Już w dniach 15-16.06.2023 r. odbędzie się warsztat on-line, organizowany przez MMC Polska na temat problematyki rozwiązań chmurowych i outsourcingu w sektorze finansowym. Link do zapisów na event:

https://mmcpolska.pl/kalendarz-wydarzen/chmura-i-outsourcing-w-sektorze-finansowym-regulacje-prawne-i-praktyczne-problemy

Poniżej przedstawiamy najistotniejsze kwestie dotyczące tej tematyki, które w rozwiniętej wersji zostaną przedstawione podczas czerwcowego wydarzenia.

Outsourcing w instytucji finansowej - jak prawidłowo nim zarządzać?

Outsourcing usług niesie za sobą wiele korzyści, takich jak redukcja kosztów, dostęp do wyspecjalizowanej wiedzy oraz zwiększenie efektywności operacyjnej. Jednak odpowiednie zarządzanie tymi procesami jest niezwykle istotne, bo pozwala uniknąć potencjalnych zagrożeń dla bezpieczeństwa, zgodności oraz jakości usług. Kluczowe kwestie, jakie należy wziąć pod uwagę pod kątem zarządzania outsourcingiem w sektorze finansowym to m.in.:

• Wybór dostawcy - należy upewnić się, że firma outsourcingowa ma odpowiednie doświadczenie w branży finansowej, sprawdzone referencje i zachowuje najwyższe standardy jakości. Odpowiednia due diligence to klucz do uniknięcia ryzyka operacyjnego i reputacyjnego;
• Zawierane z dostawcami umowy SLA (Service Level Agreement) powinny określać wyraźne cele, oczekiwania oraz kryteria oceny współpracy. Dokumenty muszą obejmować również procedury w przypadku naruszenia zasad bezpieczeństwa, zgodności i kwestie ewentualnego zadośćuczynienia;
• Kwestia bezpieczeństwa danych - dostawca musi stosować odpowiednie środki bezpieczeństwa do ochrony poufnych danych finansowych oraz przestrzegać przepisów dotyczących ich prywatności;
• Zgodność regulacyjna: outsourcing nie zwalnia instytucji finansowej z odpowiedzialności za przestrzeganie przepisów. Należy upewnić się, że dostawca również się do nich stosuje;
• Komunikacja i monitoring: niezwykle istotna podczas współpracy z dostawcą outsourcingowym jest stała komunikacja, śledzenie postępów i realizacji założonych celów. Warto określić kluczowe KPI, które pozwolą ocenić efektywność i identyfikować ewentualne obszary do poprawy;
• Podczas wdrażania outsourcingu należy opracować plan zarządzania ryzykiem, obejmujący identyfikację potencjalnych zagrożeń, ocenę ich prawdopodobieństwa oraz opracowanie środków zaradczych;

Odpowiednie zarządzanie outsourcingiem usług IT w sektorze finansowym jest kluczowe dla osiągnięcia korzyści z tego procesu, a jednocześnie minimalizacji potencjalnych ryzyk.

Wyzwania związane z wdrożeniami chmurowymi

Wdrożenie chmury w sektorze finansowym to wyzwanie, wymagające uwzględnienia aspektów bezpieczeństwa danych, zgodności z przepisami, zarządzania ryzykiem, kontroli nad danymi i infrastrukturą IT oraz struktury kosztów. Kluczowe jest zabezpieczanie i szyfrowanie danych wrażliwych, takich jak informacje klientów czy dane finansowe.

Zgodność z przepisami jest konieczna, a dostawcy chmurowi powinni wykazywać się wiedzą i doświadczeniem w tym zakresie. Instytucje finansowe muszą monitorować i kontrolować działania dostawców chmurowych, aby upewnić się o zgodności z obowiązującymi regulacjami.

Zarządzanie ryzykiem to kolejny ważny aspekt, obejmujący analizę ryzyka, opracowanie planów awaryjnych i strategii zarządzania ryzykiem, by zapewnić ciągłość działania. Należy dokładnie zbadać dostawców usług chmurowych, opracować strategie zarządzania dostępem do danych oraz monitorować infrastrukturę.

Wdrożenie chmury może wpłynąć na strukturę kosztów, jednak prawidłowo przeanalizowany model płatności za usługi chmurowe i dostosowany budżet pozwolą na osiągnięcie korzyści. Pomimo wyzwań, odpowiednio wdrożone rozwiązania chmurowe przynoszą większą elastyczność, efektywność operacyjną i konkurencyjność dla instytucji finansowych.

Wytyczne EBA i KNF, Komunikat Chmurowy KNF

Europejski Urząd Nadzoru Bankowego (EBA) oraz Komisja Nadzoru Finansowego (KNF) wydały wytyczne dotyczące outsourcingu w instytucjach finansowych, aby zapewnić bezpieczeństwo, stabilność i odpowiedni poziom zarządzania ryzykiem w tym sektorze. Wytyczne poszczególnych instytucji odnoszą się do stworzenia swoistej polityki outsourcingu dla konkretnej instytucji, procesów due diligence, umów i SLA, zarządzania ryzykiem, monitorowania i kontroli czy nacisku na większą komunikację z organami nadzorczymi.

Komunikat chmurowy KNF

Komunikat chmurowy KNF dotyczy stosowania usług chmurowych przez podmioty nadzorowane. KNF zaleca, aby instytucje finansowe stosowały się do wytycznych EBA dotyczących outsourcingu, a także dodatkowo uwzględniały wytyczne KNF odnoszące się do wdrożenia usług chmurowych. Wskazówki te obejmują między innymi aspekty takie, jak: ocena ryzyka, zawieranie umów z dostawcami chmurowymi, monitorowanie i kontrola usług, zgodność z przepisami o ochronie danych, a także planowanie awaryjne i ciągłość działania.

Czy Pani zdaniem, polskie instytucje finansowe są w tej chwili już odpowiednio przygotowane na dostosowanie się do wytycznych poszczególnych instytucji?

Powierzanie czynności zewnętrznym dostawcom w niektórych aspektach nadal stanowi wyzwanie dla podmiotów nadzorowanych. Jednym z nich jest kwalifikacja powierzonych czynności. W praktyce obrotu można zaobserwować wiele przykładów, w których podmioty nadzorowane wręcz „nadmiarowo” uznają dany proces powierzenia zewnętrznemu dostawcy za podlegający reżimowi outsourcingu, z pominięciem np. wyłączeń z white list na gruncie Wytycznych EBA w sprawie outsourcingu. Wynika to z pewnego automatyzmu pokutującego w sektorze bankowym, iż każda umowa z zewnętrznym dostawcą, zawierająca element ujawnienia informacji stanowiących tajemnicę bankową winna być kwalifikowana jako powierzenie wykonywania czynności na zasadzie outsourcingu. Dodatkowym wyzwaniem jest kwestia dopuszczalności podoutsourcingu, w tym oceny czy podpowierzenie ma charakter pomocniczy wobec działalności głównego insourcera. To są w zasadzie kwestie, które od kilkunastu lat nie doczekały się wyjaśnienia, pomimo ich fundamentalnego znaczenia z perspektywy podmiotów nadzorowanych. Należy podkreślić, że w świetle coraz bardziej popularnych na rynku finansowym (w tym polskim) modeli embedded finance, outsourcing staje się jednym z decydujących procesów, bez którego nie byłby możliwy rozwój nowych produktów i usług finansowych. - ocenia Marta Dzieciuch, Attorney-at-law, Senior Associate, DLK Legal Korus.

Outsourcing chmurowy po DORA - wymogi regulatorów a praktyka

DORA (Digital Operational Resilience Act) to unijne rozporządzenie mające na celu wzmocnienie cyberbezpieczeństwa i odporności operacyjnej instytucji finansowych. Po jego wprowadzeniu, outsourcing chmurowy będzie musiał spełniać dodatkowe wymogi w zakresie zarządzania ryzykiem, zgodności i ciągłości działania. DORA wpłynie na wzmocnienie zarządzania ryzykiem, wprowadzi jednolite ramy regulacyjne dla wszystkich państw członkowskich UE oraz wymóg regularnego testowania i oceny usług chmurowych (chodzi tu chociażby o testy penetracyjne czy ocenę ryzyka) czy postawi na większe wymogi w zakresie komunikacji z organami nadzorczymi.

W praktyce wprowadzenie DORA spowoduje, że instytucje finansowe będą musiały dokładniej analizować swoje stosunki z dostawcami usług chmurowych, a także wzmocnić swoje procedury zarządzania ryzykiem, zgodności i ciągłości działania. Chociaż wprowadzenie nowych regulacji może początkowo wywołać dodatkowe obciążenie dla instytucji, ostatecznie powinno to przyczynić się do zwiększenia bezpieczeństwa, stabilności i zaufania w sektorze finansowym.

Co Pani zdaniem jest najistotniejsze, jeśli chodzi o wybór właściwego dostawcy usług chmurowych? Na co należy zwrócić szczególną uwagę?

W wyborze dostawcy usług chmurowych najistotniejszym jest zweryfikowanie czy dostawca spełnia minimalne wymagania z zakresu bezpieczeństwa informacji, jak i zarządzania ciągłością działania. Niejednokrotnie bowiem dostawcy usług chmurowych nie są w stanie wykazać spełniania podstawowych wymagań technicznych i organizacyjnych, np. poprzez zgodność z odnośnymi normami ISO. Compliance działania dostawcy usług chmurowych w tych obszarach minimalizuje ryzyko ujawnienia informacji prawnie chronionych przetwarzanych w chmurze obliczeniowej, jak również pozwala zapewnić nieprzerwane świadczenie usług (dzięki odpowiednim Business Continuity Plans), co jest szczególnie istotne z perspektywy oceny ryzyka nawiązania współpracy z danym dostawcą. Ważnym elementem procesu weryfikacji dostawcy chmurowego jest także ustalenie lokalizacji centrum przetwarzania danych (na terenie EOG czy poza EOG), jak również ustalenie czy i w jakim zakresie dostawca zamierza korzystać z poddostawców. Powyższe będzie mieć istotne przełożenie na planowanie projektu chmurowego, szczególnie w przypadku banków, ponieważ harmonogram projektu powinien uwzględniać uzyskanie zezwolenia UKNF (np. jeśli dostawca będzie miał siedzibę poza EOG), jak również ocenę dopuszczalności tzw. łańcuchowego podoutsourcingu. - mówi Marta Dzieciuch, Attorney-at-law, Senior Associate, DLK Legal Korus.