Doniesienia o awariach bankowych serwisów internetowych lub utracie danych zaczynają coraz bardziej niepokoić klientów. Problem dostrzegła również Komisja Nadzoru Finansowego, która przedstawiła harmonogram dostosowania instytucji finansowych do Rekomendacji D do końca 2014 roku.

Wystarczy przywołać w pamięci powtarzające się doniesienia o awariach bankowych serwisów internetowych lub utracie danych klientów, by dostrzec skalę zagrożeń. Tym większą, im więcej informacji jest gromadzonych i przetwarzanych w formie elektronicznych plików. Rosnące niezbepieczeństwo utraty (dostępu do) danych

Instytucje finansowe wybierają centra danych

Celem Rekomendacji D jest nakłonienie instytucji finansowych, aby zapewniły swojej technologii informacyjnej zarówno stabilność, jak i bezpieczeństwo. Obie możliwości – przy jednoczesnej optymalizacji kosztów utrzymania infrastruktury IT – oferują zdobywające coraz większą popularność usługi centrów danych: kolokacja, hosting i cloud computing. Odzwierciedleniem jest struktura klientów największego w Polsce Centrum Danych ATMAN. – Naszymi największymi klientami są m.in. banki, ubezpieczyciele i fundusze inwestycyjne. Potwierdzeniem jest niedawny długoterminowy kontrakt z czołową instytucją finansową na udostępnienie 25 proc. powierzchni w nowo otwartym obiekcie kolokacyjnym F4, który jest częścią Centrum Danych ATMAN – powiedział Maciej Krzyżanowski, Prezes Zarządu ATM S.A., dodając – Spodziewamy się, że Rekomendacja D może zachęcić kolejne organizacje finansowe do przeniesienia swoich zasobów do centrów danych, które spełniają najwyższe standardy bezpieczeństwa.
Jak to sprawdzić i na co zwrócić uwagę, by mieć pewność, że dostawca usług kolokacyjnych, hostingowych lub cloud computing gromadzi i przetwarza dane zgodnie z zaleceniami KNF?

Warunek pierwszy: bezpieczeństwo na poziomie prawnym

Jak wynika z Rekomendacji D, banki powinny posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych, a także poprawność działania środowiska teleinformatycznego .
– To oznacza, że każdy bank, który chce przenieść swoje zasoby do centrum danych, powinien zawrzeć z dostawcą usług centrów danych umowę typu SLA (Service Level Agreement), która pozwala zdefiniować m.in. zakresy odpowiedzialności po stronie dostawcy i użytkownika oraz podnosić poziom jakości i bezpieczeństwa usług w oparciu o najlepsze praktyki. Jednocześnie warto upewnić się, czy lokalizacja centrum danych, w ramach którego świadczone są usługi kolokacyjne, hostingowe lub cloud computing, jest właściwa ze względu na polskie i unijne prawo w zakresie ochrony danych osobowych – powiedział Stanisław Dałek, kierownik produktu w Dziale Rozwoju Usług Telekomunikacyjnych ATM S.A.

Warunek drugi: bezpieczeństwo techniczne i technologiczne

KNF wskazuje, że równie ważne jest zapewnienie adekwatnej mocy do potrzeb banku. Dopiero wtedy infrastruktura teleinformatyczna, w tym zarówno jej architektura, jak i poszczególne komponenty, może zapewnić właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych . – W tym celu warto upewnić się, czy centrum danych ma przynajmniej dwa niezależne tory zasilania miejskiego, dodatkowy generator awaryjny, a także dwa niezależne tory zasilania wewnętrznego z podtrzymaniem UPS. Nie mniej istotne są redundantna klimatyzacja i niezawodny dostęp do szerokopasmowego Internetu. Dzięki temu transfer danych może być stabilny i wydajny. Duże moce obliczeniowe zapewniają także serwery z wydajnymi procesorami i pamięciami SSD, a także sieciowe pamięci masowe – dodał Stanisław Dałek.

Warunek trzeci: bezpieczeństwo fizyczne

Bezpieczeństwo w wymiarze prawnym i technologicznym powinny uzupełniać mechanizmy, które zapewnią właściwy poziom kontroli dostępu do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej .
– Spełnienie tak sformułowanej rekomendacji wymaga w trybie 24/7 nie tylko ochrony i systemu kontroli dostępu, w tym monitoringu CCTV, ale też utrzymania systemu gaszenia, opieki operatorskiej i serwisowej, a także zagwarantowanie wymiany podzespołów lub uszkodzonego serwera w krótkim czasie – wyjaśnił Stanisław Dałek.