technologiczny na regulowanym rynku finansowym. Przyjęcie tego wysokiego standardu pozwoli nam sprostać temu wyzwaniu. Dziś wiemy, że to była słuszna decyzja.

Jak wyglądała dalej nasza podróż ku zgodności?

Przystanek pierwszy: bezpieczeństwo informacji

Na samym początku drogi musieliśmy zadbać o uświadomienie sobie jakie wyzwania przed nami stoją. Dlatego wśród osób odpowiedzialnych za projekt Security & Compliance FINGO długo analizowaliśmy dokumentację, a także przygotowywaliśmy Zespoły FINGO do nowych wyzwań. Uznaliśmy, że należy przede wszystkim postawić na otwartą komunikację, a także zadbać o włączenie Zespołów w proces tworzenia dokumentacji. Na końcu musieliśmy rzetelnie wyjaśniać i informować o konieczności wprowadzenia pewnych ograniczeń.

Przystąpiliśmy więc do stworzenia mapy drogowej, rozpoczynając od rewizji dotychczasowych działań oraz oceny i inwentaryzacji posiadanej dokumentacji. Mimo, że mieliśmy niemałe doświadczenie w tym zakresie, było to trudne i żmudne zadanie. Jednak w naszej opinii, niezależnie od profilu firmy, bezpieczeństwo informacji powinno być zawsze na pierwszym miejscu.  

W przypadku naszej Organizacji kwestia zabezpieczenia informacji stanowiła i zawsze będzie stanowić, absolutny priorytet. Czym różni się nasze podejście do zabezpieczeń od praktyk, z którymi możemy się spotkać poza sektorem regulowanym? Przede wszystkim jako FINGO jesteśmy zaangażowani w procesy, w których przetwarzamy znaczące zbiory danych, które są nam powierzane przez naszych Klientów. Są wśród nich dane osobowe i finansowe, a więc takie, które wymagają szczególnej ochrony. Bez odpowiednich środków bezpieczeństwa, informacje te mogą być narażone na szereg zagrożeń. Zaufanie, którym nas darzą instytucje finansowe jest dla nas niesłabnącą motywacją do doskonalenia.

Każdy, kto powierza nam swoje dane powinien czuć, że znajdują się one we właściwych rękach. Dlatego, wymieńmy sobie najważniejsze powody, dla których bezpieczeństwo informacji jest dla nas tak ważne:

1. Zaufanie naszych Klientów

Klienci oczekują od nas najwyższej jakości zabezpieczeń danych, które nam powierzają. Zwiększenie zaufania klientów poprzez zapewnienie, że ich dane są bezpieczne i odpowiednio chronione przyczynia się do zwiększenia sprzedaży i poprawy wyników finansowych firmy.

2. Zgodność z regulacjami

Dostarczamy produkty i usługi na ściśle regulowanym rynku finansowym. Dlatego śledzimy zmiany w przepisach i dostosowujemy swoje działania do aktualnych wymagań. Dzięki temu gwarantujemy zawsze pełną zgodność prawną.

3. Ochrona danych

Na polecenie naszych Klientów przetwarzamy duże ilości danych bankowych, w tym danych osobowych oraz informacji finansowych, które oni sami posiadają w swoich bazach danych. Z uwagi na swój charakter, powierzone nam dane zawsze podlegają szczególnej ochronie. Stosowane metody zabezpieczeń oraz używane narzędzia poddawane są regularnym testom i kontrolom wewnętrznym i zewnętrznym.

4. Ochrona własności intelektualnej

Ze względu na specyfikę, a także innowacyjność tworzonych przez nas rozwiązań i produktów cyfrowych, bez odpowiednich środków bezpieczeństwa byłyby one narażone na naruszenie naszych praw autorskich, w tym także zawłaszczenie nowatorskich rozwiązań, które wdrażamy w swoich produktach. Dlatego staramy się podchodzić ze szczególną dbałością do zabezpieczania i ochrony naszych aplikacji.

5. Zapewnienie ciągłości działania firmy

Możemy zapewnić naszych Klientów, że jesteśmy przygotowani, aby w sytuacji kryzysowej zapewnić ciągłość działania usług. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji poprzez minimalizowanie ryzyka przerw w dostępie do informacji i wdrożenie planów awaryjnych, zapobiega zakłóceniom w działaniu naszych usług.

Przystanek drugi: RODO, czylicompliance danych osobowych

Kolejny przystanek to słynne i często nielubiane RODO. To fakt, że ustawa o ochronie danych osobowych jest dość skomplikowana i rygorystyczna, ale nie możemy zapomnieć, że w obecnych czasach dane są towarem i ich wartość rynkowa stale rośnie. Do tego nieograniczone przetwarzanie danych może doprowadzić także do dramatów osobistych – kradzieży tożsamości, utraty mienia, nieświadomego zadłużenia lub narażenia dobrego imienia osób. Dlatego tak ważne jest właściwe i odpowiedzialne podchodzenie do tego zagadnienia.

Oto kilka dodatkowych powodów, dla których zapewnienie zgodności (Compliance) danych osobowych jest dla nas tak istotne:

1. Kolejny raz zaczynamy od najważniejszego elementu jakim jest zaufanie naszych Klientów.

Być może wyda się dziwnym, że ponownie o tym wspominamy, ale zaufanie to fundament naszego działania. Zapewnienie odpowiedniej ochrony danych osobowych Klientów FINGO przekłada się na ich większą lojalność i liczne pozytywne rekomendacje. Budując pozycję na zaufaniu sprawiamy, że naszymi Partnerami decydują się zostać najwięksi gracze rynkowi, a nawet Nadzorcy sektora bankowego.

Nasi klienci oczekują, że ich dane będą przetwarzane bezpiecznie i w sposób zgodny z prawem. Zapewnienie zgodności danych pomaga zawierać długoterminową współpracę opartą na najważniejszym z filarów – zaufaniu.

2. Zgodność z prawem

W zakresie danych osobowych podlegamy przepisom dotyczących przetwarzania i przechowywania tychże danych. Jest to szereg regulacji, ale najważniejszzą z nich stanowi Ogólne Rozporządzenie o Ochronie Danych (RODO) w Unii Europejskiej. Niedostosowanie się do obowiązujących przepisów prawa może prowadzić do znaczących kar finansowych, a także utraty wiarygodności i zaufania Klientów.

3. Konkurencyjność na rynku

Stale rosnące wymagania w zakresie cyberbezpieczeństwa, zgodności z przepisami, a także rozwój technologii na rynku finansowym, stanowi ogromne wyzwanie dla firm na całym świecie. Może to być dla niektórych zadziwiające, ale dla naszych Partnerów zgodność z prawem i bezpieczeństwo informacji są dalece ważniejsze, niż szeroko pojęta innowacyjność. Co to oznacza? Że nie wystarczy być nowoczesnym i mieć portfolio produktów opartych o najnowsze technologie, zawsze pierwsze o co zapyta Klient, to bezpieczeństwo danych i zgodność z regulacjami prawnymi dla sektora finansowego. Dla nas te zagadnienia są kluczowe, więc chętnie wspieramy Klientów kładących, tak jak my, szczególny nacisk na bezpieczeństwo. Taka postawa w połączeniu z innowacyjnością gwarantuje nam pewną i stabilną przewagę konkurencyjną.  

4. Ochrona przed ryzykiem

Zrozumienie i zapewnienie zgodności z przepisami dotyczącymi ochrony danych pomaga nam zidentyfikować potencjalne ryzyka i zminimalizować konsekwencje wynikające z urzeczywistnienia się tychże ryzyk. Dlatego warto cyklicznie badać i analizować ewentualne luki lub „niespokojne wody”, aby mieć pewność, że nie zaistnieje ryzyko nieprawidłowego działania lub wręcz naruszenia danych osobowych. Jedną z naszych tarcz obronnych jest uświadomienie Pracowników w zakresie potencjalnych ryzyk występujących w ich codziennej pracy, a także stały monitoring skuteczności wdrożonych procedur.

Pamiętajmy, że RODO to nie tylko prawny imperatyw, ale również kluczowy element budowania zaufania, utrzymania dobrej reputacji, ale również dostosowanie do potrzeb Klientów. Firma, która skutecznie chroni dane osobowe przed utratą, kradzieżą, czy nieuprawnionym dostępem może budować swoją reputacje jako zaufany i rzetelny Partner.

Przystanek trzeci: eON i wymagania KNF w zakresie wdrożenia usług chmurowych

Jesteśmy już niemal na ostatniej prostej. W Polsce Komisja Nadzoru Finansowego (KNF), podobnie jak analogiczne Organy Nadzorcze w Europie, ustanowiła konkretne wymagania i wytyczne dotyczące korzystania z usług chmurowych przez instytucje finansowe, w szczególności banki. Te wymagania mają na celu zapewnienie, że dane klientów są chronione, system finansowy nie jest uzależniony od jednego dostawcy chmurowego, a instytucje finansowe działają w sposób bezpieczny, transparentny oraz zgodny z prawem polskim i unijnym.

Oto kilka kluczowych elementów, dlaczego wdrażamy rozwiązania chmurowe w oparciu i zgodnie z regulacjami KNF:

1. Oczywiście i tu pojawi się – zaufanie naszych Klientów!

Tak, również w tym obszarze, zaufanie to podstawa naszego działania i rozwoju.  Przystępując do projektu eON – przeniesienie aplikacji desktopowej aSISt do chmury obliczeniowej Google Cloud – w pierwszej kolejności pochyliliśmy się nad zgodnością prawną naszego nowego rozwiązania. Wdrożenie wymagań KNF było jednym z elementów, na którym zbudowaliśmy zaufanie Klientów do tej innowacyjnej aplikacji, pokazując, że FINGO to odpowiedzialny partner, który szczególnie dba o ochronę ich danych.  

2. Bezpieczeństwo informacji

KNF stawia na ochronę prywatności Klientów, zwłaszcza w kontekście ochrony danych osobowych. Usługi chmurowe powinny zatem spełniać wymogi w zakresie ochrony informacji, zabezpieczeń sieciowych, kontroli dostępu oraz zapobiegania atakom cybernetycznym – Klienci korzystający z naszych rozwiązań mogą być pewni, że wszystkie zalecane standardy zostały spełnione.

3. Zarządzanie ryzykiem

Wprowadzenie usług chmurowych wiąże się z nowymi rodzajami ryzyka, takimi jak ryzyko związane z zewnętrznymi dostawcami usług, czy ryzyko związane z niezależnością systemu od operatora chmury.  

KNF wymaga przeprowadzenia dokładnej oceny ryzyk i wprowadzenia odpowiednich mechanizmów zarządzania nimi – FINGO przeprowadziło już dotychczas dwie pełne iteracje analizy ryzyka, wdrażając kluczowe zalecenia i aktualizując mechanizmy zarządzania ryzykami. Chcąc zadbać o najwyższą jakość prowadzonych analiz, a także aby umożliwić rozwój osób odpowiedzialnych za bezpieczeństwo danych w FINGO, w procesach analizy ryzyka uczestniczyli wybitni specjaliści i konsultanci zewnętrzni. Ich pomoc i krytyczne spojrzenie są dla nas gwarancją, że proces został przeprowadzony poprawnie, a dane zgromadzone w trakcie analizy, są wiarygodne.

4. Ciągłość działania

Usługi chmurowe, które są obecnie kluczowe dla naszej firmy, powinny zapewniać wysoki poziom dostępności i odporność na awarie. Nadzorca (KNF) wymaga wdrożenia odpowiednich planów awaryjnych i procedur usprawniających przywracanie działalności w przypadku awarii, czy ataków. Nasze plany awaryjne zostały stworzone i przetestowane, a ich prawidłowość potwierdzona przez audytorów zewnętrznych – w tym OCHK. Wdrażając aplikację chmurową stworzyliśmy także polityki, procedury i plany ciągłości działania dedykowane dla usługi SaaS. Wszystkie te zabiegi miały jeden nadrzędny cel – zapewnienie bezpieczeństwa danych naszych Klientów.  

Reasumując, wymagania Komisji Nadzoru Finansowego dotyczące wdrażania usług chmurowych w sektorze finansowym skupiają się na zapewnieniu bezpieczeństwa danych, ochronie prywatności Klientów, ciągłości działania, zarządzaniu ryzykiem i zgodności z przepisami prawnymi.

Spełnienie tych wymagań pomaga w zapewnieniu stabilności rynku finansowego, buduje zaufanie Klientów i jest gwarancją bezpieczeństwa operacji w sektorze bankowym.

Meta naszej podróży  

Nareszcie dotarliśmy do celu! Wdrożenie normy ISO 27001 oraz certyfikacja BSI to znaczące osiągnięcie i szczególny moment w historii FINGO.

W organizacji norma ISO 27001 ma kluczowe znaczenie dla zapewnienia bezpieczeństwa informacji. Stanowi ono fundament dla systematycznego podejścia do zarządzania cennymi informacjami i danymi, umożliwiając ich ochronę przed zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi.  

Z punktu widzenia Information Compliance Officer, kluczową rolę w procesie odegrali świadomi i kompetentni ludzie. Dlatego na etapie tworzenia polityk i procedur, po powstaniu szablonów opartych o normy prawne i standardy techniczne, zwróciliśmy się do naszych specjalistów ze wszystkich Zespołów, aby pomogli nam udoskonalić i urzeczywistnić założenia opisane w dokumentach. Nie jest to częsta praktyka, aby dokumentacja Compliance była krok po kroku dopasowywana do potrzeb i kultury Organizacji – my możemy z całą pewnością powiedzieć, że nasza Biblioteka Dokumentacji Compliance została stworzona „na miarę”: na miarę FINGO, na miarę obowiązujących regulacji prawnych oraz na miarę oczekiwań rynku.

Podjęliśmy trudne i czasochłonne wyzwanie, ale dziś odnosimy korzyści z wykonanej pracy. Jakie?

• Dzięki przyjęciu pewnych ram działania, a także posiadaniu „map postępowania” w postaci polityk, procedur i instrukcji, znacznie łatwiej nam pracować efektywniej i realizować postawione przed FINGO cele strategiczne.
• Dzięki certyfikacji ISO budujemy zaufanie naszych Klientów i Partnerów biznesowych do sposobu, w jaki organizacja traktuje dane. To z kolei przyczynia się do zwiększenia konkurencyjności na rynku.
• Dzięki przyjętym standardom ISO, nasza firma identyfikuje, kontroluje i minimalizuje szereg zagrożeń dla bezpieczeństwa informacji.  
• Jesteśmy przekonani, że spełniamy surowe normy i gwarantujemy zgodność z wymogami regulacyjnymi i prawnymi dotyczącymi prywatności danych.

Możemy śmiało powiedzieć, że wdrożenie ISO 27001, choć czasochłonne skomplikowane i wymagające wiele cierpliwości, przynosi dziś wymierne korzyści. Nasze nastawienie stale ewoluuje i obserwujemy jak z miesiąca na miesiąc jesteśmy coraz bardziej świadomą Organizacją. Nasza codzienna praca w oparciu o Compliance jest niekiedy może nieco bardziej wymagająca, ale też staje się znacznie bardziej uporządkowana i transparentna. Wszystkie te korzyści przekładają się na silniejsze zabezpieczenia, większą pewność działania i lepsze pozycje w obliczu, największego w historii, ryzyka cyfrowego.