Co nowego w chmurze w związku z pandemią Koronawirusa? UKNF wydał komunikat dotyczący zmiany terminów dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej z dnia 1 sierpnia na 1 listopada 2020 r.
26 marca 2020 roku na stronie UKNF ukazała się informacja, dotycząca zmiany terminów w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Zmiana ta wynika ze stanu epidemii, związanego z COVID-19.
Komunikat UKNF dotyczący przetwarzania informacji w chmurze – zmiana terminów
Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej, termin dostosowania się do wymagań komunikatu ulega zmianie: z 1 sierpnia 2020 r. – na 1 listopada 2020 r. Dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z wyprzedzeniem 14-dniowym zostaje zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.
„Przesunięcie terminu poinformowania UKNF-u o korzystaniu z chmury (nie jak wcześniej 14 dni przed rozpoczęciem, a 30 dni po rozpoczęciu) może być bardzo cennym ułatwieniem, szczególnie w czasie, gdy wymaga się od pracodawców umożliwienia pracy zdalnej, a firmy muszą w największym stopniu, w jakim to możliwe – umożliwić klientom zdalne załatwienie swoich spraw. Wiele podmiotów regulowanych jeszcze przed czasami COVID-19 przygotowywało się do wdrożenia rozwiązań opartych o cloud computing, a teraz są one zmuszane do przyśpieszenia tych projektów i wykonania wdrożeń. Zmiana postanowień komunikatu chmurowego pozwala na szybszą realizację tych działań i dokonania zgłoszenia już po produkcyjnym wdrożeniu systemów.” – powiedział Paweł Kłósek, Starszy Menadżer, Cloud Engineering Deloitte.
Przypomnijmy, iż zgodnie z Pakietem Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju – wydłużony o pół roku (tj. do 31 grudnia 2020 r.) zostaje również czas dostosowania się do wytycznych EBA dot. outsourcingu.
Polish Cloud
Polish Cloud to nowy standard dotyczący wdrożenia chmury obliczeniowej, stworzony przez ZBP. Stanowi on zbiór praktyk i rozwiązań, mających na celu umożliwić bankom łatwe przejście przez proces adaptacji do chmury, zarówno całej organizacji, jak i w zakresie jedynie wybranych rozwiązań oferowanych przez dostawców usług chmurowych. Standard prezentuje, jakie zadania, procedury, procesy i analizy bank powinien przeprowadzić i udokumentować pod kątem przygotowania organizacji do działania w sferze usług chmurowych w odniesieniu do poszczególnych zapisów wybranych regulacji.
„W regulacjach w zakresie technologii zawsze kluczowa jest kwestia balansu pomiędzy zapewnieniem kontroli i bezpieczeństwa danych z jednej strony, a nie stawianiem nadmiernych barier przed innowacjami z drugiej. W czasach COVID-19, kiedy firmy są de facto zmuszone przechodzić bardzo szybką transformację cyfrową, rozwiązania chmurowe są naturalnym wyborem. Modyfikując komunikat nadzorca wydaje się skłaniać lekko w kierunku zapewnienia, że będą mogły skupić się na zapewnieniu ciągłości działania oraz dostosowania sposobu funkcjonowania do nowej rzeczywistości.” – zwraca uwagę Jakub Garszyński, Dyrektor, Dział Zarządzania Ryzykiem w Deloitte.
Jak wskazano w zapisach Standardu, Standard analizuje wymogi Komunikatu UKNF z dnia 23 stycznia 2020 r., a co za tym idzie, przedstawia wymogi Urzędu Komisji Nadzoru Finansowego w przypadku przetwarzania w podmiotach objętych nadzorem bankowym informacji w chmurze obliczeniowej publicznej lub chmurze obliczeniowej hybrydowej; standard podsumowuje również wymagania Prawa bankowego.
„Standard może mieć znaczący wymiar praktyczny, nie tylko dla banków. Większość ze wskazanych w Standardzie Polish Cloud kroków, mających na celu wdrożenie chmury, może znaleźć zastosowanie także do podmiotów z innych sektorów.” – zaznacza Julia Rojewska, Senior Associate, Aplikantka adwokacka w Deloitte.
Standard ten zwraca w szczególności uwagę na kroki, jakie powinien podjąć bank w celu wdrożenia chmury. Należą do nich:
- zidentyfikowanie potrzeby biznesowej;
- wstępna ocena pod kątem możliwości realizacji potrzeby w usłudze chmurowej;
- decyzja o dopuszczalności wdrożenia rozwiązania chmurowego;
- opracowanie wymagań (na tym etapie tworzony jest zestaw wymagań biznesowych, formalnych, cyberbezpieczeństwa i innych – wymagania są określane na podstawie wymagań wewnętrznych przepisów banku oraz Komunikatu Chmurowego UKNF);
- opracowanie i dystrybucja zapytania ofertowego;
- ocena ryzyka związanego z usługą chmurową;
- ocena ofert i akceptacja oferty;
- podpisanie umowy z dostawcą usług chmurowych;
- wdrożenie przedprodukcyjne (konfiguracja usługi);
- zgłoszenie do KNF;
- migracja danych produkcyjnych do usługi chmurowej;
- uruchomienie produkcyjne.
„Z perspektywy banków, prawidłowe spełnienie wymogów wskazanych w Standardzie na pewno ułatwi dostosowanie działalności do postanowień Komunikatu UKNF z dnia 23 stycznia 2020 r. Tym, co będzie miało jednak w tym przypadku kluczowe znaczenie, jest sposób wdrożenia wymogów, a także jakość przygotowanej w tym celu dokumentacji. Wdrożenie wymogów chmurowych w organizacji jest procesem złożonym, wymagającym kompetencji z różnych dziedzin, prawnej, compliance, cyberbezpieczeństwa, technologii, a także – odpowiednich zasobów ludzkich.” – podkreśla Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate w Deloitte.
https://itreseller.pl/itrnewhuawei-we-wspolpracy-z-deloitte-wspolnie-opublikowaly-oficjalny-raport-zwalczanie-covid-19-przy-pomocy-5g-mozliwosci-usprawnienia-systemow-publicznej-opieki-zdrowotnej/