Chmura obliczeniowa jest modelem przetwarzania danych, to między innymi Dysk Google, OneDrive czy Berg System. To właśnie w tej sprawie UKNF wydał oficjalny komunikat, który dotyczy przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Wiemy już, że od 1 listopada należy dostosować się do tego komunikatu. Jak to wygląda? Co jest od nas wymagane?
23 stycznia 2020 został wydany komunikat dotyczący przetwarzania danych. Dotyczy on również zakładów ubezpieczeń, agentów, brokerów czy firm inwestycyjnych, które korzystają z usług chmury obliczeniowej. Podmioty, które korzystały z chmury przed 1 listopada powinny już spełnić wymagania komunikatu i dostosować się do niego.
Co w sytuacji, kiedy planujemy korzystanie z chmury obliczeniowej?
Najpóźniej na 30 dni przed rozpoczęciem przetwarzania danych jesteśmy zobowiązani poinformować UKNF o:
- Rodzaju i zakresie informacji planowanych do przetwarzania.
- Nazwie dostawcy usług chmury obliczeniowej oraz rodzaju planowanych do używania usług.
- Dacie podpisania umowy, terminie obowiązywania lub przewidywaną datę zawarcia.
- Lokalizacji centrum przetwarzania danych świadczącym usługę chmury obliczeniowej.
- Spełnieniu wymagań komunikatu
- Osobach lub stanowiskach do kontaktu w sprawie chmury obliczeniowej
W samym komunikacie znajdziesz załącznik, który jest gotowym szablonem do uzupełniania i przesłania do UKNF.
Jakie wymagania przedstawia UKNF względem korzystania z chmury obliczeniowej?
W pierwszej kolejności będziemy zobowiązani do stworzenia dokumentacji, która dotyczy procesu korzystania z usług chmury obliczeniowej.
Kolejne czynności to:
- Przeprowadzenie procesu klasyfikacji i oceny informacji w kwestii dopuszczalności pod kątem przetwarzania w chmurze obliczeniowej. Będziemy również musieli robić to przynajmniej raz w roku. Czyli potwierdzać jej aktualności
- Przeprowadzenie udokumentowanego procesu szacowania ryzyka
- Opracowanie planu przetwarzania informacji w chmurze.
Dokładny opis czynności znajdziesz w komunikacie.
Jakie są minimalne wymagania dla przetwarzania
w chmurze ?
UKNF określił też wymagania organizacyjno-technicznych, które trzeba spełnić. Są to m.in.:
- wymagania komptecnyjne pracowników, które muszą być odpowiednio udokumentowanie
- wymagania w zakresie umowy z dostawcą rozwiązania
- wymagania dla samych dostawców (m.in normy ISO)
- posiadanie planu przetwarzania informacji w chmurze
- monitorowanie środowiska przetwarzania informacji
- dokumentowanie działań
Ważną kwestią jest, że nie musimy informować o testowaniu takich środowisk jeżeli w trakcie testu nie przetwarzamy danych prawnie chronionych
Pamiętaj! Zanim podejmiesz jakiekolwiek działania zapoznaj się z oficjalnym komunikatem, a w razie konieczności porozmawiaj z prawnikiem.
