W dniu 24 stycznia 2020 roku Komisja Nadzoru Finansowego opublikowała obszerny komunikat w sprawie przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. KNF zapowiada również warsztaty mające na celu wyjaśnienie wytycznych zamieszczonych w komunikacie.
Wytyczne KNF są dość obszerne i szczegółowe, stanowią swego rodzaju kompilację wszystkich wcześniejszych komunikatów KNF w sprawach związanych z outsourcingiem. Co ważne, wytyczne te mają zastosowanie do wszystkich rodzajów nadzorowanych podmiotów, w tym między innymi, ale nie tylko:
- banków,
- zakładów ubezpieczeń,
- przedsiębiorstw inwestycyjnych,
- dostawców usług płatniczych (małe instytucje płatnicze, krajowe instytucje płatnicze),
- instytucji pieniądza elektronicznego,
- agencji ratingowych,
- SKOK-ów,
Zakres wytycznych obejmuje między innymi następujące dziedziny:
- klasyfikacja informacji,
- klasyfikacja usług cloud computingu,
- ocena ryzyka,
- standardów technicznych i organizacyjnych,
- umów z dostawcą usług cloud computingu,
- planów przetwarzania informacji w chmurze,
- wymogów dotyczących dostawców usług w zakresie przetwarzania w chmurze,
- kryptografii,
- monitorowania środowiska chmury obliczeniowej,
- dokumentowanie działań związanych z przetwarzaniem w chmurze,
- obowiązki sprawozdawcze KNF.
Co ważne, nadzorowane podmioty będą stosować wytyczne przed rozpoczęciem korzystania z usług w chmurze (publicznej lub hybrydowej).
Zachęcam do kontaktu z Kancelarią – świadczymy m.in. usługi związane z:
- usługami płatniczymi,
- reprezentacją przed KNF,
- projektowaniem oraz dostosowaniem systemów oraz regulacji wewnętrznych do wymogów EUNB oraz KNF.