eON + compliance fingo = bezpieczeństwo danych w chmurze

W tym roku rozpoczęliśmy wdrażanie w instytucjach finansowych w Polsce naszego chmurowego rozwiązania w modelu SaaS – eON. Pierwsze instytucje z sukcesem rozpoczęły już raportowanie.  Z rozmów z Klientami wynika, że to ocena ryzyka oraz procedury związane ze zgodnością i bezpieczeństwem budzą w nich największe obawy. Dlatego zapytaliśmy naszą Information Compliance Officer Kingę Brzozowską jak wygląda proces onbordingu od strony Compliance, w jakim zakresie Klienci mogą liczyć na wsparcie FINGO, a przede wszystkim, czy mają się czego obawiać.

Kinga, wdrożenie eON w Bankach wiąże się z analizą ryzyka, podczas której FINGO jest oceniane jako dostawca, możesz nam powiedzieć z czym to jest związane?

Standardy prawne i techniczne, które muszą spełniać dostawcy usług w obszarze sprawozdawczości bankowej są w Polsce niezwykle wysokie. Organy Nadzorcze ustanawiają w zakresie zgodności ramy, w których możemy się poruszać, ma to gwarantować najwyższy poziom bezpieczeństwa danych, a także stały nadzór nad skutecznością wdrożonych zabezpieczeń.  

Dlaczego to jest tak ważne?

Kwantyfikacja ryzyka oraz ocena dostawców są kluczowe w procesie zarządzania ryzykiem i oceny jego wpływu na instytucję. Zbadanie poziomu ryzyk pozwala wdrożyć działania, które zmniejszą ich negatywny wpływ na funkcjonowanie podmiotu.  

Wydaje się to dość skomplikowane, możesz opisać, jak wyglądają te procesy i czemu służą?

Chodzi o określenie podatności i luk w systemie oraz określenia poziomów każdego ryzyka, a to nigdy nie jest łatwe.  

Sam proces oceny ryzyka wymaga dogłębnej analizy narzędzi oraz dokumentacji dostarczonych przez dostawcę. Dla dostawcy analiza i ocena ryzyka wiążą się z koniecznością odpowiedzi na wiele – niekiedy trudnych i złożonych – pytań. Dlatego to bardzo istotne, aby partner Banku był wiarygodny. Kluczowe jest, aby dobrze zrozumieć proces analizy ryzyka, jego cele i narzędzia.  

Zakładając, że podczas kontroli zostały wykryte ryzyka, co dalej?  

Z ryzykiem, które zdefiniujemy, możemy postąpić na kilka sposobów: gdy jest niskie lub nie da się go uniknąć, musimy je zaakceptować; gdy to tylko możliwe ryzyko należy zredukować lub zmitygować; niekiedy możemy także uniknąć ryzyka – ocena i wybór sposobu postępowania z ryzykiem zawsze należy do odpowiedzialnego za analizę.

Za Tobą już kilka takich analiz, co za tym idzie, zebrałaś już spore doświadczenie. Czy i w tym obszarze także Klienci mogą liczyć na pomoc?

W mojej opinii, niezwykle istotne jest, aby być gotowym merytorycznie wesprzeć Klienta w tym procesie, pomagając mu w razie wątpliwości. Ważne jest również, aby móc zaoferować Bankom narzędzia ułatwiające analizę ryzyka, które spełniają wymagania Nadzorców, takich jak, np. UKNF.

Współpracując z FINGO Banki mogą liczyć na profesjonalne wsparcie, gdyż jako wieloletni dostawca produktów i usług z zakresu sprawozdawczości regulacyjnej, mamy obszerną wiedzę, które z procesów są kluczowe. Nasze doświadczenie z pewnością ułatwia ten skomplikowany proces.

To znaczy, że każdy Bank zobowiązany jest zarządzać ryzykiem?  

Oczywiście! Bez polityki zarządzania ryzykiem nie da się bezpiecznie poruszać po obszarach regulowanych, żaden Bank nie mógłby, ale pewnie nawet by nie chciał, funkcjonować bez systemu gwarantującego ocenę i minimalizację ryzyk.  

Powiedziałaś wcześniej, że ocena dostawcy wiąże się z odpowiedzią na wiele trudnych pytań. Chciałabym przybliżyć tę część naszym Klientom, mogłabyś powiedzieć jakie są kluczowe czynniki brane pod uwagę podczas oceny dostawców?

Najważniejszymi czynnikami, które w mojej opinii, wpływają na ocenę dostawców są standardy zabezpieczeń, które oni gwarantują – mam tu na myśli zarówno zabezpieczenia systemowe i proceduralne, jak i te fizyczne, np. bezpieczeństwo dokumentacji czy serwerowni. Klienci zawsze pytają nas także o sposoby szyfrowania danych, gromadzenie logów i wdrożenie zasady privacy by design. Oczywiście musimy potwierdzić także wdrożenie odpowiednich procesów oraz posiadanie dokumentacji compliance, dlatego chętnie odpowiadam na pytania dotyczące wdrożonych polityk i procedur w zakresie bezpieczeństwa informacji, ochrony danych osobowych, wdrożenia i ewaluacji planów ciągłości działania, zarządzania rozwiązaniami chmurowymi, a nawet o standardy tworzenia oprogramowania.  

Wprowadzenie chmury obliczeniowej jest obecnie regulowane wieloma ustawami oraz komunikatami. Na które należy zwrócić szczególną uwagę?

Oj, to niezwykle trudne wymienić je wszystkie, choćby z tego względu, że prawodawstwo europejskie to system naczyń połączonych.

Co masz na myśli?

Chodzi mi o to, że zapisy w jednej ustawie czy rozporządzeniu generują szereg innych regulacji, a te odnoszą się do kolejnych i są często doprecyzowane w najróżniejszych dokumentach pochodnych.  

Jednak z pewnością warto wspomnieć kilka najważniejszych filarów naszego bezpieczeństwa prawnego, w pierwszej kolejności oczywiście nie zapominajmy, że nasza działalność podlega pod Ustawę Prawo Bankowe i RODO. Wśród istotnych wytycznych znajdą się z pewnością także komunikaty i rekomendacje UKNF, jak Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej oraz Rekomendacja D. Powstaje także szereg nowych inicjatyw regulacyjnych, jak, np. Rozporządzenie dot. odporności cyfrowej (DORA), czy przyjęta, dosłownie kilka dni temu, Transatlantycka umowa o adekwatności danych (DPF). Chcąc oferować najwyższy standard usług nie można pomijać również norm ISO. Ważne jest, aby śledzić zmiany prawne na bieżąco i dostosowywać do nich działania FINGO.  

Zatem możemy zapewnić naszych Klientów, że oferowany przez nas system do sprawozdawczości obligatoryjnej eON spełnia wymagania Nadzorców? 

Jak wspominałam na wstępie, poruszamy się w obszarze ściśle regulowanym, dla FINGO oznacza to konieczność spełniania wszystkich wymagań prawnych, które Nadzorcy nakładają na dostawców.

Wspomnieliśmy już o wielu dokumentach, regulacjach, może spróbujmy zebrać to w pomocną listę kontrolną. Jak bank powinien się przygotować na przejście do chmury, jakie dokumenty są wymagane i jakie polityki powinny być wdrożone?

W Polsce proces onbordingu do chmury obliczeniowej nadzoruje KNF, ma prawo odrzucić wniosek Banku o wejście w chmurę, jeśli tylko uzna, że nie wszystkie wymagania są spełnione.  

Warunkiem koniecznym jest posiadanie przez Bank dwunastu dokumentów, są to:

1. Formularz klasyfikacji i oceny informacji pod kątem dopuszczalności przetwarzania w chmurze.
2. Formularz szacowania ryzyka uwzględniający zagrożenia opisane w komunikacie chmurowym.
3. Dokument z opisem wymaganych kompetencji w zakresie korzystania z usług chmury obliczeniowej.
4. Udokumentowana weryfikacja spełnienia wymagań dla umowy z dostawcą chmury obliczeniowej.
5. Udokumentowana weryfikacja spełnienia przez dostawcę usług wymagań komunikatu chmurowego KNF.
6. Plan przetwarzania danych w chmurze obliczeniowej.
7. Dokument opisujący sposób zarządzania kluczami szyfrującymi.
8. Dokument opisujący zasady zbierania logów związanych z planem przetwarzania informacji w chmurze.
9. Scenariusze testowe na wdrożenie usług chmurowych.
10. Exit plan.
11. Plan awaryjny (w kontekście ciągłości działania).
12. Formularz zgłoszenia do KNF.

Jakie dokładnie wsparcie oferujemy naszym Klientom, którzy są zdecydowani przejść z nami procesy Compliance?

FINGO we współpracy z Operatorem Chmury Krajowej sp. z o. o.  przygotowało szablony wszystkich tych dokumentów. Oferujemy je naszym Klientom w ramach Pakietów Compliance FINGO, które wraz ze wsparciem merytorycznym w ich dostosowaniu do potrzeb Banku, zapewniają pełną zgodność z wymaganiami KNF. Potwierdza to fakt, że Komisja Nadzoru Finansowego nie wyraziła dotychczas żadnego sprzeciwu wobec przejścia do chmury przez instytucje płatnicze, które onbordowały się w oparciu o dokumentację przekazaną im przez FINGO.  

Oferujemy naprawdę szeroki wachlarz wsparcia, a czy Klienci mają jakieś obawy przed wdrożeniem systemu eON?  

Jak każda radykalna zmiana, przejście do chmury budzi obawy. Nic dziwnego, gdyż eON to zwrot w sprawozdawczości bankowej o 180°. Przygotowując się do przeniesienia naszych usług do chmury obliczeniowej musieliśmy bardzo restrykcyjnie podejść do kwestii związanej z wyborem dostawcy usługi chmurowej, zaostrzyć wewnętrzne procedury, a także wzmocnić – i tak już bardzo wysokie – standardy bezpieczeństwa danych.  

Dlaczego o tym wspominam? Bo największe obawy budzi właśnie bezpieczeństwo danych i o nie jesteśmy zawsze pytani. Dlatego FINGO zdecydowało się nawiązać współpracę z Google, gdyż w naszym przekonaniu ten dostawca gwarantuje najwyższe standardy zabezpieczenia.  

Powiedziałaś o tym, co czeka Banki w związku z chęcią wdrożenia systemu chmurowego, a jakie Twoim zdaniem były kluczowe wyzwania, przed którymi stanęło FINGO?

Największym wyzwaniem podczas realizacji projektu było zapewnienie, że eON będzie bezpieczny i spełni wszystkie wymogi prawne. Dlatego w skład zespołu projektowego wchodzili nie tylko najlepsi programiści i architekci IT, prawnicy oraz eksperci compliance, ale także specjaliści i konsultanci zewnętrzni, którzy wsparli zespół FINGO swoim wieloletnim doświadczeniem.

Załóżmy, że Bank przygotował całą dokumentację, ma wdrożone wszystkie polityki, dokonał niezębnych ocen ryzyka i dostawcy, czy to wystarczy do zgłoszenia do KNF i zakończenia wdrożenia?

Tak. Zgłoszenie do KNF to ostatni element w procesie “przejścia na chmurę”.  Jeśli w przeciągu dwóch tygodni Organ Nadzorczy (KNF) nie wyrazi sprzeciwu, Bank może śmiało przystąpić do raportowania.