Komisja Nadzoru Finansowego opublikowała komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Jak czytam w nadesłanej do redakcji informacji prasowej, podczas przygotowania regulacji uwzględniono opinie zebrane podczas konsultacji środowiskowych.

W komunikacie doprecyzowano wybrane zalecenia opisane w kilku rekomendacjach dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, SKOK-ach, towarzystwach emerytalnych, zakładach ubezpieczeń, funduszach inwestycyjnych itp.

Przeczytajcie także: • Chmury nad chmurą obliczeniową. Stanowisko KNF

Komisja zaznacza, że podmioty nadzorowane, których nie dotyczą powyższe rekomendacje i wytyczne, powinny stosować wprost postanowienia opublikowanego komunikatu.

Dokument jest bardzo obszerny. W całości można się z nim zapoznać tutaj. Po pobieżnej analizie wnioskuję jednak, że w trosce o bezpieczeństwo przetwarzanych przez instytucje finansowe danych w chmurze obliczeniowej, nadzór wprowadza obowiązki informacyjne oraz uszczegóławia procedury oceny ryzyka związanego między innymi z rozproszeniem geograficznym podmiotów świadczących usługi chmurowe oraz dostępem do przetwarzanych informacji przez ich pracowników.

Przeczytajcie także: • KNF znów zapowiada nowe otwarcie na fintech

KNF zwraca uwagę na niekompatybilność systemów, co ogranicza możliwość reagowania przez instytucje finansowe na możliwe awarie. Komisja zapowiada także warsztaty, podczas których wyjaśni zapisane w komunikacie regulacje. Warsztaty przeznaczone będą dla podmiotów nadzorowanych oraz dostawców usług chmury obliczeniowej. Mają się odbyć w miesiącach luty-czerwiec 2020 r.

Komunikat to realizacja jednego z wielu działań zapowiedzianych w "Cyfrowej Agendzie Nadzoru". O strategii tej mogliście przeczytać w tekście KNF przedstawił Cyfrową Agendę Nadzoru. Oto plany na najbliższy okres.