Cloud

Banky, veřejný cloud a compliance

Cloudové služby jsou neoddiskutovatelným akcelerátorem digitální transformace (nejen) finančních institucí. Vedle přínosů jako je rychlejší zavádění nových služeb nebo snadné škálování zdrojů nabízí přechod na veřejný cloud i výhodu v mnohdy snazším a levnějším řešení souladu s legislativními a regulatorními předpisy.

Jan Koudela
Konzultant

Na rozdíl od zajištění compliance u interních systémů a procesů je ale situace komplikovanější tím, že do hry vstupují externí subjekty – poskytovatel cloudových služeb, případně outsourcingový dodavatel, který pro banku provoz systému ve veřejném cloudu zajišťuje. Se všemi takovými partnery je nutné zajištění souladu podchytit smluvně. Součinnost přitom musí v zájmu vlastního byznysu poskytnout menší lokální poskytovatelé i největší globální hráči jako AWS, Google nebo Microsoft.

Využití veřejného cloudu bankám přináší odlišné povinnosti než při provozování systémů v lokálním prostředí, protože z právního hlediska je provozování bankovních služeb třetími osobami, jako jsou poskytovatelé cloudových služeb, považováno za outsourcing. Na využití veřejných cloudových služeb jako outsourcingu v bankovním sektoru se vztahuje celá řada předpisů – vyhláška ČNB č. 163/2014 Sb. o výkonu činnosti bank, Doporučení EBA ohledně zajištění cloudových služeb u externích poskytovatelů (EBA/Rec/2017/03), Obecné nařízení o ochraně osobních údajů (GDPR), zákon o ISVS č. 365/2000 Sb. a další zákonné a podzákonné normy.

Za zmínku stojí skutečnost, že pro povinné osoby neexistuje žádná jednotná certifikace, která by ověřovala soulad cloudových služeb s požadavky na řízení outsourcingu podle výše uvedené vyhlášky ČNB. Centrální banka alespoň poskytuje na vyžádání konzultace ohledně optimálního rozsahu posouzení rizik pro konkrétní účel využití cloudové služby, přičemž zkoumá především smluvní podmínky, způsob řízení cloudové služby a podmínky pro ukončení cloudové služby.

V České republice úspěšně prošlo kontrolou ČNB již několik bankovních institucí, které využívají outsourcing zahrnující cloudové služby k zajištění svých významných činností. To dokládá, že přechod na cloud i u důležitých bankovních systémů a procesů je schůdná cesta včetně splnění veškerých legislativních a regulatorních požadavků, jako je ochrana dat, schopnost kontroly, řízení rizik a auditovatelnost.

Jdeme do cloudu? A kterého?

Volba správného poskytovatele cloudových služeb je rozhodující z hlediska maximalizace užitku z této technologie a zároveň zajištění potřebné bezpečnosti a ošetření rizik podle předpisů – od zabezpečení přenosu dat přes prevenci neoprávněného přístupu po znalost fyzického umístění dat.

Z technického hlediska jsou nabídky hlavních poskytovatelů veřejných cloudových služeb v mnohém srovnatelné, ale odlišují se detaily, které mohou hrát rozhodující roli při uvažování o nejvhodnější alternativě. Rozdíly spočívají jednak v samotných službách, kdy se poskytovatel od konkurence odlišuje určitou unikátní nabídkou (např. inteligentní asistent Alexa u AWS) či šíří služeb, jednak ekonomickými faktory (preference provozních nákladů před investičními) a obecným přístupem ke smluvnímu vztahu. Zatímco u některých poskytovatelů se zákazník setká s otevřeností a možností vztahu bez dlouhodobých závazků, u jiných musí přijmout vázanost na určité období, případně objem konzumace služeb. Důležitými faktory jsou také schopnost integrace se stávajícími systémy nebo zastoupení poskytovatele na místním trhu a s tím související dostupnost podpory. Při rozhodování o přechodu na cloud je nutné:

  • ujasnit si, co od cloudu očekáváme a které systémy, data či aplikace chceme přenést,
  • zvolit provozní model (IaaS, PaaS, SaaS),
  • provést ekonomickou rozvahu v krátkodobém i dlouhodobém horizontu,
  • uvědomit si, že vyšší požadavky na bezpečnost znamenají vyšší náklady,
  • uvědomit si, že v budoucnu se mi může hodit využívat různé poskytovatele pro různé účely, tzn. být připravený na multicloud,
  • vzít v úvahu, že je potřeba neustále sledovat vývoj cloudových nabídek, rozvíjet své cloudové know-how a využívat nové možnosti k optimalizaci cloudového řešení.

S volbou vhodného cloudového poskytovatele pro konkrétní účely je proto ideální si nechat poradit od zkušeného implementačního partnera, který podle aktuálních a plánovaných potřeb pomůže zvolit optimální řešení.

Pro Českou spořitelnu cloud není pouze technologická záležitost, ale je to velice důležitý enabler ve spojitosti se změnou kultury. Proto já osobně umocňuji cloud v kontextu DEVOPS s obrovským tlakem na změnu vnitřního fungování a pochopení oné přidané hodnoty plynoucí ze změny přístupu a fungování. Cloudové služby pak Česká spořitelna adoptuje od PAAS (Platform as a service), nikoliv IAAS (Infrastructure as a service).
Jiří Charousek, CTO, Česká spořitelna

Cloud jakožto nástroj zajištění compliance

Vhodný poskytovatel cloudových služeb pro finanční instituce se však pozná především podle detailního porozumění regulatorní problematice a připravenosti zajistit soulad s relevantními předpisy včetně potřebných certifikací nezbytných k provozu finančního IT prostředí. Volbou poskytovatele, který dokáže smluvně garantovat splnění legislativních požadavků, si lze dokonce zjednodušit implementaci GDPR a dalších předpisů, která může být v lokálních podmínkách technicky, procesně a finančně značně náročná. Z cloudových poskytovatelů je v tomto ohledu nejdále Microsoft, jehož služby Office 365, Dynamics 365 a Azure splňují požadavky GDPR a jiných závazků a od ČNB získaly vyjádření „bez námitek“. Je důležité si uvědomit, že banka (ani jiný podnik či organizace) nesmí nikdy ztratit kontrolu nad svými daty a musí vždy vědět, jaká data a kde se nachází, kdo k nim má přístup a kdo k nim kdy přistupoval.

Microsoft Azure i AWS dokonce poskytují přehledy, kde je možné v reálném čase sledovat dodržování souladu s požadavky předpisů jako PCI DSS, ISO 27001 apod. To umožňuje cíleně řešit nedostatky a dopřát tak odpovědným osobám klidnější spánek.

Plně online úvěr z cloudu

Maďarská K&H Bank z belgické skupiny KBC spouští od letošního října online půjčku „bez papírů“, založenou na cloudovém systému Impresto, který pro ni vyvinul Trask. Impresto umožňuje vlastním klientům i klientům konkurenčních bank snadno a rychle získat finanční prostředky z pohodlí domova s připsáním peněz na účet do 15 minut. Impresto vychází ze zkušeností s obdobným systémem, který již úspěšně provozuje Česká spořitelna. Systém běží v cloudovém prostředí a je poskytovaný formou služby.

Správa bankovních dokumentů v cloudu

Pro Českou spořitelnu ověřil Trask koncept provozu systému pro správu dokumentů Opentext Documentum 16.4 v cloudovém prostředí Microsoft Azure.

Smyslem projektu bylo ověřit fungování a provozní charakteristiky tohoto systému v konfiguraci odpovídající dosud užívanému řešení eSpis / ECRS, identifikovat možná rizika přechodu na cloud a odhadnout provozní náklady. Trask při tom těžil ze zkušeností z dřívějšího celoevropsky unikátního přenosu systému OpenText Documentum z lokálního prostředí do cloudu AWS, který úspěšně realizoval pro energetickou společnost Innogy.

Kontaktujte nás

Na váš byznys se dokážeme podívat z jiné perspektivy. Proto můžeme přijít i na nová řešení, která dokážeme jasně popsat, rozpracovat a navrhnout jejich technickou realizaci. Originální nápad je totiž na začátku každého dobrého byznysu. Díky zkušenostem rychle poznáme, v čem chcete a potřebujete pomoci.

Domníváte se, že jsme porušili etická pravidla?
Dejte nám vědět.