Związek Przedsiębiorstw Finansowych przygotuje wspólne stanowisko polskich przedsiębiorstw finansowych w ramach konsultacji projektu wytycznych w sprawie outsourcingu usług chmury obliczeniowej, prowadzonych przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA). Opinie na temat projektu będą zbierane do 17 sierpnia br.
Wytyczne będą miały zastosowanie przede wszystkim do funduszy inwestycyjnych i banków w zakresie ich działalności inwestycyjnej i mają pomóc firmom inwestycyjnym w identyfikowaniu, eliminowaniu i monitorowaniu ryzyka związanego z outsourcingiem usług chmury (od podjęcia decyzji o outsourcingu, wyboru dostawcy usług w chmurze, monitorowania działań zleconych na zewnątrz czy strategii wyjścia).
Projekt przedmiotowych wytycznych przewiduje m.in.:
1) sporządzenie polityki outsourcingu do chmury, która powinna uwzględniać postanowienia zwłaszcza polityk w zakresie informacji i komunikacji, technologii, bezpieczeństwa informacji i strategii zarządzania ryzykiem operacyjnym;
2) bieżące prowadzenie rejestru informacji na temat całego outsourcingu w chmurze, w tym z podziałem na ustalenia dotyczące outsourcing funkcji krytycznych lub ważnych oraz pozostałe ustalenia;
3) wyznaczenie osoby wyższego szczebla, która będzie odpowiedzialna za zarządzanie ryzykami chmurowymi i odpowiadać będzie bezpośrednio przed zarządem;
4) obowiązki w zakresie due diligence przed zleceniem outsourcingu do chmury (m.in. ocena stabilności politycznej, bezpieczeństwa i systemu prawnego dostawcy chmurowego, zabezpieczenia danych, planów awaryjnych);
5) wymagania dotyczące umów na outsourcing chmurowy (określone minimum postanowień);
6) wytyczne w zakresie bezpieczeństwa danych, strategii wyjścia, prawa dostępu do chmury i przeprowadzenia audytu, podoutsourcingu, czy powiadamiania właściwego organu nadzoru o outsourcingu ważnych funkcji.
Zachęcamy do zapoznania się z dokumentem i przekazywania do ZPF opinii na jego temat na adres mczugan@zpf.pl – do dnia 17 sierpnia br.
Projekt wytycznych można pobrać TUTAJ.
Po przeanalizowaniu zebranych odpowiedzi ESMA opublikuje finalne wytyczne jeszcze pod koniec 2020 r. lub w pierwszym kwartale 2021 r.