poniedziałek, Lipiec 6

ESMA: Chmura w firmie inwestycyjne lub banku na “nowych zasadach”​, czyli projekt Guidelines on Outsourcing to Cloud Service Providers

Google+ Pinterest LinkedIn Tumblr +

Wczoraj Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikował projekt Wytycznych w sprawie outsourcingu do dostawców chmury obliczeniowej otwierając tym samym puszkę… konsultacje, które potrwają do 1 września. Projekt wytycznych ma bardzo przejrzystą strukturę, co znacznie ułatwia przygotowanie się do wykorzystania chmury w ramach outsourcingu inwestycyjnego. To na co warto zwrócić uwagę to podkreślenie przez ESMA, że powszechne wykorzystanie chmury powiązane z ryzykiem koncentracji może stanowić pewne zagrożenie dla stabilności finansowej (to temat, który poruszyła Komisja przy okazji publikacji Strategii dla danych, o której pisałem tutaj). Przejdźmy szybko przez najważniejsze elementy dokumentu. Do czasu wydania finalnych wytycznych omówienie w dużym skrócie. Dzisiaj trzy pierwsze wytyczne, które już dość istotnie różnią się od tego „co widzieliśmy wcześniej”. 

Bardzo pomocna jest lista na początku dokumentu, która zawiera wykaz wszystkich aktów prawnych, które potencjalnie mogą mieć zastosowanie w przypadku korzystania przez określone podmioty z chmury obliczeniowej.

Jeżeli chodzi o zakres podmiotów do których mają mieć zastosowanie wytyczne, to jest on dość szeroki i obejmuje poza firmami inwestycyjnymi oraz bankami, m.in. CCP czy agencje ratingowe.

Ważna definicja

Na plus zasługuje stosunkowo elastyczna definicja usług chmurowych. W projektowanej wersji dokumentu mamy wskazanie, że za chmurę należy uznać (pozwalam sobie na pozostawienie anglojęzycznej wersji, bo inaczej połamię sobie „język”):

„paradigm for enabling network access to a scalable and elastic pool of shareable physical or virtual resources (for example servers, operating systems, networks, software, applications, and storage equipment) with self-service provisioning and administration on- demand”

Od razu widać, że definicja ta nie pokrywa się z podejściem zaprezentowanym przez EBA w wytycznych dotyczących outsourcingu, ale już zbliżona do tej w stanowisku UKNF w sprawie stosowania chmury (zachęcam do przeczytania tego artykułu). Jeżeli chodzi o modele chmury wskazane w projekcie, to mamy standard, tj. chmurę społecznościową, publiczną, prywatną i hybrydową.

No alt text provided for this image

Pozostałe definicje nie odbiegają zasadniczo od tych prezentowanych we wspomnianych wytycznych EBA czy stanowisku UKNF, w szczególności w odniesieniu do funkcji krytycznych czy istotnych.

Wytyczna 1, czyli organizacja i compliance

Ciekawe jest to, że ESMA wymagać chce od firm inwestycyjnych stworzenia i stosowania „data cloud outsourcing strategy”, która ma być oddzielną „polityką”, ale skorelowaną z innymi dokumentami jak np. strategią w zakresie informacji i komunikacji, technologii, bezpieczeństwa informacji i strategią zarządzania ryzykiem operacyjnym oraz wewnętrznymi politykami i procesami. Uff, a więc mamy kolejny dokument do kolekcji, szkoda tylko, że bez bardziej konkretnych wytycznych co do zakresu, ale jak zakładam chodzi o ogólne założenia dotyczące tego gdzie, kiedy i jak podmiot zamierza korzystać z chmury.

ESMA zakłada wymóg wyznaczenia tzw. „outsourcing oversight function”, która ma być przypisana do osoby z personelu wyższego szczebla, która odpowiada bezpośrednio do zarządu i jest odpowiedzialna za zarządzanie ryzykami „chmurowymi”. Wszystko oczywiście z uwzględnieniem zasady proporcjonalności (pewne odstępstwa dla mniejszych podmiotów).

Mamy też risk-based approach i monitoring KPIs czy KTL. Standardowo należy utworzyć rejestr (na wzór tego, o którym „mówią” wytyczne EBA w sprawie outsourcingu). Szczególne wymagania mamy dla umów na chmurę (w kontekście rejestru). Co ciekawe w rejestrze powinny znaleźć się też takie informacje na temat przewidywanego rocznego budżetu (bez VAT!) dla danej umowy.

Wytyczna 2. Due diligence 

No alt text provided for this image

Raczej standard. Najpierw mamy 4-stopniową ocenę czy:

1.     Umowa będzie na funkcje krytyczne/istotne;

2.     Przenalizowane zostały wszystkie ryzyka związane z umową;

3.     Zostało przeprowadzone badanie dostawcy (due diligence) oraz

4.     Nie występuje konflikt interesów.

I tutaj bomba. Jeżeli mamy outsourcing na funkcje krytyczne lub istotne, to zakres dodatkowych ocen i analiz jest dużo szerszy i obejmuje m.in. ocenę stabilności politycznej, bezpieczeństwo i system prawny (w szczególności w zakresie upadłości i egzekucji należności oraz bezpieczeństwa informacji) i to niezależnie czy mówimy o UE czy nie. Mamy też informację odnośnie lokalizacji danych, kwestię podoutsourcingu czy ryzyko koncentracji, ale w odniesieniu do dostawcy usług chmurowych (w ramach grupy i poza nią). To niewątpliwie krok naprzód i jasny sygnał, że takie ryzyko może się zmaterializować.

Z istotnych elementów due diligence warto wymienić konieczność sprawdzenie jak chronione są dane czy jak wyglądają plany awaryjne, w tym sposób kontaktu z usługami wsparcia, ale także wszelkie rozwiązania w zakresie BCP czy DRP. Nie zaszkodzi też dodatkowy audyt.

Wytyczna 3, czyli umowa 

Oczywiście umowa pisemna (to dość dziwne, że ESMA nie dopuszcza formy cyfrowej w odniesieniu do usług cyfrowych, ale pewnie chodzi o bezpieczeństwo. Jako niezwykle istotny element unijny nadzorca wskazuje, że firma powinna mieć jasno określone prawo do wypowiedzenia umowy, jeżeli zachodzi taka konieczność.

No alt text provided for this image

Dla umów na funkcje krytyczne/istotne EMSA przewiduje pewne minimum postanowień, które powinny się tam znaleźć. Nie ma tutaj nic nadzwyczajnego i wykraczającego poza to co już jest np. w stanowisku UKNF w sprawie chmury. Oczywiście nadal najbardziej istotne jest prawo do inspekcji, choć tutaj określono jest szerzej, wskazując, że chodzi m.in. o kontrolę systemów i nośników, a także ksiąg i siedziby (lokalizacji centrów danych).

Pierwsze wrażenia?

Wydaje mi się, że nie wszystkie elementy tam zawarte się “utrzymają” jako nieco nadmiarowe. Niemniej jednak dobrze, że ESMA podjęła się opracowania projektu wytycznych, bo te niewątpliwie są potrzebne. Problemem może być jednak konieczność opracowania dodatkowych rejestrów, polityk i procedur związanych z wykorzystaniem chmury. Z drugiej strony mówimy (myślimy) o szerszym wykorzystaniu chmury w sektorze finansowym, więc może taka przyszłość nas czeka?

Udostępnij.

Zostaw komentarz