Data publikacji: 19.08.2014
Oryginalny tytuł wiadomości prasowej: Czym powinny się kierować instytucje finansowe przy wyborze centrum danych, by działać zgodnie z Rekomendacją D?
Kategoria: technologie, ekonomia/biznes/finanse
W coraz większym stopniu konkurencyjność instytucji finansowych jest warunkowana przez bezpieczne gromadzenie i przetwarzanie danych. Prawie 90 proc. Polaków otrzymuje wynagrodzenia przelewem, 77 proc. posiada rachunek oszczędnościowo-rozliczeniowy, a 66 proc. posiada kartę płatniczą1. Na popularności zyskują również bankowość mobilna i analizy Big Data, które umożliwiają instytucjom finansowym skuteczniejsze personalizowanie oferty. Co by się jednak wydarzyło, gdyby dostęp do danych został przerwany choćby na chwilę?
W coraz większym stopniu konkurencyjność instytucji finansowych jest warunkowana przez bezpieczne gromadzenie i przetwarzanie danych. Prawie 90 proc. Polaków otrzymuje wynagrodzenia przelewem, 77 proc. posiada rachunek oszczędnościowo-rozliczeniowy, a 66 proc. posiada kartę płatniczą1. Na popularności zyskują również bankowość mobilna i analizy Big Data, które umożliwiają instytucjom finansowym skuteczniejsze personalizowanie oferty. Co by się jednak wydarzyło, gdyby dostęp do danych został przerwany choćby na chwilę?
Warszawa, 19 sierpnia 2014 r. — Wystarczy przywołać w pamięci powtarzające się doniesienia o awariach bankowych serwisów internetowych lub utracie danych klientów, by dostrzec skalę zagrożeń. Tym większą, im więcej informacji jest gromadzonych i przetwarzanych w formie elektronicznych plików. Rosnące niebezpieczeństwo utraty (dostępu do) danych dostrzegła również Komisja Nadzoru Finansowego, która przedstawiła harmonogram dostosowania instytucji finansowych do Rekomendacji D do końca 2014 r.
Instytucje finansowe wybierają centra danych
Celem Rekomendacji D jest nakłonienie instytucji finansowych, aby zapewniły swojej technologii informacyjnej zarówno stabilność, jak i bezpieczeństwo. Obie możliwości — przy jednoczesnej optymalizacji kosztów utrzymania infrastruktury IT — oferują zdobywające coraz większą popularność usługi centrów danych: kolokacja, hosting i cloud computing. Odzwierciedleniem jest struktura klientów największego w Polsce Centrum Danych ATMAN.
— Naszymi największymi klientami są m.in. banki, ubezpieczyciele i fundusze inwestycyjne. Potwierdzeniem jest niedawny długoterminowy kontrakt z czołową instytucją finansową na udostępnienie 25 proc. powierzchni w nowo otwartym obiekcie kolokacyjnym F4, który jest częścią Centrum Danych ATMAN — powiedział Maciej Krzyżanowski, Prezes Zarządu ATM S.A., dodając — Spodziewamy się, że Rekomendacja D może zachęcić kolejne organizacje finansowe do przeniesienia swoich zasobów do centrów danych, które spełniają najwyższe standardy bezpieczeństwa.
Jak to sprawdzić i na co zwrócić uwagę, by mieć pewność, że dostawca usług kolokacyjnych, hostingowych lub cloud computing gromadzi i przetwarza dane zgodnie z zaleceniami KNF?
Warunek pierwszy: bezpieczeństwo na poziomie prawnym
Jak wynika z Rekomendacji D, banki powinny posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych, a także poprawność działania środowiska teleinformatycznego2.
— To oznacza, że każdy bank, który chce przenieść swoje zasoby do centrum danych, powinien zawrzeć z dostawcą usług centrów danych umowę typu SLA (Service Level Agreement), która pozwala zdefiniować m.in. zakresy odpowiedzialności po stronie dostawcy i użytkownika oraz podnosić poziom jakości i bezpieczeństwa usług w oparciu o najlepsze praktyki. Jednocześnie warto upewnić się, czy lokalizacja centrum danych, w ramach którego świadczone są usługi kolokacyjne, hostingowe lub cloud computing, jest właściwa ze względu na polskie i unijne prawo w zakresie ochrony danych osobowych — powiedział Stanisław Dałek, kierownik produktu w Dziale Rozwoju Usług Telekomunikacyjnych ATM S.A.
Warunek drugi: bezpieczeństwo techniczne i technologiczne
KNF wskazuje, że równie ważne jest zapewnienie adekwatnej mocy do potrzeb banku. Dopiero wtedy infrastruktura teleinformatyczna, w tym zarówno jej architektura, jak i poszczególne komponenty, może zapewnić właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych3.
— W tym celu warto upewnić się, czy centrum danych ma przynajmniej dwa niezależne tory zasilania miejskiego, dodatkowy generator awaryjny, a także dwa niezależne tory zasilania wewnętrznego z podtrzymaniem UPS. Nie mniej istotne są redundantna klimatyzacja i niezawodny dostęp do szerokopasmowego Internetu. Dzięki temu transfer danych może być stabilny i wydajny. Duże moce obliczeniowe zapewniają także serwery z wydajnymi procesorami i pamięciami SSD, a także sieciowe pamięci masowe — dodał Stanisław Dałek.
Warunek trzeci: bezpieczeństwo fizyczne
Bezpieczeństwo w wymiarze prawnym i technologicznym powinny uzupełniać mechanizmy, które zapewnią właściwy poziom kontroli dostępu do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej4.
— Spełnienie tak sformułowanej rekomendacji wymaga w trybie 24/7 nie tylko ochrony i systemu kontroli dostępu, w tym monitoringu CCTV, ale też utrzymania systemu gaszenia, opieki operatorskiej i serwisowej, a także zagwarantowanie wymiany podzespołów lub uszkodzonego serwera w krótkim czasie — wyjaśnił Stanisław Dałek.
* * *
— Dopiero tak zaprojektowane centra danych, jak na przykład CD ATMAN, mogą oferować bezpieczne usługi kolokacyjne, hostingowe i cloud computing, a instytucje finansowe skupić się na własnym biznesie, bez konieczności martwienia się o stabilność działania warstwy technicznej — podsumował Stanisław Dałek.
1 Na podstawie danych Narodowego Banku Polski, zawartych w raporcie „Zwyczaje płatnicze Polaków”, maj 2013.
2 Rekomendacja nr 10 (będąca częścią Rekomendacji D) stanowi, że „bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku”.
3 W rekomendacji nr 9, jako części Rekomendacji D, czytamy, że „bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych”.
4 Rekomendacja nr 11 z kolei, poświęcona m.in. bezpieczeństwu fizycznemu, stwierdza, że „bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej”.
źródło: Biuro Prasowe ATM S.A.
Załączniki:
Hashtagi: #technologie #ekonomia/biznes/finanse
