Bezpieczne dane to szczęśliwe dane – krótka podróż po meandrach compliance

Kiedy poruszamy temat naszej certyfikacji ISO lub analizujemy dokumentację Compliance, wtedy tak naprawdę zdajemy sobie sprawę jaką drogę przeszliśmy. Weszliśmy w rozwiązania chmurowe, przyjęliśmy kilkadziesiąt polityk i procedur, dostosowaliśmy swoją codzienną pracę do wymagań, które pozwoliły nam wznieść się na kolejny poziom działalności na rynku regulowanym. 

Chcielibyśmy opowiedzieć o naszej podróży, podzielić się zdobytą wiedzą i doświadczeniem, które zdobyliśmy przez ostatnie kilkanaście miesięcy. Mam nadzieję, że pomożemy Państwu zrozumieć znaczenie bezpiecznych danych, wartość norm i regulacji prawnych oraz poznać filary zgodności FINGO. Pokażemy Wam krótką, acz wyboistą drogę, którą sami przeszliśmy. 

Co najważniejsze, chcemy pokazać, dlaczego warto ufać tylko sprawdzonym Partnerom, którzy dbałość o bezpieczeństwo danych stawiają zawsze na pierwszym miejscu.  

To była długa i wyczerpująca podróż, ale docierając do mety czujemy niemałą satysfakcję. Wszyscy – Pracownicy, Współpracownicy, Konsultanci i Eksperci – każdy z nas bez wyjątku, jest autorem sukcesu, który osiągnęliśmy jako FINGO. 

PRZYGOTOWANIE DO PODRÓŻY

ISO 27001 jest międzynarodowym standardem, który opiera się na idei ciągłego doskonalenia, obejmującego różnorodne procesy, takie jak analiza ryzyka, audyty, mierniki oraz ustanawianie polityk i procedur, które pomogą nam wszystkim aktywnie zadbać o bezpieczeństwo informacji.   

Postanowiliśmy wprowadzić standard ISO 27001 jako odpowiedź na stale rosnące wymagania w zakresie bezpieczeństwa cybernetycznego, potrzebę rozwoju i zwiększania konkurencyjności oraz jako odpowiedź na ciągły postęp technologiczny na regulowanym rynku finansowym. Przyjęcie tego wysokiego standardu pozwoli nam sprostać temu wyzwaniu. Dziś wiemy, że to była słuszna decyzja. 

Jak wyglądała dalej nasza podróż ku zgodności? 

Przystanek pierwszy: Bezpieczeństwo informacji  

Na samym początku drogi musieliśmy zadbać o uświadomienie sobie jakie wyzwania przed nami stoją. Dlatego wśród osób odpowiedzialnych za projekt Security & Compliance FINGO długo analizowaliśmy dokumentację, a także przygotowywaliśmy Zespoły FINGO do nowych wyzwań. Uznaliśmy, że należy przede wszystkim postawić na otwartą komunikację, a także zadbać o włączenie Zespołów w proces tworzenia dokumentacji. Na końcu musieliśmy rzetelnie wyjaśniać i informować o konieczności wprowadzenia pewnych ograniczeń. 

Przystąpiliśmy więc do stworzenia mapy drogowej, rozpoczynając od rewizji dotychczasowych działań oraz oceny i inwentaryzacji posiadanej dokumentacji. Mimo, że mieliśmy niemałe doświadczenie w tym zakresie, było to trudne i żmudne zadanie. Jednak w naszej opinii, niezależnie od profilu firmy, bezpieczeństwo informacji powinno być zawsze na pierwszym miejscu.  

W przypadku naszej Organizacji kwestia zabezpieczenia informacji stanowiła i zawsze będzie stanowić, absolutny priorytet. Czym różni się nasze podejście do zabezpieczeń od praktyk, z którymi możemy się spotkać poza sektorem regulowanym? Przede wszystkim jako FINGO jesteśmy zaangażowani w procesy, w których przetwarzamy znaczące zbiory danych, które są nam powierzane przez naszych Klientów. Są wśród nich dane osobowe i finansowe, a więc takie, które wymagają szczególnej ochrony. Bez odpowiednich środków bezpieczeństwa, informacje te mogą być narażone na szereg zagrożeń. Zaufanie, którym nas darzą instytucje finansowe jest dla nas niesłabnącą motywacją do doskonalenia. 

Każdy, kto powierza nam swoje dane powinien czuć, że znajdują się one we właściwych rękach. Dlatego, wymieńmy sobie najważniejsze powody, dla których bezpieczeństwo informacji jest dla nas tak ważne: 

1. Zaufanie naszych Klientów 

Klienci oczekują od nas najwyższej jakości zabezpieczeń danych, które nam powierzają. Zwiększenie zaufania klientów poprzez zapewnienie, że ich dane są bezpieczne i odpowiednio chronione przyczynia się do zwiększenia sprzedaży i poprawy wyników finansowych firmy. 

2. Zgodność z regulacjami 

Dostarczamy produkty i usługi na ściśle regulowanym rynku finansowym. Dlatego śledzimy zmiany w przepisach i dostosowujemy swoje działania do aktualnych wymagań. Dzięki temu gwarantujemy zawsze pełną zgodność prawną. 

3. Ochrona danych

Na polecenie naszych Klientów przetwarzamy duże ilości danych bankowych, w tym danych osobowych oraz informacji finansowych, które oni sami posiadają w swoich bazach danych. Z uwagi na swój charakter, powierzone nam dane zawsze podlegają szczególnej ochronie. Stosowane metody zabezpieczeń oraz używane narzędzia poddawane są regularnym testom i kontrolom wewnętrznym i zewnętrznym. 

4. Ochrona własności intelektualnej

Ze względu na specyfikę, a także innowacyjność tworzonych przez nas rozwiązań i produktów cyfrowych, bez odpowiednich środków bezpieczeństwa byłyby one narażone na naruszenie naszych praw autorskich, w tym także zawłaszczenie nowatorskich rozwiązań, które wdrażamy w swoich produktach. Dlatego staramy się podchodzić ze szczególną dbałością do zabezpieczania i ochrony naszych aplikacji. 

5. Zapewnienie ciągłości działania firmy

Możemy zapewnić naszych Klientów, że jesteśmy przygotowani, aby w sytuacji kryzysowej zapewnić ciągłość działania usług. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji poprzez minimalizowanie ryzyka przerw w dostępie do informacji i wdrożenie planów awaryjnych, zapobiega zakłóceniom w działaniu naszych usług.

PRZYSTANEK DRUGI: RODO, CZYLI COMPLIANCE DANYCH OSOBOWYCH 

Kolejny przystanek to słynne i często nielubiane RODO. To fakt, że ustawa o ochronie danych osobowych jest dość skomplikowana i rygorystyczna, ale nie możemy zapomnieć, że w obecnych czasach dane są towarem i ich wartość rynkowa stale rośnie. Do tego nieograniczone przetwarzanie danych może doprowadzić także do dramatów osobistych – kradzieży tożsamości, utraty mienia, nieświadomego zadłużenia lub narażenia dobrego imienia osób. Dlatego tak ważne jest właściwe i odpowiedzialne podchodzenie do tego zagadnienia. 

Oto kilka dodatkowych powodów, dla których zapewnienie zgodności (Compliance) danych osobowych jest dla nas tak istotne: 

1. Kolejny raz zaczynamy od najważniejszego elementu jakim jest zaufanie naszych Klientów. 

Być może wyda się dziwnym, że ponownie o tym wspominamy, ale zaufanie to fundament naszego działania. Zapewnienie odpowiedniej ochrony danych osobowych Klientów FINGO przekłada się na ich większą lojalność i liczne pozytywne rekomendacje. Budując pozycję na zaufaniu sprawiamy, że naszymi Partnerami decydują się zostać najwięksi gracze rynkowi, a nawet Nadzorcy sektora bankowego. 

Nasi klienci oczekują, że ich dane będą przetwarzane bezpiecznie i w sposób zgodny z prawem. Zapewnienie zgodności danych pomaga zawierać długoterminową współpracę opartą na najważniejszym z filarów – zaufaniu. 

2. Zgodność z prawem 

W zakresie danych osobowych podlegamy przepisom dotyczących przetwarzania i przechowywania tychże danych. Jest to szereg regulacji, ale najważniejszzą z nich stanowi Ogólne Rozporządzenie o Ochronie Danych (RODO) w Unii Europejskiej. Niedostosowanie się do obowiązujących przepisów prawa może prowadzić do znaczących kar finansowych, a także utraty wiarygodności i zaufania Klientów. 

3. Konkurencyjność na rynku 

Stale rosnące wymagania w zakresie cyberbezpieczeństwa, zgodności z przepisami, a także rozwój technologii na rynku finansowym, stanowi ogromne wyzwanie dla firm na całym świecie. Może to być dla niektórych zadziwiające, ale dla naszych Partnerów zgodność z prawem i bezpieczeństwo informacji są dalece ważniejsze, niż szeroko pojęta innowacyjność. Co to oznacza? Że nie wystarczy być nowoczesnym i mieć portfolio produktów opartych o najnowsze technologie, zawsze pierwsze o co zapyta Klient, to bezpieczeństwo danych i zgodność z regulacjami prawnymi dla sektora finansowego. Dla nas te zagadnienia są kluczowe, więc chętnie wspieramy Klientów kładących, tak jak my, szczególny nacisk na bezpieczeństwo. Taka postawa w połączeniu z innowacyjnością gwarantuje nam pewną i stabilną przewagę konkurencyjną.  

4. Ochrona przed ryzykiem 

Zrozumienie i zapewnienie zgodności z przepisami dotyczącymi ochrony danych pomaga nam zidentyfikować potencjalne ryzyka i zminimalizować konsekwencje wynikające z urzeczywistnienia się tychże ryzyk. Dlatego warto cyklicznie badać i analizować ewentualne luki lub „niespokojne wody”, aby mieć pewność, że nie zaistnieje ryzyko nieprawidłowego działania lub wręcz naruszenia danych osobowych. Jedną z naszych tarcz obronnych jest uświadomienie Pracowników w zakresie potencjalnych ryzyk występujących w ich codziennej pracy, a także stały monitoring skuteczności wdrożonych procedur. 

Pamiętajmy, że RODO to nie tylko prawny imperatyw, ale również kluczowy element budowania zaufania, utrzymania dobrej reputacji, ale również dostosowanie do potrzeb Klientów. Firma, która skutecznie chroni dane osobowe przed utratą, kradzieżą, czy nieuprawnionym dostępem może budować swoją reputacje jako zaufany i rzetelny Partner. 

Przystanek trzeci: eON i wymagania KNF w zakresie wdrożenia usług chmurowych

Jesteśmy już niemal na ostatniej prostej. W Polsce Komisja Nadzoru Finansowego (KNF), podobnie jak analogiczne Organy Nadzorcze w Europie, ustanowiła konkretne wymagania i wytyczne dotyczące korzystania z usług chmurowych przez instytucje finansowe, w szczególności banki. Te wymagania mają na celu zapewnienie, że dane klientów są chronione, system finansowy nie jest uzależniony od jednego dostawcy chmurowego, a instytucje finansowe działają w sposób bezpieczny, transparentny oraz zgodny z prawem polskim i unijnym. 

Oto kilka kluczowych elementów, dlaczego wdrażamy rozwiązania chmurowe w oparciu i zgodnie z regulacjami KNF:

1. Oczywiście i tu pojawi się – zaufanie naszych Klientów! 

Tak, również w tym obszarze, zaufanie to podstawa naszego działania i rozwoju.  Przystępując do projektu eON – przeniesienie aplikacji desktopowej aSISt do chmury obliczeniowej Google Cloud – w pierwszej kolejności pochyliliśmy się nad zgodnością prawną naszego nowego rozwiązania. Wdrożenie wymagań KNF było jednym z elementów, na którym zbudowaliśmy zaufanie Klientów do tej innowacyjnej aplikacji, pokazując, że FINGO to odpowiedzialny partner, który szczególnie dba o ochronę ich danych.  

2. Bezpieczeństwo informacji 

KNF stawia na ochronę prywatności Klientów, zwłaszcza w kontekście ochrony danych osobowych. Usługi chmurowe powinny zatem spełniać wymogi w zakresie ochrony informacji, zabezpieczeń sieciowych, kontroli dostępu oraz zapobiegania atakom cybernetycznym – Klienci korzystający z naszych rozwiązań mogą być pewni, że wszystkie zalecane standardy zostały spełnione. 

3. Zarządzanie ryzykiem 

Wprowadzenie usług chmurowych wiąże się z nowymi rodzajami ryzyka, takimi jak ryzyko związane z zewnętrznymi dostawcami usług, czy ryzyko związane z niezależnością systemu od operatora chmury.  

KNF wymaga przeprowadzenia dokładnej oceny ryzyk i wprowadzenia odpowiednich mechanizmów zarządzania nimi – FINGO przeprowadziło już dotychczas dwie pełne iteracje analizy ryzyka, wdrażając kluczowe zalecenia i aktualizując mechanizmy zarządzania ryzykami. Chcąc zadbać o najwyższą jakość prowadzonych analiz, a także aby umożliwić rozwój osób odpowiedzialnych za bezpieczeństwo danych w FINGO, w procesach analizy ryzyka uczestniczyli wybitni specjaliści i konsultanci zewnętrzni. Ich pomoc i krytyczne spojrzenie są dla nas gwarancją, że proces został przeprowadzony poprawnie, a dane zgromadzone w trakcie analizy, są wiarygodne. 

4. Ciągłość działania 

Usługi chmurowe, które są obecnie kluczowe dla naszej firmy, powinny zapewniać wysoki poziom dostępności i odporność na awarie. Nadzorca (KNF) wymaga wdrożenia odpowiednich planów awaryjnych i procedur usprawniających przywracanie działalności w przypadku awarii, czy ataków. Nasze plany awaryjne zostały stworzone i przetestowane, a ich prawidłowość potwierdzona przez audytorów zewnętrznych – w tym OCHK. Wdrażając aplikację chmurową stworzyliśmy także polityki, procedury i plany ciągłości działania dedykowane dla usługi SaaS. Wszystkie te zabiegi miały jeden nadrzędny cel – zapewnienie bezpieczeństwa danych naszych Klientów.  

Reasumując, wymagania Komisji Nadzoru Finansowego dotyczące wdrażania usług chmurowych w sektorze finansowym skupiają się na zapewnieniu bezpieczeństwa danych, ochronie prywatności Klientów, ciągłości działania, zarządzaniu ryzykiem i zgodności z przepisami prawnymi. 

Spełnienie tych wymagań pomaga w zapewnieniu stabilności rynku finansowego, buduje zaufanie Klientów i jest gwarancją bezpieczeństwa operacji w sektorze bankowym. 

Meta naszej podróży  

Nareszcie dotarliśmy do celu! Wdrożenie normy ISO 27001 oraz certyfikacja BSI to znaczące osiągnięcie i szczególny moment w historii FINGO. 

W organizacji norma ISO 27001 ma kluczowe znaczenie dla zapewnienia bezpieczeństwa informacji. Stanowi ono fundament dla systematycznego podejścia do zarządzania cennymi informacjami i danymi, umożliwiając ich ochronę przed zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi.  

Z punktu widzenia Information Compliance Officer, kluczową rolę w procesie odegrali świadomi i kompetentni ludzie. Dlatego na etapie tworzenia polityk i procedur, po powstaniu szablonów opartych o normy prawne i standardy techniczne, zwróciliśmy się do naszych specjalistów ze wszystkich Zespołów, aby pomogli nam udoskonalić i urzeczywistnić założenia opisane w dokumentach. Nie jest to częsta praktyka, aby dokumentacja Compliance była krok po kroku dopasowywana do potrzeb i kultury Organizacji – my możemy z całą pewnością powiedzieć, że nasza Biblioteka Dokumentacji Compliance została stworzona „na miarę”: na miarę FINGO, na miarę obowiązujących regulacji prawnych oraz na miarę oczekiwań rynku. 

Podjęliśmy trudne i czasochłonne wyzwanie, ale dziś odnosimy korzyści z wykonanej pracy. Jakie? 

  • Dzięki przyjęciu pewnych ram działania, a także posiadaniu „map postępowania” w postaci polityk, procedur i instrukcji, znacznie łatwiej nam pracować efektywniej i realizować postawione przed FINGO cele strategiczne. 
  • Dzięki certyfikacji ISO budujemy zaufanie naszych Klientów i Partnerów biznesowych do sposobu, w jaki organizacja traktuje dane. To z kolei przyczynia się do zwiększenia konkurencyjności na rynku. 
  • Dzięki przyjętym standardom ISO, nasza firma identyfikuje, kontroluje i minimalizuje szereg zagrożeń dla bezpieczeństwa informacji.  
  • Jesteśmy przekonani, że spełniamy surowe normy i gwarantujemy zgodność z wymogami regulacyjnymi i prawnymi dotyczącymi prywatności danych. 

Możemy śmiało powiedzieć, że wdrożenie ISO 27001, choć czasochłonne skomplikowane i wymagające wiele cierpliwości, przynosi dziś wymierne korzyści. Nasze nastawienie stale ewoluuje i obserwujemy jak z miesiąca na miesiąc jesteśmy coraz bardziej świadomą Organizacją. Nasza codzienna praca w oparciu o Compliance jest niekiedy może nieco bardziej wymagająca, ale też staje się znacznie bardziej uporządkowana i transparentna. Wszystkie te korzyści przekładają się na silniejsze zabezpieczenia, większą pewność działania i lepsze pozycje w obliczu, największego w historii, ryzyka cyfrowego.

Kinga Brzozowska

Kinga Brzozowska

Ekspertka w zakresie zarządzania bezpieczeństwem informacji, RODO i Compliance.
Information Compliance Office, Data Protection Officer oraz Analysis Specialist w FINGO.
Specjalistka w zakresie prawa autorskiego, ze szczególnym zamiłowaniem do zagadnień ochrony własności intelektualnej w sektorze programistycznym. Doświadczona menadżerka.
W latach 2013-2019 wykładowczyni akademicka na Uniwersytecie Wrocławskim.

Kadr

Łukasz Wrona

Administrator Bezpieczeństwa Informacji, specjalista w zakresie zarządzania systemami informatycznymi. Absolwent Politechniki Wrocławskiej: systemy i sieci komputerowe. Studiów podyplomowych na Wydziale Prawa Uniwersytetu Wrocławskiego: Ochrona Danych Osobowych oraz Akademii Leona Koźmińskiego: AI — Technologia i Prawo. Z wyróżnieniem ukończył studia MBA na Franklin University, Ohio, USA.

ZAPRASZAMY DO KONTAKTU

    | Regulamin świadczenia usług drogą elektroniczną |
    | Polityka Prywatności |

    Read More

    eON + Compliance FINGO = bezpieczeństwo danych w chmurze

    W tym roku rozpoczęliśmy wdrażanie w instytucjach finansowych w Polsce naszego chmurowego rozwiązania w modelu SaaS – eON. Pierwsze instytucje z sukcesem rozpoczęły już raportowanie.  Z rozmów z Klientami wynika, że to ocena ryzyka oraz procedury związane ze zgodnością i bezpieczeństwem budzą w nich największe obawy. Dlatego zapytaliśmy naszą Information Compliance Officer Kingę Brzozowską jak wygląda proces onbordingu od strony Compliance, w jakim zakresie Klienci mogą liczyć na wsparcie FINGO, a przede wszystkim, czy mają się czego obawiać. 

    Kinga, wdrożenie eON w Bankach wiąże się z analizą ryzyka, podczas której FINGO jest oceniane jako dostawca, możesz nam powiedzieć z czym to jest związane? 

    Standardy prawne i techniczne, które muszą spełniać dostawcy usług w obszarze sprawozdawczości bankowej są w Polsce niezwykle wysokie. Organy Nadzorcze ustanawiają w zakresie zgodności ramy, w których możemy się poruszać, ma to gwarantować najwyższy poziom bezpieczeństwa danych, a także stały nadzór nad skutecznością wdrożonych zabezpieczeń.  

    Dlaczego to jest tak ważne? 

    Kwantyfikacja ryzyka oraz ocena dostawców kluczowe w procesie zarządzania ryzykiem i oceny jego wpływu na instytucję. Zbadanie poziomu ryzyk pozwala wdrożyć działania, które zmniejszą ich negatywny wpływ na funkcjonowanie podmiotu.  

    Wydaje się to dość skomplikowane, możesz opisać, jak wyglądają te procesy i czemu służą? 

    Chodzi o określenie podatności i luk w systemie oraz określenia poziomów każdego ryzyka, a to nigdy nie jest łatwe.  

    Sam proces oceny ryzyka wymaga dogłębnej analizy narzędzi oraz dokumentacji dostarczonych przez dostawcę. Dla dostawcy analiza i ocena ryzyka wiążą się z koniecznością odpowiedzi na wiele – niekiedy trudnych i złożonych – pytań. Dlatego to bardzo istotne, aby partner Banku był wiarygodny. Kluczowe jest, aby dobrze zrozumieć proces analizy ryzyka, jego cele i narzędzia.  

    Zakładając, że podczas kontroli zostały wykryte ryzyka, co dalej?  

    Z ryzykiem, które zdefiniujemy, możemy postąpić na kilka sposobów: gdy jest niskie lub nie da się go uniknąć, musimy je zaakceptować; gdy to tylko możliwe ryzyko należy zredukować lub zmitygować; niekiedy możemy także uniknąć ryzykaocena i wybór sposobu postępowania z ryzykiem zawsze należy do odpowiedzialnego za analizę. 

    Za Tobą już kilka takich analiz, co za tym idzie, zebrałaś już spore doświadczenie. Czy i w tym obszarze także Klienci mogą liczyć na pomoc? 

    W mojej opinii, niezwykle istotne jest, aby być gotowym merytorycznie wesprzeć Klienta w tym procesie, pomagając mu w razie wątpliwości. Ważne jest również, aby móc zaoferować Bankom narzędzia ułatwiające analizę ryzyka, które spełniają wymagania Nadzorców, takich jak, np. UKNF

    Współpracując z FINGO Banki mogą liczyć na profesjonalne wsparcie, gdyż jako wieloletni dostawca produktów i usług z zakresu sprawozdawczości regulacyjnej, mamy obszerną wiedzę, które z procesów są kluczowe. Nasze doświadczenie z pewnością ułatwia ten skomplikowany proces. 

    To znaczy, że każdy Bank zobowiązany jest zarządzać ryzykiem?  

    Oczywiście! Bez polityki zarządzania ryzykiem nie da się bezpiecznie poruszać po obszarach regulowanych, żaden Bank nie mógłby, ale pewnie nawet by nie chciał, funkcjonować bez systemu gwarantującego ocenę i minimalizację ryzyk 

    Powiedziałaś wcześniej, że ocena dostawcy wiąże się z odpowiedzią na wiele trudnych pytań. Chciałabym przybliżyć tę część naszym Klientom, mogłabyś powiedzieć jakie są kluczowe czynniki brane pod uwagę podczas oceny dostawców? 

    Najważniejszymi czynnikami, które w mojej opinii, wpływają na ocenę dostawców są standardy zabezpieczeń, które oni gwarantują – mam tu na myśli zarówno zabezpieczenia systemowe i proceduralne, jak i te fizyczne, np. bezpieczeństwo dokumentacji czy serwerowni. Klienci zawsze pytają nas także o sposoby szyfrowania danych, gromadzenie logów i wdrożenie zasady privacy by design. Oczywiście musimy potwierdzić także wdrożenie odpowiednich procesów oraz posiadanie dokumentacji compliance, dlatego chętnie odpowiadam na pytania dotyczące wdrożonych polityk i procedur w zakresie bezpieczeństwa informacji, ochrony danych osobowych, wdrożenia i ewaluacji planów ciągłości działania, zarządzania rozwiązaniami chmurowymi, a nawet o standardy tworzenia oprogramowania.  

    Wprowadzenie chmury obliczeniowej jest obecnie regulowane wieloma ustawami oraz komunikatami. Na które należy zwrócić szczególną uwagę?

    Oj, to niezwykle trudne wymienić je wszystkie, choćby z tego względu, że prawodawstwo europejskie to system naczyń połączonych. 

    Co masz na myśli?

    Chodzi mi o to, że zapisy w jednej ustawie czy rozporządzeniu generują szereg innych regulacji, a te odnoszą się do kolejnych i są często doprecyzowane w najróżniejszych dokumentach pochodnych.  

    Jednak z pewnością warto wspomnieć kilka najważniejszych filarów naszego bezpieczeństwa prawnego, w pierwszej kolejności oczywiście nie zapominajmy, że nasza działalność podlega pod Ustawę Prawo BankoweRODO. Wśród istotnych wytycznych znajdą się z pewnością także komunikaty i rekomendacje UKNF, jak Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej oraz Rekomendacja D. Powstaje także szereg nowych inicjatyw regulacyjnych, jak, np. Rozporządzenie dot. odporności cyfrowej (DORA), czy przyjęta, dosłownie kilka dni temu, Transatlantycka umowa o adekwatności danych (DPF). Chcąc oferować najwyższy standard usług nie można pomijać również norm ISO. Ważne jest, aby śledzić zmiany prawne na bieżąco i dostosowywać do nich działania FINGO.  

    Zatem możemy zapewnić naszych Klientów, że oferowany przez nas system do sprawozdawczości obligatoryjnej eON spełnia wymagania Nadzorców 

    Jak wspominałam na wstępie, poruszamy się w obszarze ściśle regulowanym, dla FINGO oznacza to konieczność spełniania wszystkich wymagań prawnych, które Nadzorcy nakładają na dostawców. 

    Wspomnieliśmy już o wielu dokumentach, regulacjach, może spróbujmy zebrać to w pomocną listę kontrolną. Jak bank powinien się przygotować na przejście do chmury, jakie dokumenty są wymagane i jakie polityki powinny być wdrożone? 

    W Polsce proces onbordingu do chmury obliczeniowej nadzoruje KNF, ma prawo odrzucić wniosek Banku o wejście w chmurę, jeśli tylko uzna, że nie wszystkie wymagania są spełnione.  

    Warunkiem koniecznym jest posiadanie przez Bank dwunastu dokumentów, są to: 

    1. Formularz klasyfikacji i oceny informacji pod kątem dopuszczalności przetwarzania w chmurze. 
    2. Formularz szacowania ryzyka uwzględniający zagrożenia opisane w komunikacie chmurowym. 
    3. Dokument z opisem wymaganych kompetencji w zakresie korzystania z usług chmury obliczeniowej. 
    4. Udokumentowana weryfikacja spełnienia wymagań dla umowy z dostawcą chmury obliczeniowej. 
    5. Udokumentowana weryfikacja spełnienia przez dostawcę usług wymagań komunikatu chmurowego KNF. 
    6. Plan przetwarzania danych w chmurze obliczeniowej. 
    7. Dokument opisujący sposób zarządzania kluczami szyfrującymi. 
    8. Dokument opisujący zasady zbierania logów związanych z planem przetwarzania informacji w chmurze. 
    9. Scenariusze testowe na wdrożenie usług chmurowych. 
    10. Exit plan.
    11. Plan awaryjny (w kontekście ciągłości działania). 
    12. Formularz zgłoszenia do KNF. 

    Jakie dokładnie wsparcie oferujemy naszym Klientom, którzy są zdecydowani przejść z nami procesy Compliance? 

    FINGO we współpracy z Operatorem Chmury Krajowej sp. z o. o.  przygotowało szablony wszystkich tych dokumentów. Oferujemy je naszym Klientom w ramach Pakietów Compliance FINGO, które wraz ze wsparciem merytorycznym w ich dostosowaniu do potrzeb Banku, zapewniają pełną zgodność z wymaganiami KNF. Potwierdza to fakt, że Komisja Nadzoru Finansowego nie wyraziła dotychczas żadnego sprzeciwu wobec przejścia do chmury przez instytucje płatnicze, które onbordowały się w oparciu o dokumentację przekazaną im przez FINGO.  

    Oferujemy naprawdę szeroki wachlarz wsparcia, a czy Klienci mają jakieś obawy przed wdrożeniem systemu eON?  

    Jak każda radykalna zmiana, przejście do chmury budzi obawy. Nic dziwnego, gdyż eON to zwrot w sprawozdawczości bankowej o 180°. Przygotowując się do przeniesienia naszych usług do chmury obliczeniowej musieliśmy bardzo restrykcyjnie podejść do kwestii związanej z wyborem dostawcy usługi chmurowej, zaostrzyć wewnętrzne procedury, a także wzmocnić – i tak już bardzo wysokie – standardy bezpieczeństwa danych.  

    Dlaczego o tym wspominam? Bo największe obawy budzi właśnie bezpieczeństwo danych i o nie jesteśmy zawsze pytani. Dlatego FINGO zdecydowało się nawiązać współpracę z Google, gdyż w naszym przekonaniu ten dostawca gwarantuje najwyższe standardy zabezpieczenia.  

    Powiedziałaś o tym, co czeka Banki w związku z chęcią wdrożenia systemu chmurowego, a jakie Twoim zdaniem były kluczowe wyzwania, przed którymi stanęło FINGO? 

    Największym wyzwaniem podczas realizacji projektu było zapewnienie, że eON będzie bezpieczny i spełni wszystkie wymogi prawne. Dlatego w skład zespołu projektowego wchodzili nie tylko najlepsi programiści i architekci IT, prawnicy oraz eksperci compliance, ale także specjaliści i konsultanci zewnętrzni, którzy wsparli zespół FINGO swoim wieloletnim doświadczeniem. 

    Załóżmy, że Bank przygotował całą dokumentację, ma wdrożone wszystkie polityki, dokonał niezębnych ocen ryzyka i dostawcy, czy to wystarczy do zgłoszenia do KNFzakończenia wdrożenia? 

    Tak. Zgłoszenie do KNF to ostatni element w procesie “przejścia na chmurę”.  Jeśli w przeciągu dwóch tygodni Organ Nadzorczy (KNF) nie wyrazi sprzeciwu, Bank może śmiało przystąpić do raportowania. 

    Katarzyna Obiała

    Poruszam się w świecie marketingu już od ponad 15 lat. Zgodnie z ideą marketingu 360º działam w wielu jego obszarach —  pomagam zwiększać świadomość marki, budować lojalność Klientów, a przede wszystkim generować sprzedaż. Moje motto: “Szaleństwem jest robić wciąż to samo      i oczekiwać różnych rezultatów” (A. Einstein)   

    ZAPRASZAMY DO KONTAKTU

      | Regulamin świadczenia usług drogą elektroniczną |
      | Polityka Prywatności |

      Read More