Chmurowe wsparcie dla banków
Komunikat chmurowy KNF. O co chodzi z przetwarzaniem informacji w chmurze obliczeniowej?
Technologia chmury obliczeniowej (ang. cloud computing) to usługa polegająca na możliwości świadczenia cyfrowych usług bez posiadania własnej infrastruktury i oprogramowania. Zarówno software, jak i hardware dostarczane są przez usługodawcę, który gwarantuje również dostęp do chmury (ang. cloud), czyli wirtualnej przestrzeni, gdzie gromadzone są informacje (bazy danych, formularze, pliki).
Chmurę danych najłatwiej porównać do dysku FLASH o dużej pojemności z tą różnicą, że przedsiębiorca korzystający z usług chmurowych nie może dostać się do danych, korzystając ze swoich urządzeń.
Zasadniczą zaletą technologii cloud computing jest:
decentralizacja danych , które mogą być szybko i bez wysiłku udostępnione wybranym adresatom,
ochrona danych przed zniszczeniem lub dostaniem się w niepowołane ręce na wypadek kradzieży komputera albo cyfrowego ataku.
Ze względu na kompleksowe rozwiązania chmurowe świadczy się niejako „z zewnątrz”. To dostawca usługi jest odpowiedzialny za utrzymanie integralności danych, ich ochronę, a także zapewnienie sprawnie działających serwerów, które umożliwią dostęp do zasobów w czasie rzeczywistym.
Wyróżnia się kilka rodzajów usług chmurowych, które są dostępne dla różnych grup odbiorców:
chmura publiczna (ang. public cloud) – dostępna dla użytkowników indywidualnych oraz instytucji. Najczęściej korzystają z nich firmy, które świadczą swoje usługi szerokiemu gronu odbiorców. Z tego względu chmury publiczne są najczęściej łatwe w obsłudze i wyróżniają się przyjaznym interfejsem,
chmura prywatna (ang. private cloud) – tworzona na potrzeby konkretnej firmy lub instytucji. Wyróżnia się wysokim poziomem bezpieczeństwa, ale wymaga poniesienia znacznych kosztów związanych z utworzeniem odpowiedniej infrastruktury oraz wyszkoleniem kadry,
chmura hybrydowa (ang. hybrid cloud) – łączy sobie zalety chmury publicznej i prywatnej. Dostęp do niej jest łatwy, ale dane są przechowywane na zabezpieczonych, prywatnych serwerach. Chmury hybrydowe wybierają firmy, które dywersyfikują potrzeby swoich klientów na bardziej i mniej złożone, ponieważ usługę łatwo dopasować do konkretnych sytuacji.
Podział na rodzaje chmur w kontekście komunikatu KNF jest o tyle istotny, że zawarte w nim wytyczne stosuje się wyłącznie do chmur publicznych oraz hybrydowych, w zakresie, w jakim stanowią chmurę publiczną.
Gdzie stosuje się cloud computing?
Świadczenie usług poprzez cyfrową chmurę danych jest popularne we wszystkich sektorach gospodarki, gdzie liczy się szybki dostęp do usługi. Z cloud computing korzystają dostawcy streamowanych mediów, usług biurowych czy telekomunikacyjnych. Eksploatują ją także:
banki,
inne instytucje finansowe (np. fintechy),
zakłady ubezpieczeń.
Właśnie w przypadku tych kilku ostatnich kategorii podmiotów kluczowe staje się wprowadzenie odpowiednich standardów świadczenia usług i bezpieczeństwa. W tym celu powstają komunikaty chmurowe KNF.
Jaka jest funkcja komunikatu chmurowego KNF?
Komisja zwróciła uwagę, że przedmiotem cyfrowego outsourcingu jest coraz więcej danych prawnie chronionych (np. objętych tajemnicą bankową). Nie ma niestety jednolitego standardu zarządzania takimi informacjami, co potencjalnie rodzi ryzyko utraty kontroli nad wrażliwymi danymi w całym sektorze.
Wszystkie postanowienia komunikatu powinny być stosowane wprost, chyba, że dany podmiot podlega regulacjom szczególnym (np. Rekomendacji-D lub D-SKOK odpowiednio dla banków lub SKOK-ów). W takim przypadku komunikat chmurowy powinien być traktowany jako rozwinięcie i uszczegółowienie partykularnej regulacji.
Każdy z podmiotów nadzorowanych ma obowiązek dostosować swój schemat postępowania do modelu referencyjnego ustanowionego przez komunikat. Dokument obliguje także do informowania KNF o zamiarze przetwarzania informacji w usługach chmury obliczeniowej z odpowiednim wyprzedzeniem. Oznacza to, że wymiana informacji w tym przedmiocie musi być zrealizowana przed rozpoczęciem przetwarzania (a nie już po fakcie).
W celu wdrożenia wytycznych zawartych w komunikacie chmurowym KNF warto skorzystać z pomocy prawników wyspecjalizowanych w prawie nowych technologii . Głębokie zrozumienie przepisów oraz znajomość zasad rządzących środowiskiem IT pozwala na stworzenie realnie działających procedur.
Co składa się na model referencyjny KNF?
Aby ujednolicić korzystanie z usług cloud computing, KNF stworzył model referencyjny. Został on oparty na określeniu:
odpowiedniego stosowania wytycznych,
klasyfikacji i zastosowania informacji,
szacowania ryzyka,
minimalnych wymagań dla przetwarzania informacji w chmurze obliczeniowej,
zasad informowania KNF o zamiarze przetwarzania danych.
Na czym polega odpowiednie stosowanie wytycznych KNF?
KNF podkreśla, że nadrzędnym celem każdego podmiotu stosującego komunikat powinno być zapewnienie bezpieczeństwa przetwarzania danych oraz dokonywania tego w zgodzie z przepisami prawa.
Jednocześnie dopuszcza się zasadę proporcjonalności, która zakłada, że mniejsze podmioty (takie, które dysponują mniejszymi środkami finansowymi lub technologicznymi) mogą wdrażać mniej efektywne zabezpieczenia.
Klasyfikacja i zastosowanie informacji
Każdy podmiot samodzielnie dokumentuje klasyfikację informacji z uwzględnieneim podziału na informacje prawnie chronione (na mocy komunikatu i przepisów prawa powszechnego oraz pozostałe) kierując się:
zgodnością z wymaganiami prawnymi oraz zobowiązaniami umownymi,
zakresem, rodzajem i ważnością informacji,
wartością informacji dla podmiotu.
Przy ocenie informacji należy wziąć pod uwagę skalę prowadzonej działalności, odpowiedzialność za przetwarzanie danych informacji oraz przyjęte standardy, jeżeli takie obowiązują dla danej grupy podmiotów.
Ponowna ocena metod przetwarzania informacji powinna być przeprowadzona nie rzadziej niż raz w roku, a także za każdym przypadkiem, gdy:
Chmura obliczeniowa – co warto o niej wiedzieć?
Chmura obliczeniowa – co warto o niej wiedzieć?
Jednym z przejawów transformacji cyfrowej jest bardzo szybko rosnący odsetek firm sięgających po rozwiązania z chmury. Równocześnie poszerza się zakres wykorzystania usług dostępnych w modelu cloud computing.
Co warto wiedzieć o chmurze? Jakie przynosi ona korzyści i szanse dla rozwoju przedsiębiorstwa?
Z przeprowadzonych w ostatnich latach badań wynika, że z roku na rok coraz więcej przedsiębiorstw korzysta z rozwiązań dostępnych w chmurze obliczeniowej. Wprawdzie poszczególne raporty przytaczają odmienne wyliczenia, jednak z ogółu badań wyłania się jednoznaczny i bardzo silny trend – chmura szybko zdobywa coraz większą popularność wśród przedsiębiorców. Oznacza to zmianę modelu działania przedsiębiorstw utrwalanego przez ubiegłe dekady.
Chmura obliczeniowa – czym jest? Co warto o niej wiedzieć?
Pojęcie chmury (ang. cloud computing) określa zewnętrzną sieć serwerów i centrów przetwarzania danych. Dzięki nim możliwe jest utrzymanie szeregu różnego rodzaju usług, z których można korzystać z wykorzystaniem Internetu bez konieczności posiadania własnych zasobów sprzętowych (serwerów, dysków itp.).
Serwery tworzące chmurę obliczeniową pełnią różne funkcje – od przechowywania danych, przez udostępnianie przestrzeni dla rozwiązań i systemów udostępnianych zdalnie w chmurze, po dostarczanie wirtualnych komputerów czy mocy obliczeniowej dla przetwarzania danych.
Chmurowe wsparcie dla banków
Czy sektor bankowy jest gotowy do korzystania z rozwiązań chmurowych? Co dla banków oznaczają usługi w modelu subskrypcyjnym? Jakie systemy Asseco są już dostępne w chmurze? M.in. na te pytania odpowiedzi udzielił Artur Wiza, Wiceprezes Zarządu Asseco Poland w rozmowie z Miesięcznikiem Finansowym „Bank”.
Czy Asseco jako software house widzi konieczność wykorzystania chmury w obszarze bankowym?
Bankowość, jak każdy inny sektor gospodarki potrzebuje działań optymalizujących koszty. Bank jest specyficznym rodzajem przedsiębiorstwa, odrębnie regulowanym, ale nie na tyle różnym od pozostałych przedsiębiorstw, aby mógł zignorować dostępne technologie czy metody organizowania systemów informacyjnych i zarządzania nimi. Tym bardziej że bankowość stanęła dzisiaj w obliczu konkurencji z podmiotami nie bankowymi, ale świadczącymi usługi finansowe. Podmioty te – tzw. fintechy, w większości przypadków są oparte o przetwarzanie danych w chmurze, dzięki czemu optymalizują koszty i obniżają barierę wejścia na rynki finansowe, zaostrzając tym samym konkurencję. Jeśli do powyższych faktów dodamy presję głównych dostawców technologii, takich jak Oracle, IBM, Microsoft, aby użytkownicy ich technologii przenosili się do chmury obliczeniowej, w szczególności do chmury tychże dostawców, to odpowiedź na postawione pytanie będzie już w miarę prosta. Wydaje się dzisiaj, że banki również stanęły w obliczu konieczności bardzo poważnego rozważenia wykorzystania chmury dla przynajmniej części użytkowanych swoich systemów informacyjnych.
Jakie systemy Asseco dla bankowości są już dostępne w chmurze? Czy Asseco jest gotowe do świadczenia usług w modelu subskrypcyjnym?
Chcemy, aby wszystkie nasze systemy, które oferujemy bankom, były dostępne w chmurze. W zasadzie możemy powiedzieć, że dostarczaliśmy systemy w chmurze obliczeniowej, zanim świat zaczął używać słowa „cloud”, a Polska „chmura”. Przecież już od 20 lat udostępniamy bankom spółdzielczym systemy Asseco jako usługę w modelu zbliżonym do subskrypcji, wykorzystując przy tym centrum przetwarzania danych należące do Asseco. Oczywiście, wszystko zależy od zdefiniowania pojęcia chmury obliczeniowej. Jeśli jednak zgodzimy się co do tego, że chmura to po pierwsze, model dostarczania systemu IT w formie usługi z zewnętrznego ośrodka przetwarzania, pozwalający zaoszczędzić przedsiębiorstwu koszty, a po drugie, że jest to model biznesowy polegający na opłacaniu cyklicznej subskrypcji za dostęp do usługi w miejsce jednorazowego kupowania licencji i infrastruktury, to okaże się, że Asseco ma systemy w chmurze dla banków od wielu, wielu lat. Oczywiście definicja chmury cały czas ewoluuje i do tego, co powiedziałem, możemy dodać szereg nowych elementów, jak choćby łatwość wyjścia z kontraktu subskrypcyjnego czy technologiczne wymagania dla systemów informatycznych, aby do tego przetwarzania chmurowego były lepiej przygotowane, w sensie łatwości skalowania wydajności na podstawie dostępnej mocy obliczeniowej. Pracujemy ze wszystkimi kluczowymi dostawcami technologii chmurowych, dostosowując nasze systemy do ich wymagań.
Jeśli chodzi o model subskrypcyjny, to naszą ambicja jest, aby tam, gdzie klient widzi w tym wartość, taki model rozliczeniowy był stosowany. Jest to model szczególnie istotny dla inicjatyw start-upowych, gdzie ważny jest niski koszt wejścia. Mniej ciekawa jest subskrypcja dla przedsięwzięć z pewnym biznesplanem, gdzie skala niepewności realizacji przyszłego biznesu jest nieduża. Asseco jest przygotowane do obsługi swoich klientów w modelu subskrypcyjnym.
Jakie zalety dla banków może mieć korzystanie z usług w formie subskrypcyjnej?
Jeśli bank czy instytucja finansowa rozpoczyna przedsięwzięcie, którego skali nie jest w stanie przewidzieć, to będzie zainteresowana podzieleniem się ryzykiem niepowodzenia biznesu z dostawcami kluczowych zasobów potrzebnych do realizacji przedsięwzięcia. W szczególności, jeśli zasoby te mają być dostępne od razu, a inwestycja spłaci się po jakimś czasie i przy osiągnięciu pewnej skali. Dostawca systemu oferowanego w formie usługi i rozliczanego w formie subskrypcji przejmuje istotną część ryzyka biznesowego z banku na siebie. Tym samym przestaje być tylko dostawcą, staje się raczej partnerem w inicjatywie. Wydaje się, że taka forma rozliczenia zmienia też znacząco relację pomiędzy podmiotem nabywającym technologię, np. bankiem, a jej dostawcą. W Asseco stworzyliśmy produkt, który nazwaliśmy Bank out of the Box, w skrócie – Asseco BooX, dzięki któremu możemy dostarczać całe spektrum systemów pozwalające uruchomić i prowadzić bank właśnie w formie subskrypcji.
Czy już działają w bankach rozwiązania Asseco oparte o chmurę i jak się sprawdzają?
Wspomniałem o naszych systemach dostarczanych od lat na rynek banków spółdzielczych. W ostatnich miesiącach podjęliśmy inicjatywę szczególną. Wspólnie z BS Płońsk i BS Lubaczów finalizujemy realizację projektu przeniesienia tych banków na pełną infrastrukturę Asseco BooX, zainstalowaną w Centrum Przetwarzania Danych Asseco. W sektorze banków spółdzielczych, chcąc zaakcentować unikalna szansę uzyskania efektu synergii przez te instytucje, nadaliśmy temu rozwiązaniu nazwę Wspólna Platforma Informatyczna. Liczymy, że banki w Płońsku i Lubaczowie odnotują znaczące korzyści z tej transformacji. Będziemy chcieli je zmierzyć i podzielić się tym doświadczeniem, otwierając mam nadzieje drogę innym do znaczącego obniżenia kosztów i zwolnienia energii pracowników banku do zajmowania się klientami, a nie technologią. Kluczem w tym przypadku nie jest chmura obliczeniowa jako taka, ale to, co w niej się znajduje, czyli systemy informatyczne oferowane w formie usługi i subskrypcji. Istotnym elementem jest tu również dostarczanie dodatkowych usług administrowania tą infrastrukturą tzw.: IT BPO. Zatem z mojej perspektywy posuwamy się w dyskusji i faktach, znacząco dalej niż tylko pozytywne rozważania na temat chmury obliczeniowej – zaczynamy mówić o banku w chmurze, lub banku jako usłudze (w zakresie technologii oczywiście). Bardzo się cieszę też, że będziemy mogli powiedzieć, że pierwszym bankiem w chmurze w Polsce, będzie bank spółdzielczy, a raczej banki spółdzielcze.
Czy Asseco jest także dostawcą chmury, czy koncentruje się raczej na produkcji oprogramowania? Z jakimi dostawcami chmury Asseco współpracuje?
Asseco jest producentem oprogramowania. To było i jest nasze DNA. Możemy być dostawcą chmury w skali lokalnej, np. dla rynku banków spółdzielczych, ale konkurowanie w dostarczaniu usług chmurowych w skali globalnej z światowymi dostawcami nie jest naszą strategią. Nie będziemy budować skali globalnej, a w przypadku dostawców chmury skala działania jest jednym z podstawowych czynników sukcesu. Dobrze byłoby również być producentem urządzeń do chmury: serwerów, pamięci masowych, urządzeń sieciowych. Uważamy, że są w tym obszarze firmy lepsze od nas. Nie będziemy się tu ścigać. Wejdziemy w partnerstwa. Obecnie rozmawiamy z Operatorem Chmury Krajowej, Google, IBM, Microsoft, Amazon i Oracle. Z jednymi mamy strategiczną współpracę od lat, z innymi właśnie startujemy.
Czy to, co oferuje Asseco w ramach rozwiązań chmurowych, jest bezpieczne?
Każde rozwiązanie dla banku lub instytucji finansowej musi być bezpieczne. Pod tym względem jest to bardzo wymagający sektor. Oferujemy wyłącznie rozwiązania, które uważamy za bezpieczne, a dostawcy infrastruktury w chmurze mają pełną świadomość wymagań związanych z bezpieczeństwem. Oczywiście sama chmura nie gwarantuje bezpieczeństwa, konieczne jest poprawne skonfigurowanie środowiska w chmurze i właściwa budowa aplikacji. Można jednak przyjąć, że aplikacja udostępniana w środowisku chmury powinna być co najmniej tak bezpieczna, jak ta sama aplikacja udostępniana w środowisku lokalnym.
Jak wyglądają plany Asseco związane z udostępnianiem aplikacji bankowych w chmurze i czy szykowane są jakieś nowości związane z ofertą dla banków na ten rok?
Wspólnie z IBM pracujemy nad kilkoma projektami. Podobnie jest z Operatorem Chmury Krajowej i Google. Niestety nie mogę ujawnić nazw potencjalnych klientów.
Wywiad ukazał się w Miesięczniku Finansowym „Bank”, nr 8