W coraz większym stopniu konkurencyjność instytucji finansowych jest warunkowana przez bezpieczne gromadzenie i przetwarzanie danych. Prawie 90 proc. Polaków otrzymuje wynagrodzenia przelewem, 77 proc. posiada rachunek oszczędnościowo-rozliczeniowy, a 66 proc. posiada kartę płatniczą1. Na popularności zyskują również bankowość mobilna i analizy Big Data, które umożliwiają instytucjom finansowym skuteczniejsze personalizowanie oferty.
Co by się jednak wydarzyło, gdyby dostęp do danych został przerwany choćby na chwilę?
Wystarczy przywołać w pamięci powtarzające się doniesienia o awariach bankowych serwisów internetowych lub utracie danych klientów, by dostrzec skalę zagrożeń. Tym większą, im więcej informacji jest gromadzonych i przetwarzanych w formie elektronicznych plików. Rosnące niebezpieczeństwo utraty (dostępu do) danych dostrzegła również Komisja Nadzoru Finansowego, która przedstawiła harmonogram dostosowania instytucji finansowych do Rekomendacji D do końca 2014 r.
Instytucje finansowe wybierają centra danych
Celem Rekomendacji D jest nakłonienie instytucji finansowych, aby zapewniły swojej technologii informacyjnej zarówno stabilność, jak i bezpieczeństwo. Obie możliwości — przy jednoczesnej optymalizacji kosztów utrzymania infrastruktury IT — oferują zdobywające coraz większą popularność usługi centrów danych: kolokacja, hosting i cloud computing. Odzwierciedleniem jest struktura klientów największego w Polsce Centrum Danych ATMAN.
— Naszymi największymi klientami są m.in. banki, ubezpieczyciele i fundusze inwestycyjne. Potwierdzeniem jest niedawny długoterminowy kontrakt z czołową instytucją finansową na udostępnienie 25 proc. powierzchni w nowo otwartym obiekcie kolokacyjnym F4, który jest częścią Centrum Danych ATMAN — powiedział Maciej Krzyżanowski, Prezes Zarządu ATM S.A., dodając — Spodziewamy się, że Rekomendacja D może zachęcić kolejne organizacje finansowe do przeniesienia swoich zasobów do centrów danych, które spełniają najwyższe standardy bezpieczeństwa.
Jak to sprawdzić i na co zwrócić uwagę, by mieć pewność, że dostawca usług kolokacyjnych, hostingowych lub cloud computing gromadzi i przetwarza dane zgodnie z zaleceniami KNF?
Warunek pierwszy: bezpieczeństwo na poziomie prawnym
Jak wynika z Rekomendacji D, banki powinny posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych, a także poprawność działania środowiska teleinformatycznego2.
— To oznacza, że każdy bank, który chce przenieść swoje zasoby do centrum danych, powinien zawrzeć z dostawcą usług centrów danych umowę typu SLA (Service Level Agreement), która pozwala zdefiniować m.in. zakresy odpowiedzialności po stronie dostawcy i użytkownika oraz podnosić poziom jakości i bezpieczeństwa usług w oparciu o najlepsze praktyki. Jednocześnie warto upewnić się, czy lokalizacja centrum danych, w ramach którego świadczone są usługi kolokacyjne, hostingowe lub cloud computing, jest właściwa ze względu na polskie i unijne prawo w zakresie ochrony danych osobowych — powiedział Stanisław Dałek, kierownik produktu w Dziale Rozwoju Usług Telekomunikacyjnych ATM S.A.
Warunek drugi: bezpieczeństwo techniczne i technologiczne
KNF wskazuje, że równie ważne jest zapewnienie adekwatnej mocy do potrzeb banku. Dopiero wtedy infrastruktura teleinformatyczna, w tym zarówno jej architektura, jak i poszczególne komponenty, może zapewnić właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych3.
— W tym celu warto upewnić się, czy centrum danych ma przynajmniej dwa niezależne tory zasilania miejskiego, dodatkowy generator awaryjny, a także dwa niezależne tory zasilania wewnętrznego z podtrzymaniem UPS. Nie mniej istotne są redundantna klimatyzacja i niezawodny dostęp do szerokopasmowego Internetu. Dzięki temu transfer danych może być stabilny i wydajny. Duże moce obliczeniowe zapewniają także serwery z wydajnymi procesorami i pamięciami SSD, a także sieciowe pamięci masowe — dodał Stanisław Dałek.
Warunek trzeci: bezpieczeństwo fizyczne
Bezpieczeństwo w wymiarze prawnym i technologicznym powinny uzupełniać mechanizmy, które zapewnią właściwy poziom kontroli dostępu do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej4.
— Spełnienie tak sformułowanej rekomendacji wymaga w trybie 24/7 nie tylko ochrony i systemu kontroli dostępu, w tym monitoringu CCTV, ale też utrzymania systemu gaszenia, opieki operatorskiej i serwisowej, a także zagwarantowanie wymiany podzespołów lub uszkodzonego serwera w krótkim czasie — wyjaśnił Stanisław Dałek.