Opublikowany 23 stycznia 2020 roku Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej przez większość podmiotów nadzorowanych oraz dostawców IT postrzegany jest przede wszystkim w kategorii przetwarzania informacji w sposób masowy i zautomatyzowany. Część dostawców usług płatniczych jest przekonana, że odnosi się on tylko do przetwarzania np. baz danych aplikacji płatniczych. Warto jednak zwrócić uwagę na jeszcze jedną stronę tego Komunikatu i jego interpretacji. W pewnych przypadkach musimy liczyć się z tym, że również takie usługi chmurowe jak Office 365 czy Google Docs będą nim objęte. A to oznacza, że dostawcy usług płatniczych, którzy dziś korzystają z tych pakietów biurowych muszą liczyć się z koniecznością objęcia ich działaniami wskazanymi w komunikacie.
Wszystko rozbija się o definicję „chmury”
Zawarta w Komunikacie definicja chmury brzmi tak:
„pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy”Dostawcy usług Office 365 czy Google Docs, wprost w swoich materiałach wskazują, że są to usługi chmurowe. Korzystając z Office 365 czy Google Docs najczęściej przechowujemy dokumenty na serwerach „chmurowych” Google czy Microsoftu – czyli w ich pamięciach masowych. Jeśli przyjmiemy, że są to również usługi oparte o chmurę w rozumieniu Komunikatu – to mamy pierwszą przesłankę do stwierdzenia, że Komunikat może mieć zastosowanie.
Dane przetwarzane w aplikacjach biurowych a Komunikat
O ile przyjmiemy, że mamy do czynienia z chmurą obliczeniową według definicji zawartej w Komunikacie to jest jeszcze druga przesłanka oceny jego stosowania. Ocena kategorii przetwarzanych danych. Jeśli w ramach usług pakietów biurowych Google czy Microsoft w ich chmurze będziemy przechowywać informacje „prawnie chronione” w rozumieniu Komunikatu – to Komunikat powinien być stosowany, nawet jeśli usługa nie ma dla nas charakteru istotnego. Wystarczy więc, że w arkuszu kalkulacyjnym będziemy przechowywać np. zestawienia transakcji naszych klientów, czyli informacje objęte tajemnicą zawodową (płatniczą). Mamy informacje prawnie chronioną, Komunikat powinien być stosowany. Inny przykład – umowy z akceptantami. Jeśli instytucja chciałaby takie umowy tworzyć i przechowywać w usłudze opartej o chmurę publiczną – to jest duże prawdopodobieństwo, że znajdą się w tej chmurze informacje prawnie chronione. I znów – Komunikat powinien być stosowany.
Co jeśli trzeba stosować Komunikat?
Z pewnością w trakcie wdrażania Komunikatu dostawca usług płatniczych powinien uwzględnić korzystanie z wszystkich aplikacji opartych o chmurę. Jeśli uzna, że Komunikat ma zastosowanie również do wykorzystywanych przez niego aplikacji biurowych – wtedy pociągnie to za sobą wszystkie konsekwencje z tym związane. Konieczne będzie przeprowadzenie stosownej oceny ryzyka, zweryfikowanie umowy i zadbanie o stosowną jej treść, itd. Trzeba też o tym poinformować KNF –
do 1 listopada 2020 roku(przesunięte z 1 sierpnia 2020 roku z powodu COVID-19). Oczywiście – zapewne część dostawców będzie rękoma i nogami bronić się przed uznaniem aplikacji biurowych za objęte komunikatem. Natomiast w mojej ocenie – będą istnieć przypadki, kiedy przechowywanie dokumentów w chmurze Google czy Microsoft będzie wymagać spełnienia wymogów wskazanych przez UKNF.