ORBIT.cz
      Přihlásit
    Menu

    Tag Archives:Pojišťovny Archivy - Compliance portal

    Domů / Blog / Tag: Pojišťovny

    Jak na auditní požadavky v Microsoft 365? Poradíme

    K využívání služeb Microsoft 365 v cloudu je nutné splnit mnoho regulatorních požadavků. V tomto článku se zaměříme na zajištění auditních stop a záznamů logů, které vycházejí mimo jiné např. ze zákona o bankách, z GDPR nebo z EBA/GL/2019/02.

    Jak na auditní požadavky Microsoft 365? | Compliance Portal ORBIT

     

    Auditní nástroje Microsoft 365 

    Všechny nástroje, které nabízí platforma Microsoft 365, poskytují podporu pro zajištění auditních stop a záznamů logů. Rozdělme si je podle funkčnosti na basic auditing a advanced audit 

    Basic auditing umožňuje nativně uchovávat logy po dobu až 90 dnů (platí pro uživatele, kteří nemají E5 licence). Pzapnutí ukládá uživatelské a administrátorské aktivity v unified audit log a umožňuje v nich vyhledávatPro stahování logů a jejich archivaci je doporučeno použít Office 365 Management Activity API. Nativní doba 90 dnů je dostačující pro provozní účely, nikoliv však pro regulatorní požadavky.

    Z tohoto důvodu je možné využít Advanced audit, který umožnuje uchovávat záznamy po dobu jednoho roku. Pokud by ani tato lhůta nebyla dostačující, lze nastavit uchování záznamů až na dobu 10 let. Od roku 2021 se jedná o samostatnou licenci (tzv. add-on SKU), se kterou se pojí vícenáklady. 

     

    Jaký přístup zvolit pro zajištění auditních stop a záznamů?   

    Záleží na zvyklostech a interních směrnicích organizace a na způsobu zajišťování regulatorních požadavků. Existuje však obecný postup.

    Doporučujeme vycházet z historie potřeb pro uchování daných záznamů (např. kvůli vyšetřování) a provést analýzu business a regulatorně-bezpečnostních potřeb napříč celou organizací. Výsledky analýzy by měly poskytnout dostatečná data pro volbu optimálního licenčního krytí Microsoft 365.

    Jak jsme si v úvodu řekli, Basic Auditing není z pohledu zajištění Compliance pro většinu organizací dostačující, a směřují spíše k nástrojům Advanced Audit. Ty je možné využít až v rámci licence E5, což je oproti E1 nebo E3 licencím finanční rozdíl.

    Neznamená to, že organizace musí pro uchování logů nakupovat pouze licence E5. Licenční možnosti jsou pestré. Může jít také o Office 365 E5/G5 a Microsoft 365 Enterprise E5/G5 subskripce. Dodatečně také s licencemi Microsoft 365 E5 Compliance nebo E5 eDiscovery či Audit add-on licence.

    Pokud nechcete využít služeb v rámci Microsoft 365, alternativní cestou je data pravidelně stahovat a ukládat u sebe.

     

    Jaké je tedy řešení? 

    Ideální řešení zkrátka spočívá v nalezení optimálního licenčního krytí, které naplní veškeré compliance-regulatorně-bezpečnostní požadavky, a současně uspokojí business potřeby organizace (při nejnižších možných nákladech).

    Pokud je pro vás vypracování analýzy business a regulatorně-bezpečnostních potřeb interní cestou náročné, nebojte se využít externí konzultanty. Jedině tak totiž zajistíte spokojenost na všech stranách bez hrozby auditních nálezů a finančních škod.  

     

    Lenka Syrová

    Nařízení GDPR v číslech v roce 2020

    Jeden z hlavních strašáků v oblasti cloud computing je výše pokuty, kterou může získat instituce, která porušuje požadavky GDPR. Jak si v tomto ohledu vedeme v roce 2020?

    Nařízení GDPR v číslech | Compliance portal

     

    Maximální výše pokuty činí 20 mil. EUR, nebo 4 % z celkového ročního obratu společnosti (ukládána je vyšší z obou částek). V naprosté většině případů ÚOOÚ neukládá maximální výši pokuty. Výsledná částka závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

    Až do podzimu 2020 byly nejvyšší pokuty uděleny společnostem H&M, a to ve výši 35 258 708 EUR, společnosti TIM (telecommunications operator) ve výši 27 800 000 EUR a společnosti Wind Tre S.p.A. – třetí nejvyšší pokuta činila 16 700 000 EUR. Ve všech třech případech se jednalo o porušení více článků GDPR, nejčastěji došlo k porušení článků č. 5 a č. 6.

    Oproti zahraničí si vedeme „dobře“. Nejvyšší pokuta byla udělena v roce 2019, a to ve výši 10 000 EUR. Souhrnná výše veškerých udělených pokut ÚOOÚ od 25. května 2018 je v přepočtu necelých 300 000 EUR. 

    Ačkoliv v českém prostředí nebyla prozatím udělena významná pokuta, společnosti nemůžou brát nařízení GDPR na lehkou váhu. A to hlavně z důvodu rozsudku ve věci C-311/18, tzv. Schrems II.

    P.S.: Na podzim 2020 zasáhla do mezinárodního žebříčku nejvyšších pokut společnost Marriott International s další rekordní finanční sankcí.

     

    Lenka Syrová

    EIOPA vs. Cloud Computing. Co říkají Obecné pokyny?

    Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) identifikoval potřebu vytvořit konkrétní pokyny pro oblast outsourcingu / cloud computingu. Výsledkem jsou „Obecné pokyny k outsourcingu u poskytovatelů cloudových služeb – EIOPA-BoS-20-002“.

    EIOPA vs. Cloud Computing | Compliance portal

     

    Jaký je záměr pokynů?

    • poskytnout účastníkům trhu objasnění a transparentnost a vyhnout se možným regulačním arbitrážím;
    • podporovat sbližování dohledu, pokud jde o očekávání a procesy použitelné v souvislosti s cloud computingem.

     

    EBA/GL/2019/02 vs. EIOPA-BoS-20-002

    Na místě je pochvala autorům, kteří se snažili o nastolení jednotných požadavků. Pokyny na sebe odkazují, formulace jednotlivých doporučení jsou podrobné. Na základě analýzy můžeme konstatovat, že se v pokynech neobjevují významné odchylky. Hlavní rozdíly jsou v podobě odkazů na jiné nadřazené zákony/předpisy (např. Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II).

     

    Důležitá data

    Pokyny se použijí od 1. ledna 2021 na všechna ujednání o externím zajištění cloudových služeb, která byla uzavřena nebo pozměněna k tomuto datu nebo později. Podniky by měly přezkoumat a odpovídajícím způsobem změnit stávající ujednání o externím zajištění cloudových služeb, která se týkají rozhodujících nebo důležitých provozních funkcí nebo činností, a to s cílem zajistit dodržování těchto obecných pokynů do 31. prosince 2022.

    Nebude-li toto přezkoumání dokončeno do 31. prosince 2022, měl by podnik o této skutečnosti informovat svůj orgán dohledu. Aktualizace (v případě potřeby) zásad a vnitřních procesů podniku by měla být provedena do 1. ledna 2021, zatímco požadavky na dokumentaci (související s externím zajištěním cloudových služeb, které se týkají rozhodujících nebo důležitých provozních funkcí nebo činností) by měly být provedeny do 31. prosince 2022.

     

    Dokážeme pomoct?

    Týkají se vás pokyny EIOPA-BoS-20-002? Rádi byste implementovali cloudový projekt v pojišťovně? Pak se na nás neváhejte obrátit.

     

    Základni informace o EIOPA

    Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (European Insurance and Occupational Pensions Authority, EIOPA) byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES.

    Od 1. ledna 2011 přebírá EIOPA veškeré stávající úkoly od Výboru evropských orgánů dohledu v pojišťovnictví a zaměstnaneckých penzích (Committee of European Insurance and Occupational Pensions Supervisors, CEIOPS) a je jí současně přidělena řada nových úkolů. EIOPA má zejména usilovat o:

    • lepší fungování vnitřního trhu, včetně především důkladné, účinné a jednotné úrovně regulace a dohledu,
    • zajištění integrity, průhlednosti, účinnosti a řádného fungování finančních trhů,
    • posílení koordinace dohledu na mezinárodní úrovni,
    • předcházení regulatorní arbitráži a prosazování rovných podmínek hospodářské soutěže,
    • zajištění, aby rizika spojená s pojištěním, zajištěním a zaměstnaneckými penzemi byla vhodně regulována a dohlížena,
    • posílení ochrany spotřebitelů.

    (zdroj: ČNB, 2020)

    Jak je vaše společnost připravena na cloud?

    Ad-hoc migrace aplikace do cloudového prostředí může být časově a nákladově náročná. Pokud se četnost migrací zvyšuje, tak celkové náklady na cloud mohou převýšit potenciální přínosy. Jak tomu předejít?

    Jak je vaše společnost připravena na cloud? | Compliance portal

     

    Odborníci ORBITu doporučují před opakovaným a plošným migrováním do cloudu provést analýzu připravenosti a ohodnotit vyspělost instituce.

    Na jaké úrovni se nacházíte?

     

    Vaším cílem by však neměla být tendence být na úrovni 5 (v některých případech to není ani možné). Pro celkový obrázek připravenosti je nutné vnímat i druhou perspektivu, a to:

     

     

    Vyšší úroveň připravenosti na cloud snižuje rizika, ale zvyšuje se nutnost řízení daných aktivit. Vše je tedy otázkou vaší cloud strategie. Pomůžeme vám ji připravit.