ORBIT.cz
      Přihlásit
    Menu

    Category Archives:
    Cloud computing Archivy - Compliance portal

    Domů / Blog / Cloud computing

    Co přinese DORA? Nejvýznamnější poskytovatelé cloudu se dostanou pod dohled orgánů

    Co přinese DORA? Nejvýznamnější poskytovatelé cloudu se dostanou pod dohled orgánů

    Finální podoba DORA (Digital Operational Resilience for the Financial Sector nebo také Digital Operational Resilience Act) má být přijata v roce 2022. Ve světě cloudových služeb pro finanční instituce zavede nařízení několik zajímavých novinek. Podívejme se na .

    Více se dozvíte v novém článku v Encyklopedii cloudu.

    Jan Kubíček

     

    Co přinese DORA? Nejvýznamnější poskytovatelé cloudu se dostanou pod dohled orgánů | Encyklopedie cloudu ORBIT

    Continuous cloud compliance: Aby byl váš cloud stále v bezpečí

    Continuous cloud compliance: Aby byl váš cloud stále v bezpečí

    S narůstajícím počtem provozovaných cloud prostředí a jednotlivých komponent začínají zákazníci řešit palčivé otázky jako například: Je moje prostředí nastavené stále správně? Neudělal jsem někde v konfiguraci chybu? Nejsou mé aplikace zranitelné? Na tyto všechny otázky dokáže odpovědět oblast continuous cloud compliance, potažmo produkty z rodiny cloud security posture management.

    V dnešním článku z Encyklopedie cloudu se tedy soustředíme na to, jak v noci klidně spát.

    Martin Gavanda

     

    3 způsoby, jak v cloudu ošetříte transfer osobních údajů do třetích zemí

    3 ZPŮSOBY, JAK V CLOUDU OŠETŘÍTE TRANSFER OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ

    Jedním z hlavních témat GDPR je kromě ochrany osobních údajů také jejich volný pohyb v rámci států EU a Evropského hospodářského prostoru (EHP).Mezi těmito státy proto nemůžeme transfer osobních údajů zakázat ani omezit s tím, že osobní údaje nejsou dostatečně chráněny. Při transferu do třetích zemí, např. do USA, je však situace složitější – v tomto případě naopak náležitou ochranu osobním údajům zajistit musíme.

    Ukažme si, jak by měly (nejen) finanční instituce správně postupovat.

    Jan Kubíček

     

    Nové standardní smluvní doložky: Jak vám pomohou na cestě „do cloudu“?

    Nové standardní smluvní doložky: Jak vám pomohou na cestě „do cloudu“?

    Pokud využíváte služeb dodavatele, který pro vaši organizaci zpracovává osobní údaje mimo EU, musíte dodržet nemálo povinností – GDPR jich stanovuje opravdu dost. Platí to i při nasazování cloudových řešení a jiných služeb, při kterých osobní údaje „cestují“ přes hranice EU (respektive EHS). Abyste mohli dodavatele mimo EU využívat bez obav, je třeba myslet na adekvátní zabezpečení osobních údajů.

    Ukažme si, jak vám v tom pomohou standardní smluvní doložky.

    Jan Kubíček

     

    Jak se vypořádat s cloud-outsourcing risk analýzou?

    Jak se vypořádat s cloud-outsourcing risk analýzou?

    Jeden z regulatorních požadavků pro přechod do cloudového prostředí je vypracování analýzy rizik (vycházející např. č. 163/2014 Příloha č. 7 a EBA/GL/2019/2).

    Tato komplexní analýza rizik musí zahrnovat všechna relevantní rizika spojená se zamýšleným přechodem do cloudu. V článku vám poradíme, jak si (ne)počínat při jejím zpracování.

    cp

    Přechod do cloudového prostředí představuje vždy přináší nová rizika. Důležité je daná rizika identifikovat, pojmenovat, zohlednit jejich relevanci, ocenit jejich pravděpodobnost a případný dopad, vytvořit preventivní opatření a ohodnotit znovu rizika, která jsou posléze schválena.

    Analýza rizik je středobodem aktivit při migraci do cloudu. Je to činnost, do které vstupují výstupy z jiných oblastí (např. cloudová strategie) a zároveň se identifikují výstupy do jiných oblastí (např. návrh provozních procesů zabezpečení cloudových služeb).

    Jak určitě NE!

    Následující příklady vycházejí z našich zkušeností při tvorbě desítek analýz rizik. Být pionýrem slepých uliček, jak by řekl Cimrman, se tady nevyplatí. Tudy, přátelé, ne!

    Extrémní obezřetnost

    První z nevhodných přístupů je tzv. extrémně obezřetný přístup. Instituce chce řídit a monitorovat rizika, která se svým hodnocením blíží limitně k nule. S takovým přístupem můžeme mít i přes 100 rizik k jednomu cloudovému řešení (náš rekord je 156).

    Při tomto přístupu nemohou být všechna rizika adekvátně řízena, protože se finančně nevyplatí vytvářet preventivní opatření pro každé z nich. Pouze přidáváte práci vlastníkovi analýzy rizik, který ji musí řídit, kontrolovat, reportovat a monitorovat (ideálně na roční bázi). Posléze ho ještě čeká více úsilí při kontrole interním auditem . V praxi je možné řídit maximálně několik málo desítek rizik.

    Přílišná laxnost

    Opačným přístupem je přílišná laxnost, kdy převáží postoj, že tvorba analýzy rizik je pouze nutné administrativní zlo. Nejčastěji se setkáváme s argumentací „však všechno je ve smlouvě podchyceno, riziko není žádné“. V důsledku toho je identifikováno málo heterogenních rizik, která jsou navíc odbyta jedním či dvěma preventivními opatřeními (bez následné kontroly a opakovaného vyhodnocování rizik v průběhu přechodu do cloudu).

    Laxní přístup k tvorbě analýzy rizik je nebezpečnější než přístup extrémně obezřetný. V prvním případě se jedná (pouze) o mnoho zbytečných víceprací , ve druhém případě však nejsou správně řízena a současně ohodnocena rizika.
    K ohodnocenému rizika je nutné zaujmout postoj, který riziko sníží. Jedná se o akceptace rizika, vyhnutí se riziku, jeho převod a vytvoření preventivního opatření. Poslední z postojů se vyžívá nejčastěji, ale pozor na laxnost v rámci identifikace preventivních opatření.

    Preventivní opatření by neměla být zajištěna pouze pomocí smluvních doložek, ty vám totiž nezajistí praktické vykonání preventivního opatření. Pokud přistoupíte k opatřením jen tam, kde lze převést riziko smluvně, ale neuděláte interní nápravná opatření vedoucí k vyhnutí se nebo snížení rizik, budete hořce plakat.

    Jedním z ukázkových příkladů je zajištění business kontinuity managementu a souvisejících plánů kontinuity. Ve smluvním zajištění je oblast standardně smluvně garantována. Pokud však dojde k aktivaci business kontinuity, tak bez procesně-organizačního zajištění není možné plán provést.
    Samotné rozhodnutí o aktivaci business kontinuity vychází z procesního nastavení. Pokud přecházíte na záložní plány ( předpokládáme, že pravidelně testujete a budou zahrnovat i cloudové platformy), tak musíte následovat interní předpisy, které taktéž nejsou obsahem smlouvy.

    Co doporučujeme?

    Legislativní požadavky vymezují extrémní hranice v přístupu k analýzy rizik, čímž současně poskytují velkou míru volnosti, jak postupovat. Abychom byli přesní – jedná se o požadavek proporcionality (EBA/GL/2019/02 – Hlava III, část 5, 33. odstavec).
    Metodika analýzy rizik je v každé instituci odlišná, na základě úspěšně dokončených projektů však obecně doporučujeme následující postup:

    Jedná se o soustavu expertních workshopů. Jejich účastníky vyberte z různých oblastí/oddělení (právní, compliance, IT provoz, IT bezpečnost, business continuity management, outsourcing management, outsourcing manager, DPO, business vlastník, interní kontrola), a vytvořte tak heterogenní skupiny.

    Máme zkušenost, že mezi účastníky budou tzv. brblalové, přistupující k analýze rizik extrémně obezřetně, i tzv. nadšenci, kteří smetávají rizika ze stolu. Laxní přístup eliminujete velkým počtem účastníků, extrémní obezřetnost udržíte pod kontrolou v kroku „deduplikace rizik“, která bývá nejčastěji prováděna rizikovými specialisty.
    Zapojením souvisejících klíčových zaměstnanců zajistíte také lepší povědomí tam, a možných rizicích s tím spojených. Zaručujeme, že po 2–3 opakováních se procesní a časová náročnost zpracování cloud-outsourcingové analýzy rizik výrazně sníží a analýza přinese potřebné výsledky v podobě úspěšného a bezpečného přechodu do cloudu.

    Lenka Syrová

     

     

     

    Cloudová zralost zákazníka

    Cloudová zralost zákazníka

    Nejprve je potřeba zjistit, kde se zákazník a jeho týmy mentálně, procesně a znalostně nacházejí.

    Patříte mezi Rezidenty, Průzkumníky, Hráče, Transformátory nebo Disruptory?

    Kamil Kovář, Business Consultant, ve svém článku popisuje, k čemu je cloudová zralost a jak ji posoudit. Jak se od sebe liší jednotlivé stupně cloudové zralosti zákazníka, co to vlastně je, k čemu je dobrá a jak ji posoudit.

    Jak jsem zralý pro cloud?

    Cloudová zralost zákazníka| Compliance Portal

    Covid-19 vs. Microsoft 365. Jde to dohromady?

    To, že pandemie Covid-19 udeřila vší silou a nejenom finanční instituce nebyly dostatečně připraveny na okamžitý přesun na home-office, je realita, které musí čelit. Jedná se o jedinečnou příležitost implementovat tzv. nový normální normál neboli práci z domova, která plnohodnotně zastoupí práci on-site.

    Covid-19 vs. Microsoft 365 | Compliance portal

     

    Trh, který byl nedávno „modrým oceánem“ se stal exponenciální rychlostí  tzv. červeným oceánem. Požadavky na práci z domova se liší podle velikosti firem, oblasti jejich podnikání nebo technických a finančních možností. Možným řešením je implementace balíčků služeb Microsoft Office 365.

    Náročnost implementace je ovlivněna mnoha faktory. Bohužel neexistuje kouzelný proutek, jehož mávnutím bychom všichni seděli za počítačem a schůzovali virtuálně. Bez ohledu na velikost firmy, počet uživatelů a oblast podnikání firmy se jedná o outsourcingový vztah a využití cloud computing technologie.

    Migrace do Microsoft 365 není jen tak ledajaký cloudový projekt. Většinou se pro danou instituci jedná o největší projekt za desítky let. Prostupuje totiž napříč celou společností, mění způsob spolupráce a kulturu chování. Jestliže platí, že cloudové projekty zvyšují operační rizika, tak při implementaci balíčku služeb Microsoft Office 365 to platí dvojnásob, ne-li trojnásob.

    Microsoft Office 365 nabízí řadu výhod a úspor, na druhou stranu přináší vyšší rizika a compliance požadavky, které firma musí splnit.

    Firma ORBIT implementovala Microsoft Office 365 u mnoho spokojených zákazníků. Naše služby mají jak formu konzultace tak celkové implementace společně s adopční a komunikační kampaní. Pojďme se společně potkat, a to klidně i virtuálně.

     

    Lenka Syrová

    EIOPA vs. Cloud Computing. Co říkají Obecné pokyny?

    Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) identifikoval potřebu vytvořit konkrétní pokyny pro oblast outsourcingu / cloud computingu. Výsledkem jsou „Obecné pokyny k outsourcingu u poskytovatelů cloudových služeb – EIOPA-BoS-20-002“.

    EIOPA vs. Cloud Computing | Compliance portal

     

    Jaký je záměr pokynů?

    • poskytnout účastníkům trhu objasnění a transparentnost a vyhnout se možným regulačním arbitrážím;
    • podporovat sbližování dohledu, pokud jde o očekávání a procesy použitelné v souvislosti s cloud computingem.

     

    EBA/GL/2019/02 vs. EIOPA-BoS-20-002

    Na místě je pochvala autorům, kteří se snažili o nastolení jednotných požadavků. Pokyny na sebe odkazují, formulace jednotlivých doporučení jsou podrobné. Na základě analýzy můžeme konstatovat, že se v pokynech neobjevují významné odchylky. Hlavní rozdíly jsou v podobě odkazů na jiné nadřazené zákony/předpisy (např. Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II).

     

    Důležitá data

    Pokyny se použijí od 1. ledna 2021 na všechna ujednání o externím zajištění cloudových služeb, která byla uzavřena nebo pozměněna k tomuto datu nebo později. Podniky by měly přezkoumat a odpovídajícím způsobem změnit stávající ujednání o externím zajištění cloudových služeb, která se týkají rozhodujících nebo důležitých provozních funkcí nebo činností, a to s cílem zajistit dodržování těchto obecných pokynů do 31. prosince 2022.

    Nebude-li toto přezkoumání dokončeno do 31. prosince 2022, měl by podnik o této skutečnosti informovat svůj orgán dohledu. Aktualizace (v případě potřeby) zásad a vnitřních procesů podniku by měla být provedena do 1. ledna 2021, zatímco požadavky na dokumentaci (související s externím zajištěním cloudových služeb, které se týkají rozhodujících nebo důležitých provozních funkcí nebo činností) by měly být provedeny do 31. prosince 2022.

     

    Dokážeme pomoct?

    Týkají se vás pokyny EIOPA-BoS-20-002? Rádi byste implementovali cloudový projekt v pojišťovně? Pak se na nás neváhejte obrátit.

     

    Základni informace o EIOPA

    Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (European Insurance and Occupational Pensions Authority, EIOPA) byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES.

    Od 1. ledna 2011 přebírá EIOPA veškeré stávající úkoly od Výboru evropských orgánů dohledu v pojišťovnictví a zaměstnaneckých penzích (Committee of European Insurance and Occupational Pensions Supervisors, CEIOPS) a je jí současně přidělena řada nových úkolů. EIOPA má zejména usilovat o:

    • lepší fungování vnitřního trhu, včetně především důkladné, účinné a jednotné úrovně regulace a dohledu,
    • zajištění integrity, průhlednosti, účinnosti a řádného fungování finančních trhů,
    • posílení koordinace dohledu na mezinárodní úrovni,
    • předcházení regulatorní arbitráži a prosazování rovných podmínek hospodářské soutěže,
    • zajištění, aby rizika spojená s pojištěním, zajištěním a zaměstnaneckými penzemi byla vhodně regulována a dohlížena,
    • posílení ochrany spotřebitelů.

    (zdroj: ČNB, 2020)

    Outsourcing vs. Cloud computing – přehledné srovnání

    Existují nějaké compliance rozdíly mezi termíny Outsourcing a Cloud computing? Z regulatorního hlediska je to diskutované téma, jak se na ně tedy dívají české regulace?

    Outsourcing vs. Cloud computing přehledně | Compliance portal

     

    Termín Definice Zdroj
    Outsourcing Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba sama, vykonává povinná osoba prostřednictvím jiné osoby (dále jen „outsourcing“), není tím dotčena odpovědnost povinné osoby“ (Vyhláška č. 163/2014 Sb. Vyhláška č. 163/2014 Sb.
    Outsourcing Externí zajištění služeb nebo činností (outsourcing)” – znamená jakékoli ujednání mezi institucí, platební institucí nebo institucí elektronických peněz a poskytovatelem služeb, na jehož základě dotyčný poskytovatel služeb vykonává proces, službu nebo činnost, které by jinak byly prováděny samotnou institucí, platební institucí nebo institucí elektronických peněz EBA/GL/2019/02
    Cloud computing Cloud Computing rozumí model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu . V právních předpisech finančního trhu se pojem cloud computing nevyskytuje“ Věstník ČNB, 2016
    Cloudové služby Cloudové služby znamenají služby poskytované za použití cloud computingu, což je model, který umožňuje pohodlný síťový přístup kdykoliv a odkudkoliv ke sdílené množině konfigurovatelných výpočetních zdrojů (např. sítím, serverům, úložištím, aplikacím a službám), které lze rychle poskytnout či uvolnit s vynaložením minimálních nároků na jejich správu anebo zásahy ze strany poskytovatele služby. EBA/GL/2019/02

     

    Regulace vnímají Cloud computing jako specifický druh Outsourcingu, z této logiky vychází i compliance požadavky. Požadavky, které jsou uvaleny na cloud computing, jsou přísnější. Poslední dobou se však objevují služby, které využívají cloudové služby a naplňují cloudové prvky, ale nejedná se o outsourcing. Pojem „non-outsoucing cloud“ však není v regulatorním prostředí ještě řádně ukotven.

    Více… »