Jak na auditní požadavky v Microsoft 365? Poradíme

K využívání služeb Microsoft 365 v cloudu je nutné splnit mnoho regulatorních požadavků. V tomto článku se zaměříme na zajištění auditních stop a záznamů logů, které vycházejí mimo jiné např. ze zákona o bankách, z GDPR nebo z EBA/GL/2019/02.

Jak na auditní požadavky Microsoft 365? | Compliance Portal ORBIT

 

Auditní nástroje Microsoft 365 

Všechny nástroje, které nabízí platforma Microsoft 365, poskytují podporu pro zajištění auditních stop a záznamů logů. Rozdělme si je podle funkčnosti na basic auditing a advanced audit 

Basic auditing umožňuje nativně uchovávat logy po dobu až 90 dnů (platí pro uživatele, kteří nemají E5 licence). Pzapnutí ukládá uživatelské a administrátorské aktivity v unified audit log a umožňuje v nich vyhledávatPro stahování logů a jejich archivaci je doporučeno použít Office 365 Management Activity API. Nativní doba 90 dnů je dostačující pro provozní účely, nikoliv však pro regulatorní požadavky.

Z tohoto důvodu je možné využít Advanced audit, který umožnuje uchovávat záznamy po dobu jednoho roku. Pokud by ani tato lhůta nebyla dostačující, lze nastavit uchování záznamů až na dobu 10 let. Od roku 2021 se jedná o samostatnou licenci (tzv. add-on SKU), se kterou se pojí vícenáklady. 

 

Jaký přístup zvolit pro zajištění auditních stop a záznamů?   

Záleží na zvyklostech a interních směrnicích organizace a na způsobu zajišťování regulatorních požadavků. Existuje však obecný postup.

Doporučujeme vycházet z historie potřeb pro uchování daných záznamů (např. kvůli vyšetřování) a provést analýzu business a regulatorně-bezpečnostních potřeb napříč celou organizací. Výsledky analýzy by měly poskytnout dostatečná data pro volbu optimálního licenčního krytí Microsoft 365.

Jak jsme si v úvodu řekli, Basic Auditing není z pohledu zajištění Compliance pro většinu organizací dostačující, a směřují spíše k nástrojům Advanced Audit. Ty je možné využít až v rámci licence E5, což je oproti E1 nebo E3 licencím finanční rozdíl.

Neznamená to, že organizace musí pro uchování logů nakupovat pouze licence E5. Licenční možnosti jsou pestré. Může jít také o Office 365 E5/G5 a Microsoft 365 Enterprise E5/G5 subskripce. Dodatečně také s licencemi Microsoft 365 E5 Compliance nebo E5 eDiscovery či Audit add-on licence.

Pokud nechcete využít služeb v rámci Microsoft 365, alternativní cestou je data pravidelně stahovat a ukládat u sebe.

 

Jaké je tedy řešení? 

Ideální řešení zkrátka spočívá v nalezení optimálního licenčního krytí, které naplní veškeré compliance-regulatorně-bezpečnostní požadavky, a současně uspokojí business potřeby organizace (při nejnižších možných nákladech).

Pokud je pro vás vypracování analýzy business a regulatorně-bezpečnostních potřeb interní cestou náročné, nebojte se využít externí konzultanty. Jedině tak totiž zajistíte spokojenost na všech stranách bez hrozby auditních nálezů a finančních škod.  

 

Lenka Syrová

Covid-19 vs. Microsoft 365. Jde to dohromady?

To, že pandemie Covid-19 udeřila vší silou a nejenom finanční instituce nebyly dostatečně připraveny na okamžitý přesun na home-office, je realita, které musí čelit. Jedná se o jedinečnou příležitost implementovat tzv. nový normální normál neboli práci z domova, která plnohodnotně zastoupí práci on-site.

Covid-19 vs. Microsoft 365 | Compliance portal

 

Trh, který byl nedávno „modrým oceánem“ se stal exponenciální rychlostí  tzv. červeným oceánem. Požadavky na práci z domova se liší podle velikosti firem, oblasti jejich podnikání nebo technických a finančních možností. Možným řešením je implementace balíčků služeb Microsoft Office 365.

Náročnost implementace je ovlivněna mnoha faktory. Bohužel neexistuje kouzelný proutek, jehož mávnutím bychom všichni seděli za počítačem a schůzovali virtuálně. Bez ohledu na velikost firmy, počet uživatelů a oblast podnikání firmy se jedná o outsourcingový vztah a využití cloud computing technologie.

Migrace do Microsoft 365 není jen tak ledajaký cloudový projekt. Většinou se pro danou instituci jedná o největší projekt za desítky let. Prostupuje totiž napříč celou společností, mění způsob spolupráce a kulturu chování. Jestliže platí, že cloudové projekty zvyšují operační rizika, tak při implementaci balíčku služeb Microsoft Office 365 to platí dvojnásob, ne-li trojnásob.

Microsoft Office 365 nabízí řadu výhod a úspor, na druhou stranu přináší vyšší rizika a compliance požadavky, které firma musí splnit.

Firma ORBIT implementovala Microsoft Office 365 u mnoho spokojených zákazníků. Naše služby mají jak formu konzultace tak celkové implementace společně s adopční a komunikační kampaní. Pojďme se společně potkat, a to klidně i virtuálně.

 

Lenka Syrová

Nařízení GDPR v číslech v roce 2020

Jeden z hlavních strašáků v oblasti cloud computing je výše pokuty, kterou může získat instituce, která porušuje požadavky GDPR. Jak si v tomto ohledu vedeme v roce 2020?

Nařízení GDPR v číslech | Compliance portal

 

Maximální výše pokuty činí 20 mil. EUR, nebo 4 % z celkového ročního obratu společnosti (ukládána je vyšší z obou částek). V naprosté většině případů ÚOOÚ neukládá maximální výši pokuty. Výsledná částka závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Až do podzimu 2020 byly nejvyšší pokuty uděleny společnostem H&M, a to ve výši 35 258 708 EUR, společnosti TIM (telecommunications operator) ve výši 27 800 000 EUR a společnosti Wind Tre S.p.A. – třetí nejvyšší pokuta činila 16 700 000 EUR. Ve všech třech případech se jednalo o porušení více článků GDPR, nejčastěji došlo k porušení článků č. 5 a č. 6.

Oproti zahraničí si vedeme „dobře“. Nejvyšší pokuta byla udělena v roce 2019, a to ve výši 10 000 EUR. Souhrnná výše veškerých udělených pokut ÚOOÚ od 25. května 2018 je v přepočtu necelých 300 000 EUR. 

Ačkoliv v českém prostředí nebyla prozatím udělena významná pokuta, společnosti nemůžou brát nařízení GDPR na lehkou váhu. A to hlavně z důvodu rozsudku ve věci C-311/18, tzv. Schrems II.

P.S.: Na podzim 2020 zasáhla do mezinárodního žebříčku nejvyšších pokut společnost Marriott International s další rekordní finanční sankcí.

 

Lenka Syrová

EIOPA vs. Cloud Computing. Co říkají Obecné pokyny?

Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) identifikoval potřebu vytvořit konkrétní pokyny pro oblast outsourcingu / cloud computingu. Výsledkem jsou „Obecné pokyny k outsourcingu u poskytovatelů cloudových služeb – EIOPA-BoS-20-002“.

EIOPA vs. Cloud Computing | Compliance portal

 

Jaký je záměr pokynů?

  • poskytnout účastníkům trhu objasnění a transparentnost a vyhnout se možným regulačním arbitrážím;
  • podporovat sbližování dohledu, pokud jde o očekávání a procesy použitelné v souvislosti s cloud computingem.

 

EBA/GL/2019/02 vs. EIOPA-BoS-20-002

Na místě je pochvala autorům, kteří se snažili o nastolení jednotných požadavků. Pokyny na sebe odkazují, formulace jednotlivých doporučení jsou podrobné. Na základě analýzy můžeme konstatovat, že se v pokynech neobjevují významné odchylky. Hlavní rozdíly jsou v podobě odkazů na jiné nadřazené zákony/předpisy (např. Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II).

 

Důležitá data

Pokyny se použijí od 1. ledna 2021 na všechna ujednání o externím zajištění cloudových služeb, která byla uzavřena nebo pozměněna k tomuto datu nebo později. Podniky by měly přezkoumat a odpovídajícím způsobem změnit stávající ujednání o externím zajištění cloudových služeb, která se týkají rozhodujících nebo důležitých provozních funkcí nebo činností, a to s cílem zajistit dodržování těchto obecných pokynů do 31. prosince 2022.

Nebude-li toto přezkoumání dokončeno do 31. prosince 2022, měl by podnik o této skutečnosti informovat svůj orgán dohledu. Aktualizace (v případě potřeby) zásad a vnitřních procesů podniku by měla být provedena do 1. ledna 2021, zatímco požadavky na dokumentaci (související s externím zajištěním cloudových služeb, které se týkají rozhodujících nebo důležitých provozních funkcí nebo činností) by měly být provedeny do 31. prosince 2022.

 

Dokážeme pomoct?

Týkají se vás pokyny EIOPA-BoS-20-002? Rádi byste implementovali cloudový projekt v pojišťovně? Pak se na nás neváhejte obrátit.

 


Základni informace o EIOPA

Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (European Insurance and Occupational Pensions Authority, EIOPA) byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES.

Od 1. ledna 2011 přebírá EIOPA veškeré stávající úkoly od Výboru evropských orgánů dohledu v pojišťovnictví a zaměstnaneckých penzích (Committee of European Insurance and Occupational Pensions Supervisors, CEIOPS) a je jí současně přidělena řada nových úkolů. EIOPA má zejména usilovat o:

  • lepší fungování vnitřního trhu, včetně především důkladné, účinné a jednotné úrovně regulace a dohledu,
  • zajištění integrity, průhlednosti, účinnosti a řádného fungování finančních trhů,
  • posílení koordinace dohledu na mezinárodní úrovni,
  • předcházení regulatorní arbitráži a prosazování rovných podmínek hospodářské soutěže,
  • zajištění, aby rizika spojená s pojištěním, zajištěním a zaměstnaneckými penzemi byla vhodně regulována a dohlížena,
  • posílení ochrany spotřebitelů.

(zdroj: ČNB, 2020)

Outsourcing vs. Cloud computing – přehledné srovnání

Existují nějaké compliance rozdíly mezi termíny Outsourcing a Cloud computing? Z regulatorního hlediska je to diskutované téma, jak se na ně tedy dívají české regulace?

Outsourcing vs. Cloud computing přehledně | Compliance portal

 

Termín Definice Zdroj
Outsourcing Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba sama, vykonává povinná osoba prostřednictvím jiné osoby (dále jen „outsourcing“), není tím dotčena odpovědnost povinné osoby“ (Vyhláška č. 163/2014 Sb. Vyhláška č. 163/2014 Sb.
Outsourcing Externí zajištění služeb nebo činností (outsourcing)” – znamená jakékoli ujednání mezi institucí, platební institucí nebo institucí elektronických peněz a poskytovatelem služeb, na jehož základě dotyčný poskytovatel služeb vykonává proces, službu nebo činnost, které by jinak byly prováděny samotnou institucí, platební institucí nebo institucí elektronických peněz EBA/GL/2019/02
Cloud computing Cloud Computing rozumí model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu . V právních předpisech finančního trhu se pojem cloud computing nevyskytuje“ Věstník ČNB, 2016
Cloudové služby Cloudové služby znamenají služby poskytované za použití cloud computingu, což je model, který umožňuje pohodlný síťový přístup kdykoliv a odkudkoliv ke sdílené množině konfigurovatelných výpočetních zdrojů (např. sítím, serverům, úložištím, aplikacím a službám), které lze rychle poskytnout či uvolnit s vynaložením minimálních nároků na jejich správu anebo zásahy ze strany poskytovatele služby. EBA/GL/2019/02

 

Regulace vnímají Cloud computing jako specifický druh Outsourcingu, z této logiky vychází i compliance požadavky. Požadavky, které jsou uvaleny na cloud computing, jsou přísnější. Poslední dobou se však objevují služby, které využívají cloudové služby a naplňují cloudové prvky, ale nejedná se o outsourcing. Pojem „non-outsoucing cloud“ však není v regulatorním prostředí ještě řádně ukotven.

Více… »

Jak je vaše společnost připravena na cloud?

Ad-hoc migrace aplikace do cloudového prostředí může být časově a nákladově náročná. Pokud se četnost migrací zvyšuje, tak celkové náklady na cloud mohou převýšit potenciální přínosy. Jak tomu předejít?

Jak je vaše společnost připravena na cloud? | Compliance portal

 

Odborníci ORBITu doporučují před opakovaným a plošným migrováním do cloudu provést analýzu připravenosti a ohodnotit vyspělost instituce.

Na jaké úrovni se nacházíte?

 

Vaším cílem by však neměla být tendence být na úrovni 5 (v některých případech to není ani možné). Pro celkový obrázek připravenosti je nutné vnímat i druhou perspektivu, a to:

 

 

Vyšší úroveň připravenosti na cloud snižuje rizika, ale zvyšuje se nutnost řízení daných aktivit. Vše je tedy otázkou vaší cloud strategie. Pomůžeme vám ji připravit.

Standardizace v EU. Realita, nebo růžová budoucnost?

Evropský orgán pro bankovnictví (EBA) upozorňuje již několik let ve svých zprávách na snahu docílit standardizace regulatorních požadavků u svých členů. Jednou ze stěžejních směrnic je nově vydaná EBA/GL/2019/02 – Obecné pokyny k outsourcingu.

Standardizace v EEA | Compliance portal

 

Výše zmíněná směrnice EBA reaguje na trend outsourcovat a cloudizovat. Je snaha úspěšná? Podívejme se společně na srovnání.

 

Standardizace v EU | Compliance portal

 

Jedná se o malou výseč zemí, ale i tento vzorek ukazuje rozmanitost přijetí a naplnění regulatorních požadavků vyplývajících z tohoto doporučení. Vidíme, že Česká národní banka přijala doporučení k datu účinnosti.

Snaha o standardizaci je účinná, avšak jedná se o pomalý proces, který potrvá ještě pár let. Oblast outsourcingu a cloudu je turbulentní prostředí, a proto je potřeba být bdělí vůči změnám, které se vztahují na vaši organizaci, dceřinou společnost, holdingovou společnost nebo dodavatele či subdodavatele.

Nenašli jste zemi, kterou jste hledali? Máte konkrétní dotaz k EBA/GL/2019/02? Ozvěte se nám.