Rosnące potrzeby w zakresie cyfryzacji przyciągają branżę finansową w stronę chmury. Instytucje finansowe szukają rozwiązań, dzięki którym zwiększą konkurencyjność rynkową, poprawią wydajność i elastyczność, a także pozwolą dotrzeć do kolejnych rynków i klientów. W związku ze wzrostem zainteresowania cloudem, Komisja Nadzoru Finansowego opublikowała na początku roku komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Nowe zalecenia mogą znacząco wpłynąć nie tylko na branżę finansową, ale również na cały rynek polskich centrów danych.
Polskie finanse w chmurze
Chmura obliczeniowa pozwala bankom zaoszczędzić nawet do 40 proc. kosztów inwestycyjnych nowych projektów biznesowych, wymagających budowy dedykowanej infrastruktury IT. Podnosi także znacznie elastyczność i szybkość dostarczania nowych produktów na rynek. Obliczenia przeprowadzone dla Reutersa przez firmę badawczą IDC Financial Insights pokazują, że dzięki zastosowaniu chmury największe banki mogły zaoszczędzić do 2019 roku nawet 15 mld USD, co pozwoli obniżyć koszty infrastruktury o 25 proc.
Branża finansowa staje się w zasadzie jednym z liderów w przyjmowaniu technologii chmury. Szacuje się, że ponad połowa firm świadczących usługi finansowe uznaje wdrażanie cloudu za priorytet na 2020 rok. To rozwiązanie, które przyniesie im większą rentowność i optymalizację kosztów – mówi Mariusz Juranek, dyrektor handlowy w Polcom.
KNF przychylna chmurze?
W najnowszym komunikacie KNF, eksperci odnieśli się do rosnącego zainteresowania przenoszenia usług bankowych do chmury. Komisja rekomenduje, aby centra przetwarzania danych zlokalizowane były na terytorium państwa polskiego. W związku z troską o bezpieczeństwo danych znajdujących się w chmurze obliczeniowej, nadzór wprowadził nowe obowiązki informacyjne. Uszczegółowiono również procedury oceny ryzyka związanego między innymi z rozproszeniem geograficznym firm, które świadczą usługi cloudowe oraz dostępem do przetwarzania informacji przez pracowników cloud service providerów.
Zgodnie z nową dyrektywą KNF, centra przetwarzania danych powinny być zlokalizowane przede wszystkim na terenie państw Europejskiego Obszaru Gospodarczego. Inaczej ma się sytuacja w przypadku tzw. infrastruktur krytycznych, czyli systemów kluczowych do minimalnego funkcjonowania gospodarki i państwa. Te dane powinny być, zdaniem KNF, w pierwszej kolejności przechowywane w centrach przetwarzania na terenie Polski.
Nowy komentarz KNF jest bardzo istotny z punktu widzenia operatorów usług kluczowych, czyli takich które obejmują takie sektory jak bankowość i infrastruktura rynków finansowych, ale również dla całego polskiego rynku centrów danych. Nie nakłada on co prawda na instytucje finansowe konieczności wyboru centrów zlokalizowanych na terenie Polski, ale dość mocno pokazuje kierunek, w którym od jakiegoś czasu zmierza KNF. W perspektywie najbliższych lat może to pozytywnie wpłynąć na rozwój polskiej chmury – zaznacza dyrektor handlowy w Polcom.
Impuls do działania dla polskich dostawców cloudu
Komunikat KNF może mieć duży wpływ na wybór dostawcy usług cloud computingu. Kluczowy będzie wybór certyfikowanego dostawcy, który posiada już odpowiednie doświadczenie we współpracy z instytucjami finansowymi, posiada wdrożone polityki zarządzania ciągłością działania i ryzykiem oraz spełnia wymagane normy dotyczące bezpieczeństwa danych. Warto zwrócić uwagę na to, że wśród wytycznych dla dostawców usług chmurowych, pojawił się także obowiązek zgodności z ISO 27017, którą obecnie spełnia zaledwie kilka polskich podmiotów świadczących usługi cloud computingu.
Jest to norma, która dotyczy kluczowych kwestii bezpieczeństwa informacji w chmurze obliczeniowej. Określa ona szereg procedur i dobrych praktyk dotyczących zabezpieczenia informacji w ramach wdrożonych usług chmurowych, zwraca także uwagę na jakość zarządzania relacjami pomiędzy dostawcami a ich klientami.
Nowy komunikat KNF świadczy o pewnym otwarciu regulatora na usługi cloud computingu dla instytucji finansowych, jednak z odpowiednimi obostrzeniami w zakresie bezpieczeństwa. Jest to w pełni zrozumiałe, zważywszy na to, że mówimy o rynku finansowym. Regulator musi także wziąć pod uwagę inne akty prawne, choćby np. wymagania związane z obowiązkami ustawowymi wynikającymi z outsourcingu IT. Stąd wymagania KNF dla niektórych podmiotów mogą wydawać się wysokie, jednak z perspektywy dojrzałych dostawców nie powinny być zaskoczeniem – podkreśla Mariusz Juranek.
Postanowienia komunikatu muszą zostać spełnione przez instytucje objęte nadzorem do 1 sierpnia br. Podmioty na rynku polskim mają więc ok. 6 miesięcy na dostosowanie się do niego. Należy przy tym zaznaczyć, że nowe wymagania KNF znacznie bardziej rygorystycznie podchodzą do kwestii bezpieczeństwa usług i zarządzania ryzykiem. Oznacza to tym samym, że dostawcy niespełniający norm jakości i bezpieczeństwa oraz świadczący usługi na bazie infrastruktury informatycznej ulokowanej poza terytorium Polski, mogą znaleźć się w gorszej pozycji na rynku względem konkurencji.
Dla ośrodków, które od wielu lat świadczą tego typu usługi dla polskich i międzynarodowych instytucji finansowych, presja czasu określona przez regulatora na wdrożenie wytycznych nie jest wyzwaniem. Tacy dostawcy spełniają po prostu wysokie normy w zakresie zarządzania jakością oraz zapewniają wymaganą ciągłość działania biznesu – dodaje Mariusz Juranek.