Комментарии по теме

«Cloud Computing и SAP»
Константин Жуков:
Олег, добрый день! В качестве ответа на Ваш комментарий, я разместил еще один пост. http://www.sapland.ru/blogs/jukov/?post=3076   С Уважением, Константин.
«Cloud Computing: будет ли завтра облачным»
Константин Жуков:
Добрый день, Ринат! Первая часть материалов размещена в следующем посте по ссылке http://www.sapland.ru/blogs/jukov/?post=2909   С Уважением, Константин.
«Cloud Computing и SAP»
Олег Точенюк:
А может прежде чем описывать прадигму, попытаетесь объяснить, в чем суть "облачных" вычислений в SAP, пока у меня ощущения как и с SAP BusinessObjects, т.е. тот же BW, только в новой обертке, но...

База знаний

Вы можете подписаться на эту колонки этого автора, если авторизируетесь или зарегистрируетесь

Банки: трудный путь в облака

25 апреля 2016, 15:55

В начале апреля Михаил Логинов анонсировал серию материалов об использовании облачных технологий в банках. Рынок облачных приложений растёт во всём мире. Более половины общих трат приходится на подписку на облачные сервисы.

Существует общемировая тенденция выноса непрофильных задач на оутсорсинг. И если абстрагироваться, вычисления – это тот же сервис, который может быть вынесен на обслуживаени сторонней организацией, которая обеспечит необходимый уровень сервиса и отказоустойчивости. Не обязательно покупать сервера, програмное обеспечение, если есть возможность получить необходимые услуги и заплатить только за потреблённый объём ресурсов.

Но банковская отрасль России немного позади общемировых тенденций. Сейчас банки предпочитают владеть всей инфраструктурой, сервисами и управлять всеми рисками. Зачастую банки создают собственную облачную инфраструктуру. Число подписок на облачные сервисы невелико. Банки используют внешние сервисы там, где всё взаимодействие чётко урегулировано на законодательном уровне.

Можно считать, что обмен информацией с Национальным бюро кредитной истории является использованием внешнего сервиса. Чётко прописаны правила передачи персональных данных, зоны ответственности, закрыты практически все законодательные риски. Это позволяет проводить скоринг клиентской базы, выявлять мошенников и просто граждан с повышенной кредитной нагрузкой и пониженной финансовой дисциплиной.

Но информация требует бережного обращения. Особенно в части работы с персональными данными, банковской и коммерческой тайной. Приведу лишь частичный перечень документов, которые регламентируют данный процесс:

  • Закон РФ "О персональных данных", N 152-ФЗ
  • Закон РФ "О коммерческой тайне"  N 98-ФЗ
  • Гражданский кодекс РФ, статья 857 "Банковская тайна"
  • Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации
  • Приказ Роскомнадзора № 996  "Об утверждении требований и методов по обезличиванию персональных данных"
  • Рекомендации ЦБ РС БР ИББС-2.6-2014   "Обеспечение ИБ в стадиях жизненного цикла АБС"
  • Федеральный закон от № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

 

При этом различные законодательные акты могут противоречить друг другу. Формулировки написаны широко, без учёта специфики. Чтобы проводить обработку персональных данных, согласно 152-ФЗ, необходимо явное согласие субьекта персональных данных (физического лица).

Предположим такую ситауцию, что банковская организация арендовала серверные мощности в центре обработки данных для поддержания зеркала операционного дня. Цель – предотвращение физических и логических сбоев, сохранения непрерывности бизнеса. Этот шаг напрямую противоречит закону 152-ФЗ, статье 6, п.3

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

Бекап системы на зеркало в датацентре можно трактовать как передачу персональных данных. Это значит, что внешний дата-центр выступает оператором по обработке персональных данных.  Такая схема требует явного письменного согласия каждого физического лица клиента банка, что практически невозможно организовать. Особенно с учётом, что отношения с некоторыми клиентами не сложиись и они могут скрываться от службы взыскания банка.

 Как альтернативный вариант, можно проработать юридические нюансы аренды оборудования, заключить дополнительные соглашения о неразглашении, доступе к оборудованию только специалистов банка, выкуп квадратных метров датацентра, где расположены сервера. В любом случае - это дополнительные трудности и юридические риски.

В 2011 году была принята поправка к законодательству, состоящая в том, что деятельность банков в части работы с персональными данными регулируется подзаконными актами Центробанка. Но это значит, что подзаконные акты не должны входить в противоречие с законом, а по факту есть рахождения.

Использование облачных технологий и сервисов может уменьшить капитальные затраты банков на инфраструктуру, разработку и разворачивание сервисов, на поддержку. Это, в свою очередь, может уменьшить стоимость услуг для клиентов. Но чтобы банки пошли работать в облака, необходима планомерная работа Центробанка по гармонизации законодательства. Необходимы простые, чёткие, прозрачные правила!

Возможно это позволит выйти на рынок информационных услуг небольшим компаниям с инновационными решениями, хотя вряд ли стоит ожидать такого «счастья» от российского регулятора. Ну, а пока, каждый банк продолжит создавать собственную и неповторимую инфраструктуру, покупать сервера и выдумывать велосипед.

Комментарии:

Олег Точенюк (Рейтинг: 10718) 14:06, 26 апреля 2016

===
доступе к оборудованию только специалистов банка, выкуп квадратных метров датацентра, где расположены сервера
===
О, так этим сейчас банки и занимаются, просто выкупленные метры размещают сразу на своих территориях, как в прочем и оборудование со специалистами :-)