Bankowość

Z głową w chmurach, czyli Polish Cloud jest live!

Michał Nowakowski

PolishCloud to nowy standard wdrożenia chmury obliczeniowej w sektorze bankowym. Standard został opracowany przez grupę przy Związku Banków Polskich i dużym wsparciu sektora. Dokument stanowi swoistą „interpretację” komunikatu KNF w sprawie chmury obliczeniowej w sektorze finansowym (więcej tutaj) oraz stanowi bardzo dobry „samouczek” jej wykorzystania w banku (za niezwykle cenne uznaję przykład „standardowych” klauzul umownych). Przyjrzałem się dokumentów i mam pewne sugestie co do jego „czytania” (schematu). Zaczynamy pierwszą część!

Założeniem autorów było stworzenie uniwersalnej kompilacji wymogów dla banków, które zamierzają wykorzystywać usługi chmurowe. W dokumencie mamy wyraźne wskazanie, że nie znajduje on zastosowania do podmiotów innych niż banki, choć warto podkreślić, że wiele z interpretacji ma charakter „systemowy”. Prawidłowe spełnienie wymogów tam wskazanych powinno w znacznym stopniu przyczynić się do spełnienia wszystkich wymogów komunikatu KNF. Oczywiście należy pamiętać, że wiele zależy od jakości dokumentów oraz przede wszystkim samego wdrożenia określonych wymogów.

Od początku

No alt text provided for this image

Czytanie dokumentu zacząłbym wcale nie od pierwszych stron standardu a załącznika 8  – Kroki wdrożenia usługi przetwarzania danych w chmurze obliczeniowej w bankowości (str. 65). Autorzy wyodrębnili tutaj kluczowe elementy całego procesu. Są nimi:

1.     Zidentyfikowanie potrzeby biznesowej (może chmura nie jest dla nas?);

2.     Wstępna ocena pod kątem możliwości realizacji potrzeby w usłudze chmurowej (m.in. analiza SWOT, ale również weryfikacja pod kątem strategii, w tym strategii ICT);

3.     Punkt decyzyjny/decyzja o dopuszczalności wdrożenia rozwiązania chmurowego;

4.     Opracowanie wymagań – outsourcing nadzorowany (kolejna definicja?), którego efektem będzie sformalizowany opis wymagań;

5.     Opracowanie i dystrybucja zapytania ofertowego;

6.     Ocena ryzyka związanego z usługą chmurową – to ważny element procesu zarządzania ryzykiem;

7.     Ocena oferty i akceptacja oferty;

8.     Podpisanie umowy (o umowach pisałem m.in. tutaj);

9.     Wdrożenie przedprodukcyjne – konfiguracja usługi;

10.  Zgłoszenie do KNF (opisane przeze mnie tutaj – w standardzie str. 32);

11.  Migracja danych produkcyjnych do usługi chmurowej;

12.  Uruchomienie produkcyjne.

W kontekście punktów 1-3 warto wrócić również do Rozdziału 6 Standardu, w którym znajdziemy cenne wskazówki co do interpretacji przepisów prawa bankowego. Autorzy wyraźnie wskazują tutaj, że na dzień dzisiejszych outsourcing chmury obliczeniowej zawsze będzie outsourcingiem bankowym w rozumieniu art. 6a Prawa bankowego, o ile dochodzi do przetwarzania tajemnicy bankowej (czy przy pseudonimizacji również – więcej o pseudonimizacji tutaj).

Weryfikacja podstawowych wymogów

No alt text provided for this image

W kolejnym kroku sięgnąłbym do wytycznych z rozdziału V, w szczególności tych w zakresie minimalnych wymagań dla przetwarzania informacji w chmurze (pkt 5.4.VII). Pozwoli to na właściwą ocenę zasobów własnych, w tym osobowych i infrastrukturalnych dla możliwości zastosowania rozwiązań chmurowych. Oczywiście alternatywą jest przeprowadzenie uprzedniej analizy ryzyka przetwarzania w chmurze, ale w zasadzie bez tego punktu trudno mówić o pełnej analizie. Całość powinna być oczywiście poprzedzona analizą biznesową.

Ważnym punktem będzie tutaj wyraźne określenie ról poszczególnych osób w ramach organizacji. Autorzy prezentują tutaj przykładową listę takich ról do których należy m.in.:

1.     Architekt;

2.     Inżynier bezpieczeństwa;

3.     Developer;

4.     Administrator;

5.     Opiekun biznesowy usługi;

6.     Kontroler finansowy.

Tutaj od razu uwaga. Należy wdrożyć odpowiednie rozwiązania organizacyjne (w tym opracowania regulaminy i procedury), które odzwierciedlą cały schemat przepływu informacji i kompetencji oraz zasad eskalacji.

I jeżeli nas „stać”… 

Powinniśmy przejść do analizy ryzyka, czyli pkt 5.3.VI. Autorzy Standardu rekomendują tutaj m.in. opracowanie dwóch dokumentów:

1.     Procesu klasyfikacji i oceny ryzyka pod kątem dopuszczalności przetwarzania w chmurze oraz

2.     Wyniku oceny ryzyka, który zawierać będzie również plan działania ze zidentyfikowanymi ryzykami.

No alt text provided for this image

W ramach tego etapu konieczne będzie udokumentowanie (zgodnie z wymogami Komunikatu KNF) spełnienia szeregu wymagań, m.in. w zakresie dostępności CPD (Centrum Przetwarzania Danych) czy mechanizmów kontroli wewnętrznej, jak i samych dostawców. Jest to proces, który oprzeć można o istniejące mechanizmy zarządzania ryzykami (operacyjnymi) funkcjonującymi w banku z uwzględnieniem specyfiki chmury.

Warto oczywiście pamiętać, że na tym etapie powinniśmy już mieć świadomość jakie informacje będziemy przetwarzać w chmurze i w odpowiedni sposób je sklasyfikować.

A w kolejnym kroku… 

O tym już w kolejnej części. Przeanalizujemy m.in. katalog standardowych klauzul z dostawcami oraz przejdziemy przez wytyczne do klasyfikacji i oceny informacji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *