Powyższy komunikat w sposób kompleksowy wyznacza standardy korzystania z usług przetwarzania w chmurze obliczeniowej przez podmioty nadzorowane, wychodząc na przeciw potrzebom rynku. Czy zatem przyjęte przez Urząd Komisji Nadzoru Finansowego wytyczne, doprowadządo wzrostu wykorzystywania technologii cloud computing przed podmioty nadzorowane?

Rynek pilnie potrzebował wprowadzenia odpowiednich wytycznych

Krajowe podmioty nadzorowane sektora finansowego, pilnie potrzebowały przyjęcia stosownych regulacji w powyższym zakresie, tak by w sposób bezpieczny i zgodny ze stanowiskiem regulatora rynku, wdrażane mogły być rozwiązania oparte na przetwarzaniu danych w chmurze obliczeniowej. Uprzednio obowiązujące regulacje i wytyczne dotyczące wykorzystywania outsourcingu chmury obliczeniowej, nie odpowiadały w sposób należyty na potrzeby runku, stanowiąc barierę dla rozwoju działalności podmiotów nadzorowanych w tym zakresie. Nie ulega wątpliwości, że wykorzystanie szeroko pojętej technologii cloud computing, obecnie jest na świecie standardem, także i w zakresie realizacji usług w sektorze finansowym. Również i zatem polskie podmioty sektora finansowego, w szczególności podmioty z branży fintech, chętnie wdrażają powyższą technologię, która na obecnym etapie jej rozwoju, zapewnia nie tylko redukcję kosztów, ale również i należyte bezpieczeństwo.

Zakres zastosowania komunikatu

Urząd Komisji Nadzoru Finansowego w komunikacie dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, co bardzo istotne, precyzyjnie określił jego zakres zastosowania, ustalając, że nie każde wykorzystanie technologii przetwarzania danych w chmurze obliczeniowej przed podmiot nadzorowany, wiązać będzie się z koniecznością realizacji obowiązków wskazanych w powyższym komunikacie.

Podmioty nadzorowane powinny bowiem w pierwszej kolejności ustalić czy dla wdrożonej lub planowanej do wdrożenia usługi chmury obliczeniowej dochodzić będzie do przetwarzania informacji prawnie chronionych oraz czy czynności przetwarzania jakie będą dokonywane, mogą być definiowane jako outsourcing szczególny chmury obliczeniowej. Przedmiotowy komunikat musi być bowiem stosowany jedynie w przypadku przetwarzania informacji innych niż prawnie chronione w ramach szczególnego outsourcingu chmury obliczeniowej oraz przetwarzania informacji prawnej chronionych niezależnie od rodzaju outsourcingu chmury obliczeniowej.

Komunikat ustala przy tym definicje zarówno informacji prawnie chronionej, jako informacji związanej  z tajemnicami sektora finansowego, określonymi we wskazanych ustawach np. w ustawie prawo bankowe, jak również definicję szczególnego outsourcingu chmury obliczeniowej, który to definiowany jest jako powierzenie dostawcy usług chmury obliczeniowej, wykonania czynności, których brak lub przerwa wpływałaby w sposób istotny na  działalność podmiotu nadzorowanego lub w sposób istotny zagrażałaby wynikom finansowym podmiotu nadzorowanego.

Co równie istotne, komunikat UKNF nie będzie mieć zastosowania do przetwarzania danych w chmurze prywatnej, definiowanej jako chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot. Komunikat w sposób precyzyjny wskazuje również na inne wyłączenia odnoszące się w szczególności do regulacji sektorowych.

Omawiany komunikat zawiera również wyjaśnienia na wiele innych pytań jakie to podmioty nadzorowane mogą mieć przy wrażaniu technologii cloud computing zgodnie z komunikatem, np. w zakresie  łańcuchów outsourcingowych. Kompleksowa regulacja powyższych elementów, z całą pewnością powinna zostać oceniona pozytywnie, a jednoznaczność stosowanej terminologii zapewni pewność podmiotów co do prawidłowego stosowania komunikatu.

Model referencyjny stosowania usług chmury obliczeniowej

Uznanie przez podmiot nadzorowany, że dla wdrożonej lub wdrażanej usługi chmury obliczeniowej, zastosowanie będą mieć szczególne wytyczne omawianego komunikatu Urzędu Komisji Nadzoru Finansowego rodzi konieczność wdrożenia tzw. modelu referencyjnego stosowania usług chmury obliczeniowej. Na model ten składają się opisane w komunikacje różnego rodzaje wytyczne mające na celu zagwarantowanie bezpieczeństwo informacji oraz jej przetwarzania w chmurze obliczeniowej. Podmioty nadzorowane zobowiązane do stosowania modelu referencyjnego, musza zatem dokonać klasyfikacji i oceny przetwarzanych informacji, jak również oszacowania ryzyka związanego z tym przetwarzaniem.

Omawiany komunikat wprowadził dla podmiotów nadzorowanych, zobowiązanych do stosowania modelu referencyjnego, także minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej, w tym wymagania w zakresie umów zawieranych z dostawcami rozwiązań chmurowych oraz wymagania co do samych dostawców usług przetwarzania danych w chmurze obliczeniowej. Co oczywiste powyższe wymagania zawierają także wszelkie techniczne wymagania odnoszące się do zapewnienia bezpieczeństwa informacji oraz jej szyfrowania zarówno w formie szyfrowania „at rest” oraz „in transit”.

W tym zakresie pojawiają się pewne ograniczenia, które to dla niektórych podmiotów mogą stanowić problem w realizacji wdrożenia przetwarzania danych w chmurze w zaplanowany sposób. Urząd Komisji Nadzoru Finansowego wymaga bowiem, by co do zasady dla operatorów usług kluczowych i operatorów infrastruktury krytycznej stosowane były centra przetwarzania danych zlokalizowane w  Polsce. W pozostałych przypadkach UKNF rekomenduje, by centra przetwarzania danych znajdowały się na terytorium państwa Europejskiego Obszaru Gospodarczego. Nie ulega jednak wątpliwości, że duża część podmiotów świadczących usługi w zakresie technologii cloud computing, lokalizuje swoje centra przetwarzania danych poza EOG. Mimo, że powyższy wymóg przybiera formę rekomendacji, to bezsprzecznie, w praktyce znacząco utrudnione może okazać się korzystanie przez podmioty nadzorowane z usług podmiotów które to lokalizują swoje centra danych i serwerownie poza EOG.

Kolejnym wymogiem jaki stawia komunikat przed podmiotami nadzorowanymi jest obowiązek informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej. Urząd Komisji nadzoru Finansowego, do omawianego komunikatu zamieścił nie tylko druk Informacji podmiotu nadzorowanego w sprawie przetwarzania informacji w chmurze obliczeniowej, ale również i przykład prawidłowo wypełnienia tego druku, co może stanowić ułatwienie dla podmiotów nadzorowanych.

Przedłużenie terminu na dostosowanie się do wymogów komunikatu

Należy także pamiętać, że w wyniku zmiany postanowień zawartych w komunikacie UKNF z 23 stycznia 2020 r. dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, termin dostosowania się do wymagań komunikatu uległ zmianie z 1 sierpnia 2020 r. na 1 listopada 2020 r. 14 dniowy termin na poinformowanie UKNF o zamiarze korzystania z usługi chmury obliczeniowej, zastąpiony został również obowiązkiem poinformowania UKNF w terminie  30 dni fakcie korzystania z usługi nie później niż 30 dni od dnia rozpoczęcia korzystania z usługi. Mając na względzie obecną sytuację związaną z epidemią wirusa SARS-COV-2, pozytywnie należy ocenić zrozumienie UKNF dla trudności, jakie podmioty nadzorowane mógłby mieć z terminową realizacją obowiązków wynikających z konieczności stosowania omawianego komunikatu.

Komunikat UKNF powinien przysłużyć się wzrostowi popularności technologii cloud computing

Wydanie przez Komisję Nadzoru Finansowego nowych wytycznych dotyczących przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej stanowi krok w dobrym kierunku w zakresie odpowiedniej regulacji i  standaryzacji wykorzystywania  przez te podmioty szeroko pojętej technologii cloud computing. Podmioty nadzorowane przez Komisję Nadzoru Finansowego oczekują bowiem, ustalania przez UKNF jasnych reguł i wytycznych, które to pozwolą im na zgodną z prawem działalność, z wykorzystaniem nowych technologii. Choć dostosowanie modelu działalności do powyższych wytycznych, może stanowić pewne wyzwanie dla podmiotów działający na rynku, z całą pewnością spełnienie wymów ustalonych powyższym komunikatem, powinno dać tym podmiotom pewność, że usługi świadczone przy wykorzystaniu chmury obliczeniowej, są realizowane zgodne ze stanowiskiem i wytycznymi ustalonym przez UKNF.

Na pochwałę zasługuje również inicjatywa Urzędu Komisji Nadzoru Finansowego, który to postanowił przeprowadzić warsztaty w celu omówienia zaleceń w sprawie przetwarzania danych za pośrednictwem technologii cloud computing. W toku wdrażania nowych wytycznych, z całą pewnością mogą pojawić się dodatkowe wątpliwości, które to UKNF, będzie mógł w trakcie powyższych warsztatów dodatkowo objaśnić.

Niezależnie jednak od oceny przyjętych wytycznych, wiele zależy od ostatecznej interpretacji i wykładni omawianego komunikatu przez sam Urząd Komisji Nadzoru Finansowego. Nie ulega wątpliwości, że nawet i dobre regulacje, w wyniku  zbyt restrykcyjnej wykładni, mogą okazać się barierą dla rozwoju we wdrażaniu technologii cloud computing przez podmioty nadzorowane działające na rynku finansowym. Obecne podejście UKNF w tym zakresie, w szczególności fakt konsultowania wprowadzanych wytycznych, oraz dalsza chęć komunikacji z rynkiem poprzez zaplanowane warsztaty,  budzi jednak nadzieję, że wprowadzony komunikat ostatecznie przysłuży się rozwojowi powyższej technologii  na rynku nadzorowanym.

Autorem artykułu jest Michał Barwicki, aplikant radcowski w Kancelarii Macura, specjalista z zakresu prawa nowych technologii.