Urząd Komisji Nadzoru Finansowego (UKNF) w dniu 23 stycznia 2020 roku wydał komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument ten dotyczy zatem zakładów ubezpieczeń, agentów i brokerów, którzy korzystają z usług chmury obliczeniowej. Do tego typu usług należy również oprogramowanie Insly. Czym jest chmura obliczeniowa, jakie konsekwencje się z tym wiążą, co należy zmienić w posiadanej dokumentacji – na te pytania znajdziecie Państwo odpowiedź w poniższym artykule.

Dlaczego wydano komunikat?

Na początek nieco historii – wydany komunikat nie jest niczym nowym. Od dnia 23 października 2017 roku obowiązywał poprzedni komunikat UKNF dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej. Wymagał on od podmiotu nadzorowanego m.in. przeprowadzenia kompleksowego oszacowania ryzyka (identyfikacji, analizy, oceny) oraz przygotowania planu postępowania z ryzykiem (w ujęciu norm ISO/IEC 27005:2011 i PN-ISO/IEC 27005:2011) – jeszcze przed wdrożeniem usługi chmurowej. Różnica polega na tym, że poprzedni komunikat nie wymagał udokumentowania podjęcia wszystkich wymaganych kroków, tak jak czyni to nowy komunikat. W praktyce oznacza to więc konieczność stworzenia dokumentacji dotyczącej procesu korzystania z usług chmury obliczeniowej przez podmiot nadzorowany.

Przyczyny wydania nowego komunikatu należy szukać na poziomie Unii Europejskiej. Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) wśród pięciu priorytetów na rok 2020 umieścił bowiem aż cztery związane z nowymi technologiami, tj.:

  • badanie wykorzystania nowych, innowacyjnych technik i technologii do celów regulacyjnych i nadzorczych,

  • monitorowanie rozwoju rynku nowych technologii (w tym Blockchain),

  • cyberodporność rynku ubezpieczeń,

  • rynek ubezpieczeń cybernetycznych.

Czym jest chmura obliczeniowa?

Komunikat definiuje chmurę obliczeniową, jako pulę współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. Jest to nieco inna definicja niż ta przewidziana w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r., poz. 1560 ze zm.), aczkolwiek na potrzeby rynku ubezpieczeń należy stosować definicję z komunikatu.

Zakres zastosowania komunikatu ogranicza się do chmury publicznej lub hybrydowej. Chmura publiczna to zasób udostępniony nieograniczonemu gronu użytkowników, którzy akceptują jej warunki. Przykładem są usługi Google (np. Formularze Google, Google Drive), świadczone właśnie w takim modelu – standardowych i powszechnych funkcjonalności. Przeciwieństwem chmury publicznej jest chmura prywatna – czyli zbudowana w oparciu o własne zasoby, indywidualnie dla danej organizacji. Jest ona najdroższa i najbezpieczniejsza zarazem (komunikat nie dotyczy chmury prywatnej). Istnieje także chmura społecznościowa chmura obliczeniowa dostępna do wyłącznego użytku grupy podmiotów powiązanych kapitałowo lub na mocy wspólnej umowy o współpracy, ze zdefiniowanymi wspólnymi wymaganiami i zasadami m.in. w obszarze zgodności i bezpieczeństwa przetwarzania informacji.

Chmura hybrydowa łączy ww. rodzaje chmur, sprawiając, że możliwa jest migracja danych i zasobów pomiędzy oboma typami zasobów. Jest to bowiem chmura obliczeniowa składająca się z połączenia dwóch lub więcej osobnych chmur obliczeniowych (publicznej, prywatnej, społecznościowej), która poprzez standaryzację użycia lub odpowiednią technologię pozwala na przenoszenie czynności przetwarzania informacji pomiędzy chmurami obliczeniowymi, które ją tworzą. Usługę dostarczaną przez Insly zaliczamy do chmury hybrydowej, więc należy do niej zastosować reguły komunikatu.

Co i kiedy należy dostosować?

Najważniejszym terminem jest w tym zakresie 1 sierpnia 2020 roku. Do tej daty zakłady ubezpieczeń, brokerzy i agenci powinni dostosować się do zaleceń komunikatu. Pamiętać należy przy tym o środkach nadzorczych, jakie możne podjąć KNF w przypadku zignorowania komunikatu.

Na początku należy zadać sobie pytanie, czy w danym przypadku mamy do czynienia z outsourcingiem chmury obliczeniowej, czy z outsourcingiem szczególnym. Rzutować to będzie na dalsze, szczegółowe obowiązki.

Pełna odpowiedzialność w zakresie działań dostosowawczych dostała przerzucona na podmioty nadzorowane. Nie można przy tym wyłączyć odpowiedzialności dostawcy chmury. Dlatego tak ważne jest odpowiednie skonstruowanie umowy z dostawcą usługi chmury obliczeniowej, zawierającej m.in. klarowny podział odpowiedzialności w odniesieniu do bezpieczeństwa przetwarzanych informacji. Przygotowanie takiej umowy powinno być pierwszą z czynności dostosowawczych. Na podstawie umowy i załączonej do niej dokumentów (m.in. SLA, regulaminów, specyfikacji, licencji) i informacji tam zawartych możliwe jest bowiem dokonanie dalszych czynności dostosowawczych.

Kolejne czynności dostosowawcze, które powinien podjąć każdy podmiot nadzorowany objęty zastosowaniem komunikatu to:

  1. przeprowadzenie (udokumentowanego) procesu klasyfikacji i oceny informacji pod kątem dopuszczalności ich przetwarzania w chmurze obliczeniowej (następnie regularnie, lecz nie rzadziej niż raz w roku, należy przeglądać i potwierdzać aktualność stosowanej klasyfikacji i oceny informacji do bieżących warunków swojego działania),

  2. przeprowadzenie (udokumentowanego) procesu szacowania ryzyka (w tym: identyfikacji, analizy oraz oceny zagrożeń, możliwości ich wystąpienia oraz wpływu tego wystąpienia na podmiot nadzorowany),

  3. opracowanie (udokumentowanego) planu przetwarzania informacji w chmurze obliczeniowej, biorąc za podstawę wyniki szacowania ryzyka.

W całym procesie należy wziąć pod uwagę minimalne wymogi techniczne i organizacyjne oraz zasady przetwarzania informacji w chmurze, m.in. w zakresie szyfrowania i monitorowania środowiska przetwarzania informacji. Dodatkowo, na 22 stronach nowego komunikatu znajdują się szczegółowe wymogi dotyczące wskazanych czynności dostosowawczych. Efektem działań podmiotu nadzorowanego powinno być poinformowanie UKNF o przetwarzaniu informacji w chmurze obliczeniowej – na standardowym formularzu, będącym załącznikiem do komunikatu, jednak nie później niż do 1 sierpnia 2020 roku.

Jak więc widać, w obecnych realiach regulacyjnych korzystanie z chmury obliczeniowej (publicznej i hybrydowej) stało się obwarowane wieloma restrykcyjnymi wymogami. Dziś nie wystarczy już deklaracja spełniania wymogów, konieczne staje się udokumentowanie tego procesu na wypadek możliwej kontroli, co pozwoli uniknąć negatywnych konsekwencji dla podmiotu nadzorowanego. Wielość dokumentów, wymogów i regulacji wymaga podejścia kompleksowego, uwzględniającego całokształt przepisów odnoszących się do sektora ubezpieczeniowego. W razie pytań bądź wątpliwości – Kancelaria Radcy Prawnego Tomasz Klemt świadczy kompleksowe wsparcie w zakresie wdrożenia zasad przetwarzania informacji w chmurze obliczeniowej.

 

 

 

Autor:  

r.pr. Tomasz Klemt 

Radca prawny, z wieloletnim doświadczeniem w branży ubezpieczeniowej. Doświadczenie zdobywał m.in. w Departamencie Licencji Ubezpieczeniowych Komisji Nadzoru Finansowego, Wojewódzkim Sądzie Administracyjnym, oraz najlepszych warszawskich kancelariach ubezpieczeniowych, wyróżnionych m.in. w rankingach: The Legal 500, Chambers and Partners oraz Rankingu Kancelarii Prawnych Rzeczpospolita. 

 Członek Katedry Prawa Europejskiego Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, gdzie przygotowuje rozprawę z zakresu nadzoru nad rynkiem finansowym. Absolwent prawa na WPiA Uniwersytetu Warszawskiego oraz finansów i rachunkowości w Szkole Głównej Handlowej w Warszawie, co pozwala mu harmonijnie rozumieć oraz łączyć wymogi prawa i potrzeby biznesowe Klientów. 

W zakładzie ubezpieczeń pełnił funkcję kluczową (wymagającą zgłoszenia do KNF) w zakresie zgodności z prawem (Chief Compliance Officer – CCO), pełnił również funkcję koordynatora współpracy z Ubezpieczeniowym Funduszem Gwarancyjnym. W swojej pracy zawodowej doradzał największym ubezpieczycielom majątkowym i życiowym (m.in. w zakresie OFE, PPK, modeli dystrybucyjnych) oraz dystrybutorom ubezpieczeń (m.in. w zakresie wdrożenia RODO, IDD i ustawy o dystrybucji ubezpieczeń). 

Prowadzi liczne szkolenia skierowane przede wszystkim do podmiotów z branży finansowej: zakładów ubezpieczeń, brokerów i agentów. Przygotowuje pełną dokumentację dotyczącą przetwarzania informacji w chmurze obliczeniowej dla sektora ubezpieczeniowego (zakładów ubezpieczeń, agentów, brokerów). 

 Napisz do autora: t.klemt@kancelariaklemt.pl 

www.kancelariaklemt.pl