Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Zmiany przepisów ułatwiają outsourcing IT

Zmiany przepisów ułatwiają outsourcing IT

Polskie realia chmury obliczeniowej

A jak to dziś wygląda w Polsce? Kancelaria Bird & Bird opracowała dla Związku Banków Polskich raport "Cloud Computing w sektorze finansowym - regulacje i standardy". "Dotychczas nie ma w Polsce przepisów ani urzędowych interpretacji, czy zaleceń odnoszących się bezpośrednio do przetwarzania chmurowego. Istnieją natomiast normy regulujące powierzanie przetwarzania informacji oraz outsourcing. Stąd w tym dokumencie staramy się interpretować istniejące regulacje pod kątem tego, jakie tworzą uwarunkowania dla przetwarzania w chmurze" - mówi Maciej Gawroński, pod redakcją którego powstał raport. Raport miał premierę 16 listopada 2011 r. na konferencji IT@Bank 2011 a ponadto został również zaprezentowany w Brukseli na wyżej wspomnianej konferencji w Parlamencie Europejskim. Jest on dostępny na stronach internetowych Związku Banków Polskich i Bird & Bird.

Cloud computing a systemy krytyczne

W przypadku, gdy do chmury miałaby zostać przeniesiona czynność krytyczna - regulacje zobowiązują zarówno klienta, jak i dostawcę usługi do zwrócenia uwagi na takie kwestie:

  • odpowiedzialność - brak ograniczenia odpowiedzialności dostawcy za szkodę w niektórych sektorach (bankowość, fundusze inwestycyjne);
  • bezpieczeństwo informacji - regulatorzy oczekują, aby instytucja finansowa znała i kontrolowała swoje ryzyko operacyjne;
  • ciągłość działania - rozumiana jako jeden z aspektów bezpieczeństwa informacji;
  • monitorowanie ryzyka - wiedza o tym, jakie jest rzeczywiste ryzyko związane z korzystaniem z usług podmiotu zewnętrznego.
Regulacje, które stosują się do przetwarzania chmurowego, to przede wszystkim przepisy o ochronie danych osobowych oraz przepisy dotyczące outsourcingu. Z punktu widzenia ochrony danych osobowych co do zasady cloud computing stanowi powierzenie przetwarzania danych osobowych innemu podmiotowi. Istnieje rozbieżność pomiędzy tradycyjnym, terytorialnym spojrzeniem na ochronę danych osobowych a modelem przetwarzania w chmurze. Organy ochrony danych osobowych wskazują na to, że w kontekście chmury uprawnienia właściciela informacji względem dostawcy chmury, w szczególności uprawnienia do nadzoru nad przetwarzaniem danych (w tym dawania wiążących wytycznych dostawcy chmury, czy możliwością audytu) są iluzoryczne. Rozwiązaniem może być nowe podejście do rozumienia tych uprawnień.

Zobacz również:

Po pierwsze, prawo nadzoru nad danymi powinno być rozumiane w ten sposób, że właściciel informacji wybierając dostawcę chmury dokonuje wyboru sposobu przetwarzania danych w chmurze. Ten wybór byłby oparty na tym, że właściciel informacji może skorzystać z usługi o określonych standardowych parametrach i może w każdym czasie z niej zrezygnować - nie może jednak modyfikować usługi czy dostosowywać jej do swoich indywidualnych potrzeb. Po drugie, nadzór i audyt mógłby być dokonywany za pośrednictwem odpowiednich certyfikowanych podmiotów trzecich.

Kolejnym zagadnieniem jest wymóg, aby właściciel danych miał każdorazowo świadomość tego, gdzie znajdują się dane a także kto przetwarza dane w imieniu ich właściciela. Z perspektywy praktycznej rozwiązaniem mogłoby być konkretne określenie podmiotów, które mogą przetwarzać dane, a także lokalizacji, w których dane mogą być przetwarzane. Jeśli byłoby to potrzebne w konkretnym przypadku, możliwe byłoby zlokalizowanie konkretnego miejsca przetwarzania danych oraz podmiotu przetwarzającego. Natomiast z perspektywy bezpieczeństwa danych nie ma potrzeby, aby właściciel danych permanentnie śledził dane lub miał wiedzę o ich położeniu w danej chwili.

Ogłoszona na wiosnę 2012 r. przez Komisję Europejską Strategia Przetwarzania Danych w Chmurze będzie polegała na zmianach i harmonizacji prawa, które upowszechnią cloud computing we wszystkich krajach Unii Europejskiej.

Regulacje sektora finansowego dotyczące powierzania czynności na zewnątrz zwracają przede wszystkim uwagę na to, czy dana czynność lub proces, które mają być wydzielone na zewnątrz, są dla organizacji krytyczne. Za takie uważa się w szczególności czynności związane z dostępem do informacji prawnie chronionej ale także i inne, których zakłócenie naruszyłoby zdolność świadczenia przez instytucję finansową usług swoim klientom. Przy tym, podobnie jak w przypadku ochrony danych osobowych, Unia Europejska z dużo większą nieufnością (a co za tym idzie z większym formalizmem) traktuje przetwarzanie danych poza terytorium Europejskiego Obszaru Gospodarczego.

"Wydaje się, że przechodzenie do chmury będzie następować. Już w tej chwili duża część najpopularniejszych usług konsumenckich świadczona jest z wykorzystaniem chmur obliczeniowych. Wygoda dla konsumenta z tym związana powoduje, że procesu tego w obszarze B2C raczej nie da się zatrzymać. W obszarze B2B proces jest wolniejszy - bardziej kontrolowany administracyjnie i z większą odpowiedzialnością traktowany przez potencjalnych klientów" - podsumowuje Maciej Gawroński.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas