A Magyar Nemzeti Bank pénzügyi felügyeletként 2017 elején Ajánlást tett közzé a közösségi és publikus felhőszolgáltatások igénybevételéről. Az Ajánlás a jegybanktörvény által szabályozott olyan jogi norma, amely nem kötelező a pénzügyi szervezetekre nézve, az MNB azonban az ellenőrzései és monitoring tevékenysége során vizsgálni szokta az annak való megfelelést [1].

 

A téma felügyelet által is érzékelt jelentőségét adja, hogy a pénzügyi felügyelet második alkalommal publikált az adott témában, korábban egy vezetői körlevél már foglalkozott a közösségi és publikus felhőszolgáltatás igénybevételével [2].

Az Ajánlás a National Institute of Standards and Technology (USA) “The NIST Definition of Cloud Computing” című dokumentuma alapján határozza meg a felhőszolgáltatással kapcsolatos fogalmakat. Publikus felhő alatt a bárki számára elérhető, közösségi felhő alatt valamilyen szervező elv mentén több szereplő számára megosztott módon elérhető felhőszolgáltatást ért.

 

A felhőszolgáltatás létjogosultsága és a fő modellek

A felhőszolgáltatás igénybe vétele költséghatékony megoldás lehet az egyébként is komoly informatikai költségekkel járó pénzügyi szervezeti működés során. A pénzügyi szervezeteknek a felhőszolgáltatás igénybe vétele előtt figyelembe kell venniük a szolgáltatás képességei, költsége, kockázatai, biztonsági követelményei mellett a szigorú, néha nehézkesen érvényesíthető jogszabályi előírásokat is.

A felhőszolgáltatás fő szolgáltatási modelljei aszerint különböztethetők meg, hogy a szolgáltatásban érintett egyes elemek feletti kontrollt a szolgáltató vagy szolgáltatást igénybe vevő felhasználó gyakorolja. Ezt szemlélteti az alábbi ábra.

felhőszolgáltatási modellek MNB ajánlás

Felhőszolgáltatási modellek – Saját szerk.

 

Miért jelentős a szolgáltatási elemek feletti kontroll megfelelő szabályozása?

A szolgáltatási elemek a pénzügyi szervezetek számára kulcsfontosságúak, mivel ezek egyrészt a tevékenységi engedélyükhöz megkövetelt informatikai, tárgyi, technikai, műszaki feltételek teljesítéséhez, másrészt az adatvédelmi, pénzügyi fogyasztóvédelmi szempontból is az ő felelősségi körükbe tartoznak.

Az egyes elemek fölötti nem megfelelő rendelkezés vagy kontroll felügyeleti kockázattal és az ügyfelek részéről jelentkező kárigényekkel is járhat. Emiatt fontos, hogy egy felhőszolgáltatást igénybe vevő pénzügyi szervezet megfelelően járjon el a felhőszolgáltatás és szolgáltató kiválasztása során, és megfelelően szabályozza a felhőszolgáltatóval kötött szerződésében az egyes elemek fölötti kontroll tényleges tartalmát.

A fenti táblázatból látható, hogy a szolgáltatási elemek fölötti közvetlen kontroll az IaaS-től az Saas irányába haladva egyre inkább a felhőszolgáltatóhoz kerül. Mindez a pénzügyi szervezetek oldalán azzal a feladattal jár, hogy a közvetlen kontroll „felülvezérlését”, az utasítási és ellenőrzési jogokat biztosító szerződéseket kössenek a felhőszolgáltatókkal. Ez nem mindig könnyű, hiszen a bevett modell szerint a felhőszolgáltatók a saját előre elkészítet sablon általános szerződési feltételeikkel kínálják a szolgáltatásaikat.

 

Kiszervezés: felelősség az intézmények oldalán

A pénzügyi szervezetek részéről az általuk végzett engedélyköteles (pénzügyi, befektetési, biztosítói, stb.) szolgáltatások alapfeltétele a megfelelő informatikai rendszer megléte és működtetése. A pénzügyi ágazati törvények (Hpt., Bszt., Fsztv., Bit. [3]) és a végrehajtásukra kiadott jogszabályok lépésről lépésre szigorítottak ezeken a feltételeken, elég csak az informatikai rendszerek zártságára vonatkozó rendszeresen megújítandó tanúsítási eljárás kötelezővé tételére gondolni [4].

Az Ajánlás értelmében a pénzügyi szervezet felelőssége azonosítani a kockázatokat a felhőszolgáltatás életciklusának minden fázisában, és megvalósítani az arányos védelmi intézkedéseket. Ennek megfelelően az Ajánlás a felhőszolgáltatás igénybevételét különböző fázisokra bontja le – döntés-előkészítés, tervezés, kockázatkezelés, szerződéses követelmények, bevezetés, üzemeltetés, kivezetés – és a pénzügyi szervezetek számára az egyes fázisokra vonatkozóan fogalmaz meg elvárásokat, illetve felhőszolgáltatás-biztonsági alapelveket.

A felhőszolgáltatás igénybe vétele a fent említett pénzügyi ágazati jogszabályok szerint kiszervezésnek minősül. A kiszervezés feltételei ágazati jogszabályonként némileg eltérnek, közös azonban, hogy a kiszervezés ellenére a jogszabályi megfelelőség biztosítása továbbra is a kiszervező pénzügyi intézmény feladata és felelőssége.

Az egyes ágazati jogszabályok egy-egy funkció kiszervezése előtt megkövetelik a kiszervezett tevékenység és az egész kiszervezési szerkezet pénzügyi szervezet általi értékelését, kockázatelemzését és csak akkor tekintik legitimnek a kiszervezést, ha az értékelő anyag szerint a kiszervezés a saját körön belül végzett tevékenységhez képest hatékony, ugyanakkor ahhoz képest nem kockázatosabb és biztonságos megoldás.

Az egyes ágazati jogszabályok a kiszervezésre vonatkozó szerződésre kötelező tartalmi elemeket írnak elő, ilyen például a pénzügyi intézmény belső ellenőrzése, könyvvizsgálója, a MNB általi ellenőrizhetőség biztosítása, az adatvédelmi és a különböző ügyféltitokra, banktitokra, biztosítási titokra, értékpapírtitokra, fizetési titokra vonatkozó rendelkezések beépítése, a megfelelő vészhelyzeti, helyreállítási terv megléte.

A „jó” szerződés rendelkezik egyebek mellett a szolgáltatási színvonal részleteiről (SLA-ról), a felhőbe kerülő adatok, ott kialakuló adatbázis felhasználói és hozzáférési jogairól, a megfelelő incidens jelentési és kezelési eljárásról, a változáskezelés rendjéről, a kilépési stratégiáról, és az adathordozhatóság érdekében arról, hogy a felhőbe került adatokat a felhasználó pénzügyi intézmény bármikor „elviheti”, az ennek érdekében szükséges adatmigrálási feladatokban a felhőszolgáltató együttműködik. Az Ajánlás a fentiek mellett még számos további szerződéses követelményt is felsorol.

Az Ajánlás részletes követelményeket támaszt a felhőszolgáltatás bevezetése, előkészítése, végrehajtása, üzemeltetése, biztonságmenedzsmentje és kivezetése körében elvárt, pénzügyi szervezetre háruló feladatokkal kapcsolatban.

Az MNB az Ajánlásban felsorolja, hogy a felügyeleti ellenőrzések során a jogszerű működésről való megbizonyosodás érdekében az alábbiakra helyez hangsúlyt:

  1. a döntés-előkészítés anyagai, különösen a költség-haszon elemzés, követelménylisták,
  2. a kockázatelemzés és a kockázatcsökkentő intézkedések,
  3. a szolgáltatás-kivezetési stratégia és akcióterv,
  4. a felhőszolgáltatásról szóló szerződés(ek) és kiegészítései(k),
  5. az informatikai biztonság és adatvédelmi követelmények meghatározása és érvényesítése, az IT kontrollok megfelelősége,
  6. az intézmény bizonyosságszerzésének megfelelősége,
  7. BCP/DRP (üzletmenet-folytonossági és helyreállítási- vagy katasztrófatervek), tesztjegyzőkönyvek,
  8. a függetlenül tárolt mentések ellenőrzése.

 

Záró gondolatok

A fentiek alapján nehéznek tűnik teljesíteni azokat az elvárásokat, amelyek még az offline világból erednek, ilyen például az adatkezelés, adatfeldolgozás és adattárolás pontos helyszínének rögzítése. Nem kis kihívás a szerződéskötés során a felhőszolgáltatóval szemben az alkalmazandó jog kérdésében való megállapodás vagy a magyar jogszabályi és felügyeleti elvárások érvényesítése, az utóbbi azonban feltétele annak, hogy a pénzügyi szervezet jogszerűen vehessen igénybe felhőszolgáltatást.

 

felhőszolgáltatások MNB ajánlás

A cikk szerzői Gárdos Péter és Szabó Dániel a Gárdos Füredi Mosonyi Tomori Ügyvédi Iroda partnerei

 

A Gárdos Füredi Mosonyi Tomori Ügyvédi Iroda kapcsolódó írásai a FinTechZone-on:

 

[1] Az ajánlás a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 13. § (2) bekezdés i) pontja szerinti szabályozó eszköz, amely kifejezi a jogszabályok által támasztott követelményeket, az MNB jogalkalmazási gyakorlata alapján alkalmazni javasolt elveket, módszereket, a piaci szabványokat és szokványokat.
[2] PSZÁF 4/2012. vezetői körlevél
[3] 2013. évi CCXXXVII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról (Hpt.), 2007. évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól (Bszt.), 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról (Fsztv.), 2014. évi LXXXVIII. törvény a biztosítási tevékenységről (Bit.).
[4] 42/2015. (III. 12.) Korm. rendelet a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről.