niedziela, Grudzień 9

[PORADNIK] Zarządzanie ryzykiem dla dostawców usług płatniczych oraz inne aspekty zapewnienia bezpieczeństwa w świetle PSD2 i wytycznych EBA – cz. 1

Google+ Pinterest LinkedIn Tumblr +

Zapewnienie bezpieczeństwa użytkowników usług płatniczych to obowiązek każdego dostawcy tych usług. Powierzenie wrażliwych danych oraz środków pieniężnych wiąże się bowiem ze znaczącym ryzykiem oszustw ze strony podmiotów trzecich. Dyrektywa PSD, ustawa o usługach płatniczych oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego nakładają szczególne wymogi m.in. w zakresie zarządzania ryzykiem czy wdrażania i utrzymywania planów ciągłości działania, a także raportowania fraudów. Pamiętać jednak należy, że rodzaj i zakres zastosowanych środków powinien być dostosowanych do skali i charakteru działalności dostawcy, a także ryzykowności podejmowanych działań.

Podstawowym obowiązkiem dostawcy jest opracowanie skutecznego ramowego systemu zarządzania ryzykami operacyjnymi i ryzykami dla bezpieczeństwa. Jako system należy rozumieć całokształt podejmowanych działań, w tym tworzenie odpowiednich strategii, procedur i praktyk, ale również wdrażanie odpowiednich rozwiązań infrastrukturalnych, w tym przede wszystkim w obszarze IT. Taki system powinien przynajmniej raz w roku podlegać przeglądowi zarządu instytucji i zatwierdzeniu przez ten organ.

Jak zarządzać ryzykami?

Ogólnym wymogiem jest zapewnienie, że system będzie opierał się na takich środkach bezpieczeństwa, które ograniczają powstawanie ryzyk operacyjnych i bezpieczeństwa oraz powinien być dostosowany do stosowanych zasad w zakresie zarządzania wszystkimi ryzykami w działalności dostawcy.

Taki system musi składać się więc m.in. z odpowiednich procedur i rozwiązań dotyczących zarządzania incydentami, w tym raportowaniu incydentów poważnych czy też procesów pozwalających na dokonywanie bieżącej oceny i aktualizacji procedur w zakresie zarządzania ryzykami i oceny skuteczności tych środków. W praktyce wymaga to wprowadzenia odpowiednich rozwiązań organizacyjnych, w tym w zakresie rozdziału funkcji i przydziału kompetencji w ramach systemu kontroli wewnętrznej. Przyjęte środki powinny zapewniać, że ewentualne “nowe” zagrożenia, które mogą zagrażać dostawcy, są uwzględniane w systemie zarządzania ryzykiem.

A w praktyce? Strategia w zakresie bezpieczeństwa jako punkt wyjścia

Podstawowym dokumentem jest strategia w zakresie bezpieczeństwa, która zawiera szczegółową oceną ryzyka w odniesieniu do każdej z dostępnych usług oraz opis środków kontroli bezpieczeństwa i ograniczania ryzyka. Dokument ma charakter ogólny i jest punktem wyjścia dla rozbudowy całego systemu zarządzania ryzykiem. Pomocna jest tutaj bez wątpienia Rekomendacja KNF w zakresie bezpieczeństwa usług płatniczych. Patrząc przez pryzmat tej rekomendacji w dokumencie należy zwrócić szczególną uwagę na określenie: (i) apetytu na ryzyko instytucji; (ii) roli i obowiązków zaangażowanych jednostek organizacyjnych; oraz (iii) środki zapewniające ochronę danych wrażliwych.

Sam system zarządzania ryzykiem powinien być skonstruowany w taki sposób, aby obejmował wszelkie procedury i systemy rozpoznawania, pomiaru i monitorowania ryzyk, w tym oczywiście ryzyk operacyjnych i bezpieczeństwa. Zastosowane rozwiązania muszą zapewniać, że w przypadku ich wystąpienia dostawca w dalszym ciągu będzie w stanie świadczyć swoje usługi na rzecz użytkowników.

Ze względu na istotność tego systemu rekomendowanym rozwiązaniem jest prowadzenie rejestru dokumentów (wraz z aktualizacjami), które na niego się składają (ważny jest również matrix ryzyk i towarzyszący mu rejestr). Obowiązek prowadzenia takiej ewidencji można powierzyć komórce ds. zarządzania ryzykiem lub Compliance. Bardzo ważne jest również monitorowanie wszelkich zagrożeń, a w przypadku ich wystąpienia i usunięcia, dostawca powinien przeprowadzić niezbędne testy w celu weryfikacji czy konieczne jest podjęcie dodatkowych działań.

Trzy linie obrony

W celu skutecznego zarządzania ryzykami konieczne jest wyodrębnienie w strukturze organizacyjnej (i umieszczenie w regulaminie organizacyjnym) podziału na trzy linie obrony, czyli de facto kontrola zarządcza -> Compliance oraz zarządzanie ryzykiem -> audyt wewnętrzny. Muszą one mieć odpowiednie uprawnienia (dostęp do danych, prawo przeprowadzania kontroli wewnętrznych), zasoby i możliwość raportowania bezpośrednio do zarządu. Ważne jest również zapewnienie odpowiedniego poziomu niezależności.

Dodatkowo konieczne jest zapewnienie, że audyt zewnętrzny powinien być każdorazowo przeprowadzany przez osoby, które posiadają odpowiednią wiedzę i doświadczenie w zakresie płatności i bezpieczeństwa IT.

Bardzo istotne jest również uwzględnienie w obowiązkach komórek zarządzania ryzykiem i/lub Compliance kwestii związanych z zapewnieniem zgodności działań podwykonawców w ramach outsourcingu, np. w oparciu o ustalone Key Performance Indicators. Ma to szczególne znaczenie w przypadku outsourcingu funkcji operacyjnych istotnych (o outsourcingu pisałem tutaj).

Ocena ryzyka

W ramach systemu zarządzania ryzykiem i prawidłowego funkcjonowania trzech linii obrony konieczne jest określenie i aktualizowanie wykazu funkcji biznesowych, kluczowych ról i procesów wspomagających, tak aby możliwe było przypisanie ich do określonych ryzyk operacyjnych i bezpieczeństwa (co ułatwia monitorowanie). Z tym powiązany jest również obowiązek posiadania wykazu zasobów informatycznych i ich powiązania z systemami wewnętrznymi i zewnętrznymi. Wyodrębnieniu podlegają funkcje biznesowe, procesy wspomagające i zasoby informatyczne, które mają kluczowe znaczenie dla działalności dostawcy.

Prawidłowe przeciwdziałanie ryzykom w działalności dostawcy usług płatniczych jest uzależnione od efektywnego monitorowania zagrożeń i przygotowania, np. poprzez weryfikację określonych scenariuszy zdarzeń. Wnioski wyciągnięte z przeprowadzanych testów (wraz z podjętymi działaniami) są co najmniej raz w roku przekazywane KNF, ale o tym więcej w drugiej części artykułu. Jeżeli jednak dojdzie do identyfikacji określonych ryzyk i niedostosowania sytemu do tych ryzyk, to na dostawcy ciąży obowiązek niezwłocznego dostosowania środków bezpieczeństwa.

To tyle w tej części artykułu. W kolejnym wydaniu odniosę się m.in. do tematyki ochrony, stosowanych środków bezpieczeństwa, w tym kontroli dostępu, a także problematyki zapewnienia ciągłości działania.

Udostępnij.

Zostaw komentarz