Mohou úvěrové instituce využívat při svém podnikání tzv. cloud computing?

Pojem "cloud computing" je v odpovědi na tento dotaz použit ve smyslu modelu uplatňovaného v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimální pracností a intervencí poskytovatele1). Z výše uvedeného vymezení cloud computingu vyplývá, že v případě jeho využití úvěrovou institucí by se jednalo o funkcionalitu informačního a komunikačního systému úvěrové instituce [§ 7 odst. 1 písm. d) vyhlášky], přičemž požadavky na informační a komunikační systémy úvěrových institucí stanoví především část druhá hlava I vyhlášky, v rámci požadavků na řídicí a kontrolní systém úvěrové instituce.

 Pokud jde o využívání cloud computingu úvěrovými institucemi, právní předpisy upravující výkon činnosti úvěrových institucí toto nezakazují. Povinností úvěrové instituce však je zajistit i v případě využívání cloud computingu soulad výkonu svých činností se všemi relevantními požadavky právních předpisů.

 Z vyhlášky vyplývá, že případné využívání cloud computingu úvěrovou institucí naplňuje veškeré znaky outsourcingu výkonu určitých činností úvěrové instituce, jak je vymezen v § 12 odst. 1 vyhlášky. Konkrétní způsob využívání cloud computingu úvěrovou institucí tedy musí být především v souladu s požadavky vyhlášky na využívání outsourcingu, včetně požadavků na řízení rizik spojených s využíváním outsourcingu. Tyto požadavky vyplývají zejména z § 12, § 31, § 40 a § 107 a přílohy č. 6 a 7 vyhlášky. Pokud se úvěrová instituce rozhodne využívat cloud computing, vztahují se na takto vykonávané činnosti i další požadavky vyhlášky na řádný a obezřetný výkon činností úvěrové instituce.

 Úvěrová instituce je např. povinna

  •  rozpoznávat a řídit rizika spjatá s novými nebo nestandardními produkty, službami a technologiemi, resp. s cloud computingem, včetně rizik spjatých s jeho začleňováním do stávajících činností a struktur úvěrové instituce [§ 34 odst. 1 vyhlášky],
  •  provést analýzu rizik cloud computingu [příloha č. 6 bod 17 vyhlášky] a následně využívat výsledky analýzy rizik cloud computingu např. pro účely řízení rizik informačních a komunikačních systémů a technologií [příloha č. 6, část Informační systémy a technologie vyhlášky] a kontroly poskytovatele outsourcingu [§ 12 písm. d) vyhlášky], např. z hlediska bezpečnostního monitoringu a řízení bezpečnostních incidentů v souvislosti s cloud computingem,
  •  zajistit zavedení, udržování a uplatňování bezpečnostních zásad pro cloud computing [§ 18 odst. 1 písm. h) vyhlášky], ve kterých vždy upřesní hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací [příloha č. 6 bod 15 písm. b) vyhlášky],
  •  zajistit zavedení, udržování a uplatňování účinných zásad a postupů řízení rizika outsourcingu v oblasti cloud computingu [příloha č. 7 vyhlášky],
  •  zajistit zpětnou vysledovatelnost a rekonstruovatelnost schvalovacích a rozhodovacích procesů a kontrolních a dalších významných činností [§ 11 odst. 2 vyhlášky] spojených s využíváním cloud computingu, například činností týkajících se přípravy a schvalování smluvního vztahu,
  •  promítnout zásady a postupy využívání cloud computingu a s tím souvisejících řídicích, kontrolních a dalších činností do svých vnitřních předpisů a pravidelně prověřovat, zda vnitřní předpisy a jí zvolené uznávané standardy jsou aktuální a v souladu s dalšími požadavky vyhlášky a jiných právních předpisů [§ 10 odst. 1 a 5 vyhlášky].

V souladu s § 9 vyhlášky je úvěrová instituce povinna i v případě využívání cloud computingu plnit požadavky vyhlášky na řídicí a kontrolní systém a jeho součásti také s přihlédnutím k povaze, rozsahu a složitosti činností a dalším relevantním skutečnostem. Tomu odpovídá, aby úvěrová instituce v případě využívání cloud computingu pro plné nebo částečné zpracování klientských dat nebo finančních transakcí atp. plně dodržovala všechny příslušné obezřetnostní požadavky vyhlášky. Případné přiměřené zmírnění je akceptovatelné pouze v ostatních případech, např. pokud jde o využití cloud computingu pro účely podpory spolupráce a sdílení informací v rámci úvěrové instituce. Vzhledem k dynamickému rozvoji informačních a komunikačních technologií je vysoce relevantní také požadavek téhož ustanovení vyhlášky přihlížet k vývoji prostředí, ve kterém úvěrová instituce podniká.

Závěrem zmiňujeme, že úvěrová instituce je rovněž povinna, v souladu s § 10 odst. 3 písm. a) bod 1 vyhlášky, dodržovat i při využívání cloud computingu právní povinnosti, které jí vyplývají z jiných právních předpisů (mimo působnost České národní banky), např. pokud jde o pravidla ochrany osobních údajů a zajišťování kybernetické bezpečnosti.

-----------
1 Definice převzatá od Národního ústavu pro normalizaci a technologie USA NIST (2009): "Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction."
 http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

Toto stanovisko vyjadřuje názor pracovníků České národní banky. Soud a případně i bankovní rada České národní banky mohou zaujmout odlišný názor.