A PSZÁF levelét megírta - fókuszban a felhők

A Pénzügyi Szervezetek Állami Felügyelete 2012. július 18-án kiadta 4/2012. számú vezetői körlevelét a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról. A levélben található következő üzenet pozitív jelzésként értelmezhető a Felügyelet részéről:

 „Amennyiben egy intézmény felhőszolgáltatást vesz igénybe, az kiszervezésként kezelendő, amelyre az egyes ágazati jogszabályok tartalmazzák az irányadó követelményeket.”

Ezzel párhuzamosan érdemes feltüntetni az 1996. évi CXII. törvény hitelintézetekről és a pénzügyi vállalkozásokról szóló 13/A paragrafusának (Kiszervezés) első pontját:

„A hitelintézet pénzügyi-, illetőleg kiegészítő pénzügyi szolgáltatási tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés, adatfeldolgozás vagy adattárolás valósul meg, az adatvédelmi előírások betartása mellett kiszervezheti.”

Egyértelmű jelzés ez a Felügyelet részéről, hogy nem zárkózik el a pénzügyi szolgáltatásokhoz kapcsolódó tevékenységek felhőszolgáltatásként történő igénybevételétől. Innentől kezdve, ha egy bank felhőről beszél, egyértelműen kiszervezésről beszél, ami pedig szabályozott.

A körlevél hátralévő részében a legnagyobb kockázatok szerepelnek, melyben a PSZÁF kiemelten felhívja az intézmények menedzsmentjének, az Informatikai Belső Ellenőrzésnek, a Compliance területnek, valamint a jogi területeknek figyelmét, hogy amennyiben felhőszolgáltatást kívánnak igénybe venni, akkor kiemelt gondot fordítsanak a magyar és uniós jogszabályokra, adatvédelmi előírásokra és természetesen a megkötendő szolgáltatási főszerződésre (SLA).

A felhőnek számos előnye van, ugyanakkor alaposan végig kell gondolni egy átállást. Az adatok osztályozása, a kockázatok elemzése elengedhetetlen. Főleg elengedhetetlen ez egy hitelintézet és egy pénzügyi vállalkozás számára, ahol a Hpt. 13/C paragrafusa kötelezi is az intézményt, hogy legalább kétévente vizsgálja felül és aktualizálja az informatikai rendszer biztonsági kockázatelemzését. Nagyon fontos, hogy megjelennek ugyanakkor új, felhő-specifikus kockázatok is, amiket például a vezetői levélben hivatkozott ENISA (az EU hálózatbiztonsági szervezete) a cloud computing kockázatairól szóló dokumentumaiban elemez. Ezeket a kockázatokat a megfelelő kontrollokkal kell kezelni. Ezen kontrollok többsége nem újdonság, ugyanakkor nagyon alapos munkát igényel azok kialakítása.

Miért is nagy jelentőségű gazdaságilag ez az üzenet? A kisebb hitelintézetek és pénzügyi vállalkozások mostantól már szabadon gondolkodhatnak a „felhőben”. Így már valós alternatívaként jelentkezik, ha egy bank a cloud computing segítségével akar költséget csökkenteni, hatékonyságot javítani vagy mobilitást növelni. A versenyelőny rengeteget számít, és egy hitelintézet a modernizálással könnyen differenciálhatja magát a piacon, mindezt alacsony költségen. Példának okáért, ahogy a vezetői körlevélben is szerepel, Spanyolországban egy bank már kellően körültekintő módon alkalmazza a publikus felhőt és élvezi az általa nyújtotta előnyöket. Természetesen a kulcsszó itt is a körültekintés.

Nem várható, hogy a körlevél hatására minden hazai kisbank a holnapi naptól teljes informatikáját megreformálja a felhő segítségével, ugyanakkor most már szabadon gondolhat rá, és vizsgálhatja meg ennek a lehetőségnek a költségeit, illetve megtérülését, hiszen innentől kezdve kiszervezésként kezelendő, ha egy intézmény felhőszolgáltatást vesz igénybe.