W dniu 23 stycznia 2020 r. Komisja Nadzoru Finansowego wydała komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, który zastąpił poprzednio obowiązujący komunikat z 23 października 2017 r. Wydanie nowego komunikatu wynikało z potrzeby standaryzacji w podejściu do korzystania z usług w chmurze przez podmioty nadzorowane, co potencjalnie znieść ma różnice w ocenie ryzyka technologicznego.
Podmioty nadzorowane powinny dostosować swoje działania do wymagań komunikatu do 1 sierpnia 2020 r. Co istotne, wytyczne nie dotyczą chmury prywatnej.
Punktem wyjścia dla zrozumienia wytycznych KNF jest podział usługi przetwarzania informacji w chmurze przez podmioty nadzorowane na dwie kategorie, w zależności od rodzaju informacji:
- outsourcing chmury obliczeniowej – stosowanie komunikatu jest obligatoryjne jedynie w przypadku informacji prawnie chronionej; w przypadku innych informacji stosowanie komunikatu jest fakultatywne;
- outsourcing szczególny chmury obliczeniowej – stosowanie komunikatu jest obligatoryjne w odniesieniu do każdej informacji.
Outsourcing szczególny chmury obliczeniowej oznacza outsourcing, w ramach którego podmiot nadzorowany powierza dostawcy wykonanie za pomocą usługi chmury czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji spowodowana awarią lub naruszeniem zasad bezpieczeństwa usługi chmury obliczeniowej, w ocenie podmiotu nadzorowanego:
- wpływałaby w sposób istotny na ciągłość wypełniania przez podmiot nadzorowany warunków stanowiących podstawę uprawnienia prowadzenia działalności nadzorowanej lub jej wykonywania lub;
- zagrażałaby w sposób istotny wynikom finansowym podmiotu nadzorowanego, niezawodności lub ciągłości wykonywania działalności nadzorowanej.
Istotną informacją dla dostawców rozwiązań chmurowych jest rekomendacja KNF, aby centra przetwarzania danych zlokalizowane były na terytorium państw należących do Europejskiego Obszaru Gospodarczego (EOG). Taka rekomendacja wpłynie w sposób istotny na krąg podmiotów, które mogą być dostawcami usług w chmurze dla podmiotów nadzorowanych. W przypadku operatorów usług kluczowych oraz operatorów infrastruktury krytycznej Komisja idzie nawet dalej i rekomenduje, by centra te zlokalizowane były na terytorium Polski o ile oferowane warunki nie są gorsze od CPD znajdujących się poza terytorium Polski.
Najważniejsze założenia wynikające z komunikatu KNF:
- Nowe obowiązki dla podmiotów nadzorowanych to m. in.:
- Przeprowadzenie udokumentowanego procesu klasyfikacji informacji oraz oceny tych informacji pod kątem dopuszczalności przetwarzania w chmurze;
- Przeprowadzenie udokumentowanego procesu kompleksowego szacowania ryzyka przetwarzania informacji w chmurze, przy uwzględnieniu szczegółowych wytycznych wynikających z komunikatu;
- Opracowanie udokumentowanego planu przetwarzania informacji w chmurze o minimalnej treści określonej w komunikacie;
- Minimalne wymagania dla przetwarzania informacji w chmurze w zakresie środków technicznych i zasobów organizacyjnych;
- Minimalne wymagania w zakresie umowy z dostawcą chmury obliczeniowej m. in. podział odpowiedzialności w odniesieniu do bezpieczeństwa przetwarzania informacji, wskazanie lokalizacji przetwarzania informacji czy też precyzyjne wskazanie poddostawców;
- Wymagania dla dostawców usług chmury obliczeniowej, n. in. w zakresie spełnianych norm technicznych;
- Zasady przetwarzania informacji w chmurze, m.in. szyfrowanie jako zasada przy zastosowaniu określonych przez KNF zasad kryptografii.
Pełna wersja komunikatu dostępna jest na stronie Komisji: https://www.knf.gov.pl/o_nas/komunikaty?articleId=68670&p_id=18