A Magyar Nemzeti Bank (MNB) új, részletes tájékoztatást adott ki a közösségi és publikus felhőszolgáltatások pénzügyi szervezetek általi használatáról. Az alábbiakban bemutatjuk a lényeges pontokat, összevetve a korábbi vonatkozó iránymutatással.
A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) 2012-ben adott ki egy körlevelet a közösségi és publikus felhőszolgáltatásokból eredő kockázatokról a pénzügyi szektor számára (4/2012. számú vezetői körlevél, a továbbiakban az egyszerűség kedvéért erre mint Körlevél hivatkozunk). Az azóta eltelt mintegy öt évben jelentős igény mutatkozott egy új, részletesebb, a technikai fejlődéssel jobban lépést tartó ajánlásra. Ezt az űrt pótolta az MNB “a közösségi és publikus felhőszolgáltatások igénybevételéről” című 2/2017 (I.12.) számú ajánlással (Ajánlás). Az MNB ennek alkalmazását 2017. március 1-től várja el a pénzügyi szervezetektől. Az Ajánlás kötelező erővel nem rendelkező szabályozó eszköz, azonban azok a pénzügyi szervezetek, amelyek az Ajánlás tartalmát szabályzataik részévé teszik, jogosultak feltüntetni, hogy az Ajánlásban foglaltaknak megfelelnek. Az Ajánlás hatálya a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 39. §-ban meghatározott jogszabályok hatálya alá tartozó pénzügyi szervezetekre terjed ki.
Az Ajánlás a Körlevélhez képest részletesebben szabályozza a pénzügyi szervezetek számára meghatározott olyan követelményeket, amelyek a közösségi és publikus felhőszolgáltatások igénybevételéből eredő kockázatok kezeléséhez szükségesek. A Körlevéllel szemben az Ajánlás már nem csak az adatbiztonságra és a felhőszolgáltatóval kötött szerződésre vonatkozóan tartalmaz részletesebb szabályokat, hanem például meghatározza a felhőszolgáltatások jellemzőit is, illetve részletesen kitér az MNB, mint felügyeleti hatóság ellenőrzési jogkörére is.
Az Ajánlás négy témakört tárgyal:
- a felhőszolgáltatások meghatározása,
- a felhőszolgáltatások igénybevételének életciklusa,
- biztonsági alapelvek és
- az MNB felügyeleti jogkörei.
Az alábbiakban az Ajánlás legfontosabb megállapításait foglaljuk össze a Körlevélben meghatározott szabályok összevetésével.
1. A felhőszolgáltatások meghatározása
Az Ajánlás részletesen kitér a felhőszolgáltatás fogalmára, illetve annak legfontosabb lényegi ismérveire, ellentétben a Körlevéllel, ami kizárólag a privát, közösségi és publikus felhők közötti különbséget határozta meg. Az Ajánlás szerint a felhőszolgáltatás lehetővé teszi a különböző számítástechnikai erőforrásokhoz – például hálózatokhoz, szerverekhez, alkalmazásokhoz – történő, igény szerinti hálózati hozzáférést, melyeket minimális szolgáltatói közreműködéssel gyorsan lehet allokálni vagy a használatukat lezárni. A felhőszolgáltatás lényegi ismérvei:
- a szolgáltatás igény szerinti használhatósága,
- az általános hálózati elérés,
- a megosztottan használt erőforrások,
- a változó kapacitás-igények gyors lekövetése, és
- a mért szolgáltatás, valamint a felhasználással arányos használati díj.
2. A felhőszolgáltatások igénybevételének életciklusa
A felhőszolgáltatás igénybevételének életciklusa az üzleti igény felmerülésétől és a döntés előkészítéstől a szolgáltatás kivezetésének fázisáig tart. A Körlevél e fázisok közül kizárólag a felhőszolgáltatóval történő szerződéskötésre vonatkozóan tartalmazott rendelkezéseket.
Döntés előkészítés és kockázatelemzés
Az Ajánlás szerint a döntés előkészítés során a pénzügyi szervezet megvizsgálja a felhőszolgáltatás létjogosultságát a felhőszolgáltatás költségei, kockázatai és a hatályos jogszabályi rendelkezések, biztonsági követelmények alapján.
A Körlevélhez hasonlóan az Ajánlás is rögzíti, hogy a felhőszolgáltatás pénzügyi szervezet általi igénybevétele a hatályos jogszabályi rendelkezések értelmében kiszervezésnek minősül, amennyiben személyes adatot vagy az ügyfélre vonatkozó védett titoknak minősülő adatot érint. A kiszervezés ellenére a jogszabály szerinti működés felelőssége a felhőszolgáltatást igénybevevő pénzügyi szervezetet terheli, így a pénzügyi szervezet a szolgáltatás igénybevétele előtt meggyőződik arról, hogy valamennyi rá vonatkozó követelménynek eleget tud-e tenni, illetve arról is, hogy a szükséges ellenőrzési lehetőséget milyen módon biztosítja számára a felhőszolgáltató.
A jogszabályoknak való megfelelés mellett a döntés előkészítés másik fontos fázisa a költség-haszon elemzés, ami tartalmazza a felhőszolgáltatásra való átállás és a felhőből való kivezetés becsült költségeit, illetve az üzleti igény kielégítésére alkalmas egyéb alternatív megoldások költségeit.
A döntés előkészítés keretében a pénzügyi szervezet elkészíti a felhőszolgáltatás bevezetésével, üzemeltetésével és kivezetésével kapcsolatos kockázatelemzést is. A kockázatelemzésnek ki kell terjednie a kockázatok azonosítására, kockázatcsökkentő intézkedések megtervezésére (például kivezetési intézkedési terv kidolgozására), illetve az Ajánlás 25-47. pontjaiban felsorolt követelmények, így különösen az adatbiztonság, adatvédelem, üzletmenet folytonosság biztosítása megvalósításának lehetőségeire is. E követelmények teljesítése érdekében vagy a pénzügyi szervezet saját hatáskörben, vagy pedig a felhőszolgáltató (a pénzügyi szervezettel kötött megállapodásban rögzítettek alapján) működtet kontrollokat. A jogszabályi meg nem felelést eredményező kockázatokat azonban a pénzügyi szervezetnek saját hatáskörben, kockázatcsökkentő intézkedésekkel kell orvosolnia, az ilyen típusú kockázatokat nem háríthatja át a felhőszolgáltatóra és nem is fogadhatja el azokat.
Szerződéses követelmények
Az Ajánlás a Körlevélhez hasonlóan a felhőszolgáltatóval kötött szerződés tartalmának pontos meghatározásában látja az átlátható és biztonságos működés garanciáját. A szerződésben szabályozni ajánlott tárgykörök között már az Ajánlás is említette a szerződésmódosítás, megszüntetés kielégítő és egyértelmű rendezésének, a felelősségi, biztosítéki, garanciális rendelkezések rögzítésének, az adatvédelmi és adatbiztonsági kritériumok, illetve az incidenskezelési eljárások meghatározásának követelményét. Az Ajánlás azonban ennél továbbmegy, és a korábbinál részletesebben határozza meg a felhőszolgáltatóval kötött szerződésben szabályozandó tárgyköröket, így például az alábbiak meghatározásának szükségességét:
- az MNB ellenőrzési, tanúsítási jogának,
- a vis maior esetek kezelési módjának,
- a licencek és szellemi alkotások kezelési módjának,
- a szolgáltatás, a kommunikáció nyelvének és egyéb jellemzőinek,
- az adatkezelés, adatfeldolgozás és adattárolás legalább adatközpontú helyszíneinek,
- a szolgáltatásnyújtásban érintett valamennyi alvállalkozóra, közreműködőre és beszállítóra vonatkozó követelmények,
- az erőforrások védelmére vonatkozó szabályok,
- a felhőszolgáltató által működtetett informatikai folyamatokra vonatkozó követelmények, és
- a visszaélések felderítéséhez szükséges támogatás
Bevezetés, üzemeltetés, kivezetés
A felhőszolgáltatás igénybevételének életciklusával foglalkozó rész végén az Ajánlás részletesen meghatározza az ennek során követendő eljárásokat. A bevezetés előkészítése során a pénzügyi szervezet az Ajánlásban meghatározott követelmények figyelembevételével (például fejlesztések, tesztelések kritériumainak, vagy a felhőszolgáltatónak a bevezetés során történő közreműködésének meghatározását) megteremti a felhőszolgáltatás bevezetésének lehetőségét. A bevezetés végrehajtásának ciklusa során a pénzügyi szervezet által elvégzett teszteredmények függvényében megtörténhet a felhőszolgáltatás bevezetése, élesítése.
A felhőszolgáltatás üzemeltetésének ciklusa alatt az elsődleges cél a szolgáltatás zavartalan és folyamatos működésének biztosítása, melynek során az Ajánlás értelmében a pénzügyi szervezet – többek között – nyomon követi a felhőszolgáltató pénzügyi helyzetét, felkészül az esetleges hibás teljesítésre alternatív felhőszolgáltatók vagy más megoldások azonosításával. Az üzemeltetés során a szolgáltatás minőségét folyamatos felügyelet illetve ellenőrzés alatt kell tartani.
A kivezetés előkészítése és végrehajtása során a pénzügyi szervezet a kockázatelemzés során elkészítendő kivezetési stratégiában és akciótervben foglaltak alapján jár el. Az Ajánlás értelmében a kivezetésre sor kerület kizárólag a felhőszolgáltató cseréje vagy pedig a felhőszolgáltatás valamely alternatív megoldásának jövőbeni alkalmazása miatt is. A kivezetési kritériumoknak ettől függően tesz eleget a pénzügyi szervezet. Mindkét esetben biztosítani kell azonban, a felhőszolgáltatás kivezetésének személyi-, tárgyi-, technikai-, jogi- és szerződéses feltételeit.
3. Felhőszolgáltatás-biztonsági alapelvek
Az Ajánlás meghatározza a felhőszolgáltatás-biztonsági alapelveket, melyeket a pénzügyi szervezet betart, illetve a felhőszolgáltatóval betarttat. Az előző pontban meghatározott követelmények teljesítésére végső soron azért van szükség, hogy a felhőszolgáltatás-biztonsági alapelvek maradéktalanul érvényesüljenek, biztosítva a felhőszolgáltatás biztonságos működtetését.
Adatbiztonság és adatvédelem
Az adatbiztonság és adatvédelem keretében a pénzügyi szervezet mindenekelőtt azonosítja és biztonsági osztályba sorolja a felhőszolgáltatásba kiszervezett adatokat, továbbá a biztonsági osztályba sorolás eredményeként meghatározza az adatbiztonsági és adatvédelmi követelményeket. E követelményeknek a technika mindenkori fejlettségi szintjének megfelelőnek és nemzetközi viszonylatban is biztonságosnak tekintettnek kell lenniük. Ezen túlmenően a pénzügyi szervezet – a jogi környezet változásának függvényében, de legalább évente egyszer – meggyőződik arról, hogy a felhőszolgáltató teljes mértékben megfelel-e a lefektetett adatbiztonsági és adatvédelmi követelményeknek.
Az Ajánlás az adatbiztonság és adatvédelem alcímben 3 további alapelvet említ:
- Az adatok biztonsága továbbítás közben: ez általánosságban az adattovábbítással kapcsolatos adatbiztonsági és adatvédelmi követelményeket határozza meg, melyeket az Ajánlás részletesen a 34-36. pontokban fejt ki.
- A tárolt adatok biztonsága: ez általánosságban a felhőben tárolt adatok védelmével, illetéktelen személyektől való megőrzésével kapcsolatos követelményeket határozza meg, melyeket az Ajánlás részletesen a 38. pontjában fejt ki.
- Az adatvédelem: ez pedig általánosságban a pénzügyi szervezet azon feladatait határozza meg, amelyek alapján a pénzügyi szervezet meggyőződik a rá vonatkozó jogszabályok és egyéb előírások felhőszolgáltató általi betartásáról. Az adatvédelmi alap részletes követelményeit az Ajánlás 40. pontja fejti ki.
Informatikai folyamatok biztonsága
Az informatikai folyamatok biztonságának alapelve összefoglalóan a felhőszolgáltatás szabályozott, biztonságos és ellenőrzött informatikai rendszerének kialakítását és fenntartását jelenti. Ezen alapelv magában foglalja a biztonságmenedzsmentet, valamint az üzemeltetés és a fejlesztés biztonságát is.
A biztonságmenedzsment keretében a pénzügyi szervezet bizonyosságot szerez a felhőszolgáltató információbiztonság-irányítási rendszeréről, illetve folyamatairól. A pénzügyi szervezet továbbá igénybe veheti a felhőszolgáltató compliance és biztonsági programjait, valamint a biztonsági incidensekkel kapcsolatos értesítési rendszert. Az üzemeltetés és fejlesztés biztonsága az informatikai üzemeltetési folyamatok és a szolgáltatást érintő fejlesztési folyamatok kontrollált működtetésével kapcsolatos kritériumokat határozza meg a 46-47. pontokban.
Erőforrások védelme, valamint felhasználó- és jogosultságkezelés
Az erőforrások védelme alapelv értelmében a pénzügyi szervezet meggyőződik arról, hogy sem a saját, sem a felhőszolgáltató erőforrásai illetéktelen fizikai vagy logikai hozzáféréssel nem törhetőek fel. Az erőforrások védelme keretében a pénzügyi szervezet bizonyosságot szerez – többek között – a felhőszolgáltató adatközpontjainak, számítástechnikai és kommunikációs eszközeinek rendelkezésre állásáról és az ügyfelek adatainak és rendszereinek elkülönítéséről.
A felhasználó és jogosultságkezelés alapelve (48-49. pontok) a felhőszolgáltatáshoz való hozzáférések szükséges és elégséges szintre korlátozását, azonosítási és jogosultsági megoldások kialakítását és használatát jelenti.
Összességében megállapítható, hogy az Ajánlás – a felhőszolgáltatóval kötött szerződéshez hasonlóan – a felhőszolgáltatás-biztonsági követelményekkel összefüggésben is részletesebb szabályokat tartalmaz a Körlevélnél. Ugyan a Körlevél is említette például az adatosztályozás követelményét vagy az adattovábbítás és tárolás biztonságára vonatkozó szabályokat, azonban a Körlevél szabályozási technikájára inkább az jellemző, hogy a cloud computing és a virtualizáció technológiai és szabályozási vonatkozásaival kapcsolatos “hasznos linkeket” biztosított a pénzügyi szervezetek számára és nem tartalmazott konkrét szempontokat.
4. Felügyeleti ellenőrzés
Az Ajánlás végül röviden kitér a felhőszolgáltatás igénybevételével kapcsolatos felügyeleti ellenőrzési jogkörre is. A pénzügyi szervezet a felhőszolgáltatóval kötött szerződésben biztosítja az MNB számára a felhőszolgáltatás-igénybevétel ellenőrzésének lehetőségét mind magánál a pénzügyi szervezetnél, mind pedig a felhőszolgáltatónál. Az MNB ellenőrzési jogköre a helyszíni ellenőrzés mellett a helyszínen kívüli ellenőrzést is lehetővé teszi, és az ellenőrzési jog gyakorlása kizárólag ésszerű keretek között korlátozható. Az ilyen korlátozás sem gátolhatja vagy hátráltathatja azonban az ellenőrzés végrehajtását.
Az ellenőrzés során az MNB a felhőszolgáltatás zavartalan és biztonságos működését ellenőrzi, melynek keretében jogosult – többek között – a pénzügyi szervezet által elkészített döntés előkészítési és tervezési anyagokat, a kockázatelemző és csökkentő intézkedéseket, a kivezetési stratégiát, a felhőszolgáltatásról szóló szerződést, valamint az alkalmazott biztonsági és adatvédelmi követelményeket is ellenőrizni.
dr. Halász Bálint ügyvéd és dr. Laribi Karim ügyvédjelölt
Knight Bird & Bird Iroda
balint.halasz@twobirds.com és karim.laribi@twobirds.com
+36 1 799 2000