Przetwarzanie informacji w chmurze - nowy komunikat KNF

11 Lut 2020

Nowe wytyczne do przetwarzania informacji w chmurze zastąpią poprzednie przepisy z 2017 roku

Nowy komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej („Komunikat”) z dnia 24 stycznia 2020 r. wydany przez KNF, zastępuje w całości poprzedni komunikat KNF z 23 października 2017 r.

W zakresie uregulowanym przez Komunikat nie stosuje się wytycznych regulatorów europejskich, w tym Europejskiego Urzędu Nadzoru Bankowego, które odnoszą się do przetwarzania informacji w chmurze, co może być problematyczne przy wdrożeniach chmury w ramach międzynarodowych grup kapitałowych.

Które podmioty muszą wdrożyć wytyczne KNF?

Komunikat jest adresowany do szerokiego kręgu podmiotów nadzorowanych przez KNF w tym m.in. banków, zakładów ubezpieczeń, instytucji płatniczych, firm inwestycyjnych, towarzystw emerytalnych, towarzystw funduszy inwestycyjnych.

Komunikat ma zastosowanie w przypadku przetwarzania informacji prawnie chronionych lub tzw. outsourcingu szczególnego chmury obliczeniowej.

Do kiedy należy wdrożyć nowe wytyczne?

Komunikat powinien być stosowany od dnia jego opublikowania tj. 24 stycznia 2020 r.

Przewidziany został jednak okres przejściowy dla podmiotów nadzorowanych, które obecnie przetwarzają informacje w chmurze obliczeniowej. Powinny one dostosować swoje działanie do wymagań Komunikatu do 1 sierpnia 2020 r.

 

Najważniejsze zmiany w przetwarzaniu danych w chmurze w odniesieniu do komunikatu z 2017 roku:

Wymogi ogólne

W zakresie wymogów ogólnych, m.in.:

  • Zdefiniowanie tzw. modelu referencyjnego chmury i wyrażone wprost oczekiwanie nadzoru co do jego stosowania przez podmioty nadzorowane.    
  • Wprowadzenie szeregu definicji, wyjaśniających wątpliwości interpretacyjne pojawiające się na gruncie poprzedniego komunikatu KNF, m.in. informacji prawnie chronionych, chmury prywatnej i chmury społecznościowej, usługi chmury obliczeniowej, poddostawcy, outsourcingu chmury obliczeniowej oraz outsourcingu szczególnego chmury obliczeniowej.   
  • Opracowanie definicji podoutsourcingu (łańcucha outsourcingowego). Ponadto KNF wskazuje w jakich sytuacjach tworzenie łańcucha jest dopuszczalne, a także zakres odpowiedzialności dostawców chmury obliczeniowej oraz poddostawców, który może ulegać ograniczeniu lub wyłączeniu. Jednocześnie KNF krytycznie ocenia powyższe wyłączenie oraz ograniczenia w przypadkach, gdy w chmurze przetwarzane są informacje prawnie chronione, a także przetwarzanie ma charakter outsourcingu chmury obliczeniowej.
  • Wprowadzenie definicji ujawnienia informacji, zgodnie z którą do ujawnienia informacji nie dochodzi, jeżeli informacje są przetwarzane w chmurze obliczeniowej w sposób zaszyfrowany, bez możliwości uzyskania dostępu do kluczy szyfrujących lub szyfrowanych tymi kluczami informacji przez dostawcę chmury obliczeniowej lub jego poddostawcę w łańcuchu outsourcingowym.
  • Wprowadzenie obowiązku informowania KNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej na 14 dni przed rozpoczęciem przetwarzania. W przypadku gdy przetwarzanie jest już realizowane – nie później niż do 1 sierpnia 2020 r.
  • Odejście od części wymogów, które były obecne w poprzednim komunikacie KNF w sprawie chmury, m.in. brak obowiązku zapewnienia kopii zapasowej danych uznanych za krytyczne, posiadania planów ciągłości działania przez dostawcę oraz przeprowadzenia analizy SWOT.

Wymogi dotyczące dostawcy

W zakresie wymogów dotyczących dostawcy, m.in.:

  • Wprowadzenie szczegółowych wymogów w zakresie zapewnienia zgodności ich działania z konkretnymi normami lub ich odpowiednikami, (m.in. PN-ISO/IEC ISO 20000, PN-EN ISO/IEC 27001, PN-EN ISO 22301, a także wymogów dla CPD dostawców).
  • Rekomendacja KNF dotycząca lokalizacji centrów przetwarzania danych (CPD) na terytorium EOG. Jednocześnie KNF preferuje, aby operatorzy usług kluczowych oraz operatorzy infrastruktury krytycznej, w pierwszej kolejności wykorzystywali CPD na terytorium Polski, o ile oferowane warunki umowne, ekonomiczne, operacyjne, SLA czy funkcjonalne nie są gorsze od CPD znajdujących się poza terytorium Polski.

Wymogi techniczne i organizacyjne

W zakresie wymogów technicznych i organizacyjnych, m.in.:

  • Przedstawienie szczegółowego stanowiska nadzoru w sprawie szyfrowania. Informacje prawnie chronione powinny być zawsze szyfrowane „at rest” (w spoczynku) oraz „in transit” (w trakcie transmisji). W przypadku braku szyfrowania, lub szyfrowania informacji niezgodnie z komunikatem może dojść do przypadku ujawnienia informacji. Istotne jest również odpowiednie zarządzanie kluczami szyfrującymi.
  • Liberalizacja wymogów w zakresie wskazania lokalizacji przetwarzania danych. Zgodnie z Komunikatem, jako minimum należy operować pojęciami „strefa dostępu”, „region” lub innymi równoważnymi, z podaniem co najmniej kraju oraz przybliżonej lokalizacji CPD. W sytuacji gdy takie określenie nie jest możliwe lub jest niezasadne, należy podać obszar EOG lub inne równoważne określenie.
  • Ustanowienie obowiązku zapewnienia okresu testowego, podczas którego na danych testowych, w udokumentowanym procesie testowane są scenariusze adekwatne do oszacowanego ryzyka.
  • Wskazanie szczegółowych zasad dotyczących monitoringu środowiska przetwarzania informacji w chmurze, w tym zbierania, zabezpieczania oraz dokonywania przeglądów logów.

Wymogi umowne

W zakresie wymogów umownych, m.in.:

  • W przypadku poddania umowy prawu państwa trzeciego – spoza UE, obowiązek posiadania pisemnej opinii prawnej, potwierdzającej że zgodnie z wybranym prawem właściwym umowy wszystkie postanowienia umowy spełniają wymagania prawa obowiązujące podmiot nadzorowany oraz wymagania Komunikatu.
  • Zwrócenie uwagi na konieczność zapewnienia możliwości przeprowadzenia kontroli przez nadzór, w tym kontroli pomieszczeń i dokumentacji związanej z przetwarzaniem informacji podmiotu nadzorowanego, procesów i procedur, organizacji i zarządzania oraz potwierdzeń zgodności.

Pomagamy firmom przygotować się do wdrożenia wytycznych KNF

  • doradzamy w zakresie wdrożenia Komunikatu – wsparcie w interpretacji zakresu zastosowania przepisów prawa polskiego i rekomendacji KNF, klasyfikacji danych, opracowaniu docelowego modelu regulacyjnego
  • doradzamy w zakresie negocjacji umów z dostawcami, opracowania wzorów umów zgodnych z wymaganiami Komunikatu
  • oferujemy wsparcie biznesowe oraz technologiczne na etapie wyboru dostawcy oraz wdrożenia wybranych rozwiązań w organizacji.

Skontaktuj się z nami

Aleksandra Bańkowska

Aleksandra Bańkowska

Partner, Adwokat, PwC Polska

Łukasz Łyczko

Łukasz Łyczko

Legal Counsel, PwC Polska

Tel.: +48 519 507 952

Tomasz Fus

Senior Associate, PwC Polska

Tel.: +48 519 506 574

Obserwuj nas