Zmiany przepisów ułatwiają outsourcing IT
- Adam Jadczak,
- 20.12.2011, godz. 21:36
Polskie realia chmury obliczeniowej
A jak to dziś wygląda w Polsce? Kancelaria Bird & Bird opracowała dla Związku Banków Polskich raport "Cloud Computing w sektorze finansowym - regulacje i standardy". "Dotychczas nie ma w Polsce przepisów ani urzędowych interpretacji, czy zaleceń odnoszących się bezpośrednio do przetwarzania chmurowego. Istnieją natomiast normy regulujące powierzanie przetwarzania informacji oraz outsourcing. Stąd w tym dokumencie staramy się interpretować istniejące regulacje pod kątem tego, jakie tworzą uwarunkowania dla przetwarzania w chmurze" - mówi Maciej Gawroński, pod redakcją którego powstał raport. Raport miał premierę 16 listopada 2011 r. na konferencji IT@Bank 2011 a ponadto został również zaprezentowany w Brukseli na wyżej wspomnianej konferencji w Parlamencie Europejskim. Jest on dostępny na stronach internetowych Związku Banków Polskich i Bird & Bird.
W przypadku, gdy do chmury miałaby zostać przeniesiona czynność krytyczna - regulacje zobowiązują zarówno klienta, jak i dostawcę usługi do zwrócenia uwagi na takie kwestie:
- odpowiedzialność - brak ograniczenia odpowiedzialności dostawcy za szkodę w niektórych sektorach (bankowość, fundusze inwestycyjne);
- bezpieczeństwo informacji - regulatorzy oczekują, aby instytucja finansowa znała i kontrolowała swoje ryzyko operacyjne;
- ciągłość działania - rozumiana jako jeden z aspektów bezpieczeństwa informacji;
- monitorowanie ryzyka - wiedza o tym, jakie jest rzeczywiste ryzyko związane z korzystaniem z usług podmiotu zewnętrznego.
Zobacz również:
- Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24
- Nvidia odtworzyła całą planetę. Teraz wykorzysta jej cyfrowego bliźniaka do dokładnego prognozowania pogody
- Sprzedaż zarządzanych usług IT jest coraz bardziej opłacalna
Po pierwsze, prawo nadzoru nad danymi powinno być rozumiane w ten sposób, że właściciel informacji wybierając dostawcę chmury dokonuje wyboru sposobu przetwarzania danych w chmurze. Ten wybór byłby oparty na tym, że właściciel informacji może skorzystać z usługi o określonych standardowych parametrach i może w każdym czasie z niej zrezygnować - nie może jednak modyfikować usługi czy dostosowywać jej do swoich indywidualnych potrzeb. Po drugie, nadzór i audyt mógłby być dokonywany za pośrednictwem odpowiednich certyfikowanych podmiotów trzecich.
Kolejnym zagadnieniem jest wymóg, aby właściciel danych miał każdorazowo świadomość tego, gdzie znajdują się dane a także kto przetwarza dane w imieniu ich właściciela. Z perspektywy praktycznej rozwiązaniem mogłoby być konkretne określenie podmiotów, które mogą przetwarzać dane, a także lokalizacji, w których dane mogą być przetwarzane. Jeśli byłoby to potrzebne w konkretnym przypadku, możliwe byłoby zlokalizowanie konkretnego miejsca przetwarzania danych oraz podmiotu przetwarzającego. Natomiast z perspektywy bezpieczeństwa danych nie ma potrzeby, aby właściciel danych permanentnie śledził dane lub miał wiedzę o ich położeniu w danej chwili.
Ogłoszona na wiosnę 2012 r. przez Komisję Europejską Strategia Przetwarzania Danych w Chmurze będzie polegała na zmianach i harmonizacji prawa, które upowszechnią cloud computing we wszystkich krajach Unii Europejskiej.
"Wydaje się, że przechodzenie do chmury będzie następować. Już w tej chwili duża część najpopularniejszych usług konsumenckich świadczona jest z wykorzystaniem chmur obliczeniowych. Wygoda dla konsumenta z tym związana powoduje, że procesu tego w obszarze B2C raczej nie da się zatrzymać. W obszarze B2B proces jest wolniejszy - bardziej kontrolowany administracyjnie i z większą odpowiedzialnością traktowany przez potencjalnych klientów" - podsumowuje Maciej Gawroński.