Jest już ubezpieczeniowy odpowiednik Polish Cloud. Standard pomoże sprostać wymogom KNF co do przetwarzania danych w chmurze

Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej jest już do pobrania ze strony PIU

Polska Izba Ubezpieczeń poinformowała o zakończeniu prac nad opracowaniem standardu chmury dla branży ubezpieczeniowej. Dokument jest już dostępny na stronie PIU. O rozpoczęciu prac nad tym opracowaniem mogliście przeczytać w serwisie cashless.pl we wrześniu zeszłego roku w tekście: Nie tylko banki, ale i ubezpieczyciele będą mieli swój standard chmury ubezpieczeniowej. Startują prace pod auspicjami PIU.

Przeczytajcie także: • PKO BP chce być hurtownią ubezpieczeniową

Standard to zbiór zasad dotyczących przygotowania i przeprowadzenia skutecznego wdrożenia chmury, z uwzględnieniem wymagań prawnych oraz nadzorczych. Jest odpowiedzią na wytyczne z komunikatu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z dnia 23 stycznia 2020 roku. W przygotowanym pod auspicjami PIU dokumencie sprecyzowano m.in., na co zakład musi zwrócić uwagę przy korzystaniu z cloud computingu, jakie zadania, procedury, procesy i analizy powinien przeprowadzić i udokumentować pod kątem przygotowania organizacji do działania w sferze usług chmurowych w odniesieniu do regulacji. Podobne opracowanie dla sektora bankowego opublikował w marcu zeszłego roku ZBP.

W pracach nad standardem brało udział 27 podmiotów, w tym przedstawiciele zakładów ubezpieczeń i dostawcy technologii. Działania prowadzono pod auspicjami PIU i we współpracy z Polską Izbą Informatyki i Telekomunikacji. Za koordynację prac w ramach grupy roboczej odpowiadała firma Accenture, a od strony prawnej wsparcie zapewniły kancelarie Maruta Wachta oraz Traple Konarski Podrecki i Wspólnicy.

Przeczytajcie także: • W Link4 sztuczna inteligencja weryfikuje zdjęcia przy zawieraniu AC

Przy okazji publikacji standardu PIU zwraca uwagę, że Komisja Europejska pracuje nad utworzeniem europejskiego sojuszu na rzecz danych przemysłowych i chmury. W jego ramach zaplanowano wspólne inwestycje w transgraniczną infrastrukturę oraz usługi chmurowe, a także ujednolicenie ram przepisów dotyczących chmury w postaci EU Cloud Rulebook. Unijne inicjatywy związane z chmurą obliczeniową dotyczą także m.in. swobodnego przepływu danych nieosobowych oraz ich przenoszenia i ochrony, certyfikacji dostawców usług chmurowych oraz ustandaryzowanych umów o poziomie usług w chmurze.

Ubezpieczyciele muszą także pamiętać o regulacji DORA, która będzie wymagała od nich monitorowania relacji z zewnętrznymi dostawcami technologii informacyjno-telekomunikacyjnych (ICT) oraz dokumentowania ryzyka ICT. Przepisy DORA mogą wypłynąć na finalny kształt wypracowanego właśnie standardu chmury obliczeniowej dla polskiej branży ubezpieczeniowej.

Okiem eksperta

Początkowo z opracowaniem standardu chcieliśmy zdążyć przed wyznaczonym przez KNF na 1 listopada terminem na dostosowanie się do wytycznych związanych z korzystaniem z usług w chmurze obliczeniowej. W toku prac uznaliśmy jednak, że stawiamy na jakość dokumentu, który ma być opracowaniem możliwie jak najbardziej kompleksowym i wyczerpującym wszystkie zagadnienia, co do których ubezpieczyciele mieli wątpliwości. Tym bardziej że poszczególne zakłady w różnym stopniu sięgają po chmurę – jedne korzystają tylko z narzędzi typu poczta czy programy do wideokonferencji, inne przeniosły do niej swoją infrastrukturę np. w zakresie obsługi klienta. Ryzyka są inne, inne informacje, inne dokumenty zakłady muszą przygotować. Staraliśmy się więc uwzględnić potrzeby różnych interesariuszy. A wydłużenie czasu prac pozwoliło zderzyć poszczególne wytyczne z praktyką zakładów, które mierzyły się z wątpliwościami podczas przygotowywania pierwszych zgłoszeń do KNF-u i o tych wątpliwościach opowiadały na spotkaniach zespołu pracującego nad standardem.

Dzięki uprzejmości ZBP sięgnęliśmy do wzorca standardu wypracowanego dla bankowości, czyli Polish Cloud, tak aby łatwo było zestawić podejścia różnych branż sektora finansowego. W naszym standardzie znalazły się więc komentarze do poszczególnych części komunikatu KNF-u, a jego zapisy zostały skonsultowane z nadzorcą.

Głównym celem standardu było rozwianie niepewności i sprawienie, aby cały rynek patrzył na wymagania KNF-u w jednakowy sposób, m.in. w zakresie analizy ryzyk związanych z przetwarzaniem danych w chmurze, analizy informacji podlegającym obostrzeniom, analizy dostawców czy zgłoszeń kierowanych do nadzoru. Sytuacja, w której podobne zakłady stosują różne podejście do tych kwestii, jest bowiem bardzo niekorzystna i z punktu widzenia rynku, i z perspektywy samego nadzorcy.

Jako przykład może posłużyć rozstrzygnięcie, jak zakład ubezpieczeń powinien postępować w sytuacji, gdy współpracuje z innym podmiotem, który sam korzysta z chmury, np. fintechem. Uznaliśmy, że na etapie analizy i szacowania ryzyk ubezpieczyciel musi sięgnąć do faktycznego dostawcy usług chmurowych, nawet jeśli nie ma z nim relacji umownej.

Inny przykładem wytycznej, która wzbudzała wiele pytań, jest obowiązek cyklicznego wykonywania testów usług chmurowych, w tym m.in. testów wyjścia z określonej usługi. Mając na uwadze wielość i różnorodność rozwiązań chmurowych, to, że dotyczą różnych informacji i są wdrażane w różnych obszarach, trudno traktować je wszystkie w ten sam sposób. Tym bardziej że przeprowadzanie testów wiąże się z wyzwaniami organizacyjnymi i kosztowymi. Wydaje się, że w standardzie udało nam się wypracować rozwiązanie kompromisowe, które pomoże ubezpieczycielom w adekwatnym stosowaniu wytycznych nadzoru.

Mariusz Kuna

analityk PIU, szef działu Zarządzania Informacją Ubezpieczeniową w PIU

Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej jest już do pobrania ze strony PIU

Okiem eksperta

Inne artykuły tego autora

Zapisz się do newslettera