Przetwarzanie informacji w chmurze obliczeniowej – komunikat UKNF

Dominik Kumala

2 grudnia, 2020

Czas czytania: 3 minuty

Potrzebujesz kontaktu z nami? Odpowiemy na Twoje pytania

Chmura obliczeniowa jest modelem przetwarzania danych, to między innymi Dysk Google, OneDrive czy Berg System. To właśnie w tej sprawie UKNF wydał oficjalny komunikat, który dotyczy przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Wiemy już, że od 1 listopada należy dostosować się do tego komunikatu. Jak to wygląda? Co jest od nas wymagane?

23 stycznia 2020 został wydany komunikat dotyczący przetwarzania danych. Dotyczy on również zakładów ubezpieczeń, agentów, brokerów czy firm inwestycyjnych, które korzystają z usług chmury obliczeniowej. Podmioty, które korzystały z chmury przed 1 listopada powinny już spełnić wymagania komunikatu i dostosować się do niego.

Co w sytuacji, kiedy planujemy korzystanie z chmury obliczeniowej?

Najpóźniej na 30 dni przed rozpoczęciem przetwarzania danych jesteśmy zobowiązani poinformować UKNF o:

Rodzaju i zakresie informacji planowanych do przetwarzania.
Nazwie dostawcy usług chmury obliczeniowej oraz rodzaju planowanych do używania usług.
Dacie podpisania umowy, terminie obowiązywania lub przewidywaną datę zawarcia.
Lokalizacji centrum przetwarzania danych świadczącym usługę chmury obliczeniowej.
Spełnieniu wymagań komunikatu
Osobach lub stanowiskach do kontaktu w sprawie chmury obliczeniowej

W samym komunikacie znajdziesz załącznik, który jest gotowym szablonem do uzupełniania i przesłania do UKNF.

Jakie wymagania przedstawia UKNF względem korzystania z chmury obliczeniowej?

W pierwszej kolejności będziemy zobowiązani do stworzenia dokumentacji, która dotyczy procesu korzystania z usług chmury obliczeniowej.

Kolejne czynności to:

Przeprowadzenie procesu klasyfikacji i oceny informacji w kwestii dopuszczalności pod kątem przetwarzania w chmurze obliczeniowej. Będziemy również musieli robić to przynajmniej raz w roku. Czyli potwierdzać jej aktualności
Przeprowadzenie udokumentowanego procesu szacowania ryzyka
Opracowanie planu przetwarzania informacji w chmurze.

Dokładny opis czynności znajdziesz w komunikacie.

Jakie są minimalne wymagania dla przetwarzania
w chmurze ?

UKNF określił też wymagania organizacyjno-technicznych, które trzeba spełnić. Są to m.in.:

wymagania komptecnyjne pracowników, które muszą być odpowiednio udokumentowanie
wymagania w zakresie umowy z dostawcą rozwiązania
wymagania dla samych dostawców (m.in normy ISO)
posiadanie planu przetwarzania informacji w chmurze
monitorowanie środowiska przetwarzania informacji
dokumentowanie działań

Ważną kwestią jest, że nie musimy informować o testowaniu takich środowisk jeżeli w trakcie testu nie przetwarzamy danych prawnie chronionych

Pamiętaj! Zanim podejmiesz jakiekolwiek działania zapoznaj się z oficjalnym komunikatem, a w razie konieczności porozmawiaj z prawnikiem.

Jak oceniasz ten artykuł?

Twoja opinia jest dla nas ważna i pozwala tworzyć lepsze treści

Dominik Kumala

Pasjonuje się Digital Marketingiem i nowymi technologiami, które wykorzystuje do swojej codziennej pracy. Oprócz projektowania lejków tworzę treści czy reklamy w środowisku Google, Facebook. Połączenie tych umiejętności pozwala mi na prowadzenie skutecznych kampanii marketingowych. Prowadzę również firmę, której funkcjonowanie opieram na pracy w systemie CRM dbając o bazę klientów i procesy sprzedaży poszczególnych produktów.