ABC regulacji usług informatycznych w obszarze bankowości

Branża IT działa w uporządkowanym świecie regulacji i zasad. Oprócz własnych reguł wewnętrznych, firmy świadczące usługi IT muszą również przestrzegać ustalonych standardów dotyczących branży, w której działają.

Organy i instytucje nadzorujące

Każdy bank podlega pod instytucje stanowiące nadzór nad jego funkcjonowaniem. Do głównych i najważniejszych jednostek określających przepisy dla bankowości należą między innymi poniższe.

KNF (Komisja Nadzoru Finansowego)

Organ pełniący nadzór nad instytucjami finansowymi od 21 lipca 2006 r. KNF przejął zadania po zniesionej Komisji Papierów Wartościowych i Giełd oraz Komisji Nadzoru Ubezpieczeń i Funduszy Emerytalnych. Celem KNF jest zapewnienie prawidłowego funkcjonowania rynku finansowego oraz zapewnienie ochrony interesów uczestników rynku.

Jego głównymi zadaniami są:

• sprawowanie nadzoru nad sektorem bankowym, rynkiem kapitałowym, ubezpieczeniowym oraz emerytalnym,
• podejmowanie działań służących prawidłowemu funkcjonowaniu wspomnianych rynków,
• podejmowanie działań mających na celu rozwój rynku finansowego i jego konkurencyjności.

UODO (Urząd Ochrony Danych Osobowych)

Organ do spraw ochrony danych osobowych oraz kontrolowania stosowania zasad RODO. Utworzony na mocy ustawy z dnia 10 maja 2018 r., a obszar jego działania ogranicza się do terytorium Polski.

Główne zadania:

• kontrole zgodności przetwarzania danych z przepisami ustawy,
• wydawanie decyzji administracyjnych i rozpatrywanie skarg,
• prowadzenie rejestru zbiorów danych.

UOKiK (Urząd Ochrony Konkurencji i Konsumentów)

Organ zajmujący się ochroną konsumentów i kształtowaniem polityki antymonopolowej. Działa na podstawie ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów.

Główne zadania:

• przeciwdziałanie praktykom ograniczającym konkurencję,
• przeciwdziałanie praktykom naruszającym zbiorowe interesy konsumentów,
• sprawowanie kontroli przestrzegania przez przedsiębiorców przepisów ustawy.

EBC (Europejski Bank Centralny)

Odpowiada za nadzorowanie systemów bankowych w krajach należących do Unii Europejskiej oraz za emisję euro i ochronę jego siły nabywczej.

Główne zadania:

• współpraca z organami w zakresie regulacji rynków finansowych,
• funkcjonowanie systemów płatniczych,
• nadzór nad systemami bankowymi w krajach należących do strefy euro.

EBA (European Banking Authority)

Organ Unii Europejskiej odpowiedzialny za ochronę interesu publicznego.

Główne zadania:

• wzmacnianie międzynarodowej koordynacji w zakresie nadzoru finansowego,
• dbanie o integralność i przejrzystość funkcjonowania rynków finansowych,
• nadzorowanie w zakresie podejmowania ryzyka kredytowego.

BCBS (Basel Committee on Banking Supervision)

Instytucja utworzona w 1974 r. przez prezesów banków centralnych należących do Grupy G10. BCBS jest głównym globalnym twórcą standardów regulacji banków. Działanie instytucji skupia się na wzmocnieniu regulacji, nadzoru i praktyk banków z całego świata w imię zwiększenia stabilności finansowej.

Główne zadania:

• opracowywanie praktyk rynkowych w zakresie zarządzania ryzykiem finansowym w sektorze bankowym,
• wymiana informacji pomiędzy bankami a władzami nadzorczymi,
• zwiększanie efektywności technik międzynarodowego nadzoru.

Grupa Robocza

Niezależny podmiot o charakterze doradczym, powołany w celu ochrony osób fizycznych w zakresie przetwarzania danych osobowych.

Główne zadania:

• badanie stosowania dyrektyw nadzorczych,
• doradztwo w sprawie zmian dyrektyw,
• wydawanie opinii na temat kodeksów oraz sporządzanie sprawozdań.

Instytucje i firmy międzynarodowe

Oprócz jednostek państwowych istnieją również instytucje i firmy międzynarodowe, które stanowią najwyższe standardy dla poszczególnych branż.

• Na pierwszym miejscu można śmiało wymienić ISO (International Organization for Standardization), organizację, która opracowuje normy dotyczące praktycznie każdej dziedziny.
• Kolejną jest ANSI (American National Standards Institute) – organizacja pozarządowa, której ustalenia honorowane są na równi z powszechnie obowiązującymi aktami prawnymi.
• ISACA (Information Systems Audit and Control Association) – Międzynarodowe Stowarzyszenie do Spraw Audytu i Kontroli Systemów Informatycznych.
• BSI (British Standards Institution) – instytucja będąca jednym z założycieli ISO. Tworzy i opracowuje normy międzynarodowe.

Wszystkie powyższe instytucje oraz firmy stanowią podstawę świata norm oraz ustalają wspólny ład poprzez ustawy, standardy i procedury. Poniżej przedstawię te najważniejsze obowiązujące w obszarze bankowości.

Dzięki poniższej liście, każdy kto na co dzień pracuje w podobnym środowisku, będzie mógł szybko sięgnąć do źródeł informacji.

Ustawy, regulacje i rozporządzenia

1. Ustawa o ochronie danych osobowych Uchwalona została dnia 29 sierpnia 1997 r. Chroni dane osobowe jednostek fizycznych, których dane są przetwarzane przez instytucje, podmioty oraz organizacje. Określa zasady i warunki przetwarzania danych dla organizacji przetwarzających. Jej głównymi zadaniami są:
   • ochrona danych osobowych przed dostępem osób trzecich,
   • regulacja zasad przetwarzania danych,
   • rejestracja zgłoszeń o posiadaniu danych osobowych.
2. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) Rozporządzenie nakreśla tryb i sposób weryfikacji zgodności przetwarzania danych osobowych oraz nadzorowania dokumentacji opisującej metody przetwarzania danych osobowych.
3. Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719) Rozporządzenie określa sposób prowadzenia rejestru zbioru danych osobowych.
4. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934) Rozporządzenie określa wzory zgłoszeń do powołania lub odwołania administratora bezpieczeństwa informacji.
5. Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w  sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i  organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) Rozporządzenie określa metody i zakres dokumentacji opisującej sposób przetwarzania danych osobowych. Ustala podstawowe warunki techniczne i organizacyjne, jakimi powinny charakteryzować się urządzenia i systemy informatyczne przetwarzające dane osobowe.
6. Ustawa o świadczeniu usług drogą elektroniczną Ustawa określa podstawowe obowiązki przedsiębiorców w zakresie świadczenia usług drogą elektroniczną. W tym również wyłączenia z odpowiedzialności z tytułu świadczenia tych usług oraz zasady ochrony danych osób fizycznych korzystających z nich.
7. Ustawa o prawie autorskim i prawach pokrewnych Jej głównym założeniem jest ochrona utworów oraz samych autorów. Określa też podstawowe pojęcia dotyczące utworów oraz zakres obejmowania praw i ich weryfikowania.
8. Kodeks cywilny Ustawa określająca prawa i normy regulujące stosunki cywilnoprawne między równouprawnionymi podmiotami. Stosunki te dotyczą sfer majątkowych oraz gospodarczych.
9. Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej Dokument określa zasady funkcjonowania podmiotów w strefie usług przetwarzania danych w chmurze obliczeniowej. Nakreśla proces wdrożenia podmiotu w tego rodzaju usługę oraz opisuje, w jaki sposób należy się do tego przygotować.
10. Rekomendacja D Rekomendacja D została wydana na podstawie art. 137 pkt. 5 ustawy z dnia 29 sierpnia 1997r. Zawiera podstawowe rekomendacje dotyczące strategii i organizacji obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Są w niej również rekomendacje dotyczące rozwoju środowiska teleinformatycznego, systemów informatycznych oraz zasad zarządzania całą infrastrukturą.
11. Rekomendacja M Dotyczy zarządzania ryzykiem operacyjnym w bankach. Określa i rekomenduje podstawowe zasady mające na celu odpowiednie zarządzanie bankiem w sytuacjach ryzykownych. Rekomendacje dotyczą, np. działań związanych ze strategią działania, identyfikacją i oceną zaistniałego ryzyka oraz utrzymaniem wewnętrznego środowiska, które ogranicza i przeciwdziała ryzykownym praktykom.
12. Rekomendacje dotyczące bezpieczeństwa płatności internetowych Rekomendacje określają zakres minimalnych wymogów związanych z zapewnianiem bezpieczeństwa płatności internetowych oferowanych przez banki. Zawarte są w nich oczekiwania polskiego organu nadzoru wobec dostawców płatniczych.
13. Rekomendacje Europejskiego Banku Centralnego dotyczące bezpieczeństwa płatności internetowych Jest to zbiór rekomendacji podnoszących poziom bezpieczeństwa płatności internetowych.
14. Grupa Robocza art. 29
    • Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679,
    • Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego,
    • Wytyczne dotyczące inspektorów ochrony danych,
    • Wytyczne dotyczące prawa do przenoszenia danych,
15. ISO/IEC 27001 Norma standaryzująca systemy zarządzania bezpieczeństwem informacji.
16. ISO/IEC 27017 Norma zwierająca wytyczne w zakresie stosowania zabezpieczeń podnoszących poziom bezpieczeństwa usług. Dotyczy ona ochrony środowiska wirtualnego klienta, konfiguracji maszyn wirtualnych oraz dostosowywania środowiska sieci wirtualnej do środowiska chmury obliczeniowej.
17. ISO/IEC 27018 Norma dostarcza wytyczne dotyczące dostawców usług w chmurze, które przetwarzają dane osobowe.
18. ISO/IEC 20000 Jedna z norm standaryzujących systemy zarządzania bezpieczeństwem informacji.
19. Certyfikacja CSA STAR Jest to usługa zapewniająca bezpieczeństwo danych w chmurze obliczeniowej, w ramach ulepszenia normy ISO/IEC 27001.

Podsumowanie

Praca administratora w obszarze bankowości jest bardzo odpowiedzialnym stanowiskiem. Oprócz codziennych zadań związanych z utrzymaniem wewnętrznej infrastruktury, osoba ta musi sprawnie poruszać się po świecie norm i regulacji. Znajomość wspomnianych regulacji i ustaw ma korzystny wpływ na bezpieczeństwo pracy, nie tylko administratora i całego obszaru bankowości, ale najważniejszych osób, czyli klientów.

Bibliografia

1. Odo24
2. PrawoIT
3. Normy ISO
4. KNF
5. UODO
6. UOKiK
7. Europejski Bank Centralny
8. EBA
9. BIS
10. UODO Grupa Robocza Art. 29
11. ISO
12. ISACA
13. ANSI