Chmura obliczeniowa jest modelem przetwarzania danych, to między innymi Dysk Google, OneDrive czy Berg System. To właśnie w tej sprawie UKNF wydał oficjalny komunikat, który dotyczy przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Wiemy już, że od 1 listopada należy dostosować się do tego komunikatu. Jak to wygląda i na czym polega? Co jest od nas wymagane?
23 stycznia 2020 został wydany komunikat dotyczący przetwarzania danych. Dotyczy on również zakładów ubezpieczeń, agentów, brokerów czy firm inwestycyjnych, które korzystają z usług chmury obliczeniowej. Podmioty, które korzystały z chmury przed 1 listopada powinny już spełnić wymagania komunikatu i dostosować się do niego.
Co w sytuacji, kiedy planujemy korzystanie z chmury obliczeniowej (tzw. cloud)?
Najpóźniej na 30 dni przed rozpoczęciem przetwarzania danych jesteśmy zobowiązani poinformować UKNF o:
- Rodzaju i zakresie informacji planowanych do przetwarzania.
- Nazwie dostawcy usług chmury obliczeniowej oraz rodzaju planowanych do używania usług.
- Dacie podpisania umowy, terminie obowiązywania lub przewidywaną datę zawarcia.
- Lokalizacji centrum przetwarzania danych świadczącym usługę chmury obliczeniowej.
- Spełnieniu wymagań komunikatu
- Osobach lub stanowiskach do kontaktu w sprawie chmury obliczeniowej
W samym komunikacie znajdziesz załącznik, który jest gotowym szablonem do uzupełniania i przesłania do UKNF.
Jakie wymagania przedstawia UKNF względem korzystania z chmury obliczeniowej?
W pierwszej kolejności będziemy zobowiązani do stworzenia dokumentacji, która dotyczy procesu korzystania z usług chmury obliczeniowej.
Kolejne czynności to:
- Przeprowadzenie procesu klasyfikacji i oceny informacji w kwestii dopuszczalności pod kątem przetwarzania w chmurze obliczeniowej. Będziemy również musieli robić to przynajmniej raz w roku. Czyli potwierdzać jej aktualności
- Przeprowadzenie udokumentowanego procesu szacowania ryzyka
- Opracowanie planu przetwarzania informacji w chmurze.
Dokładny opis czynności znajdziesz w komunikacie.
Jakie są minimalne wymagania dla przetwarzania
w chmurze ?
UKNF określił też wymagania organizacyjno-technicznych, które trzeba spełnić. Są to m.in.:
- wymagania komptecnyjne pracowników, które muszą być odpowiednio udokumentowanie
- wymagania w zakresie umowy z dostawcą rozwiązania
- wymagania dla samych dostawców (m.in normy ISO)
- posiadanie planu przetwarzania informacji w chmurze
- monitorowanie środowiska przetwarzania informacji
- dokumentowanie działań
Ważną kwestią jest, że nie musimy informować o testowaniu takich środowisk jeżeli w trakcie testu nie przetwarzamy danych prawnie chronionych
Pamiętaj! Zanim podejmiesz jakiekolwiek działania zapoznaj się z oficjalnym komunikatem, a w razie konieczności porozmawiaj z prawnikiem.
Pytania i odpowiedzi:
Jakie są kluczowe korzyści z wdrożenia chmury publicznej w organizacji?
Wdrożenie chmury publicznej umożliwia organizacjom elastyczne skalowanie zasobów IT oraz optymalizację kosztów poprzez model subskrypcyjny. Usługi przetwarzania w chmurze to model działania dostarczający większą elastyczność w zakresie przechowywania danych i aplikacji, co pozwala na szybkie reagowanie na zmieniające się potrzeby biznesowe. Ponadto dostawcy usług w chmurze zazwyczaj oferują wysoki poziom bezpieczeństwa, co zwiększa ochronę danych i aplikacji. W efekcie firmy i zespoły mogą skoncentrować się na rozwoju strategicznych inicjatyw, zamiast zarządzaniu infrastrukturą IT.
Czym różni się chmura hybrydowa od chmury prywatnej w kontekście zasobów bazodanowych?
Chmura hybrydowa łączy zasoby chmury prywatnej i publicznej, umożliwiając organizacjom większą elastyczność w zakresie przechowywania danych oraz zarządzanie nimi w sposób dostosowany do potrzeb biznesowych. Chmura prywatna to zasoby przeznaczone wyłącznie dla jednej organizacji, co zapewnia wyższy poziom bezpieczeństwa, ale wymaga większych inwestycji w infrastrukturę IT. Wybór między tymi modelami zależy od wymagań organizacji w zakresie poufności danych oraz skali działalności.
Jakie usługi przetwarzania w chmurze są najczęściej wykorzystywane przez firmy?
Istnieją trzy najczęściej wykorzystywane usługi przetwarzania w chmurze – infrastruktura jako usługa (model IaaS), platforma jako usługa (model PaaS) oraz oprogramowanie jako usługa (model SaaS). Model IaaS umożliwia firmom dostęp do zasobów obliczeniowych (mocy obliczeniowej), takich jak serwery, pamięć masowa czy sieci. PaaS to gotowe środowisko do tworzenia i wdrażania aplikacji, natomiast SaaS dostarcza gotowe rozwiązania, takie jak CRM, które można używać za pośrednictwem internetu bez potrzeby instalowania oprogramowania lokalnie.
Jakie są najlepsze praktyki dotyczące przechowywania danych w chmurze?
Najlepsze praktyki dotyczące przechowywania danych w chmurze obejmują regularne tworzenie kopii zapasowych, wykorzystanie mechanizmów szyfrowania oraz wdrożenie strategii odzyskiwania danych w razie awarii. Firmy powinny również monitorować zasoby i stosować polityki dostępu ograniczające możliwość nieautoryzowanego dostępu do informacji. Kluczowe jest także korzystanie z renomowanych dostawców usług chmurowych, takich jak Microsoft Azure czy AWS, które oferują zaawansowane funkcje bezpieczeństwa i skalowalność.
Czym różnią się modele IaaS, PaaS i SaaS w przetwarzaniu danych w chmurze?
Modele IaaS, PaaS i SaaS różnią się zakresem odpowiedzialności użytkownika i dostawcy usług. IaaS to przetwarzanie w chmurze to dostarczanie zasobów takich jak serwery czy baz danych, umożliwiając firmom pełną kontrolę nad infrastrukturą. PaaS udostępnia środowisko do tworzenia i wdrażania aplikacji, eliminując konieczność zarządzania sprzętem. SaaS to gotowe rozwiązania dostępne z poziomu aplikacji za pośrednictwem internetu, które chmurze firmy umożliwiają korzystanie z aplikacji bez potrzeby instalacji lokalnej.
Jakie są kluczowe czynniki wpływające na odzyskiwanie danych w chmurze?
Odzyskiwanie danych w chmurze zależy od kilku czynników, takich jak strategia backupu, zewnętrzny poziom bezpieczeństwa oraz zastosowanie odpowiednich polityk dostępu. Chmurze umożliwia łatwe przywracanie plików dzięki wykorzystaniu funkcji, takich jak automatyczne kopie zapasowe i redundancja w globalnych centrach danych. Warto również wdrożyć api, które wspiera integrację systemów zewnętrznych oraz zoptymalizować procesy związane z bezpieczeństwem, aby uniknąć strat danych i przerw w działalności.
