MNB ajánlás a felhőszolgáltatások igénybevételéről

Bank- és hiteljog, Tőkepiac Felügyelet 2017. március 20.

A Magyar Nemzeti Bank („MNB”) ajánlást [MNB 2/2017. (I. 12.) számú ajánlása] adott ki a közösségi és publikus felhőszolgáltatások igénybevételéről. Az ajánlás célja, hogy a pénzügyi szervezetek számára gyakorlati útmutatást adjon a közösségi és publikus felhőszolgáltatások igénybevételéből eredő kockázatok kezeléséhez és a vonatkozó jogszabályi rendelkezések egységes alkalmazásához.

Az ajánlás értelmében a pénzügyi szervezet felelőssége azonosítani a kockázatokat a felhőszolgáltatás életciklusának minden fázisában, és megvalósítani az arányos védelmi intézkedéseket.

Ennek megfelelően az ajánlás a felhőszolgáltatás igénybevételét különböző fázisokra bontja le (döntés-előkészítés, tervezés, kockázatkezelés, szerződéses követelmények, bevezetés, üzemeltetés, kivezetés) és a pénzügyi szervezetek számára az egyes fázisokra vonatkozóan fogalmaz meg elvárásokat illetve felhőszolgáltatás-biztonsági alapelveket.

A teljesség igénye nélkül az ajánlás a következőket tartalmazza: 

  • a felhőszolgáltatás igénybevétele kiszervezésnek minősül, amennyiben személyes adatot vagy az ügyfélre vonatkozó, a pénzügyi ágazati törvények által védett titoknak minősülő adatot érint;
  • szükséges az adatkezelés, adatfeldolgozás és tárolás pontos, legalább adatközpontú helyszíneinek rögzítése;
  • felhőszolgáltatásból való kilépés kockázatainak csökkentése érdekében a pénzügyi szervezet kivezetési stratégiát dolgoz ki;
  • a pénzügyi szervezet a szolgáltatás szerződéses feltételeivel köteles biztosítani, hogy az MNB a felhőszolgáltatás vizsgálata során helyszíni vagy helyszínen kívüli vizsgálatot végezhessen a szolgáltatónál is, azzal, hogy az ellenőrzés jogát ésszerű keretek között korlátozhatják a felek;
  • a pénzügyi szervezettel szemben elvárás, hogy a rá irányadó adatvédelmi jogszabályok és előírások felhőszolgáltató általi betartásáról meggyőződjön (ideértve annak ellenőrzését, hogy a szolgáltató által igénybevett alvállalkozó milyen feltételekkel férhet hozzá az adatokhoz és kockázat azonosítása esetén mérlegelése szerint ne járuljon hozzá az alvállalkozó igénybevételéhez);
  • biztonsági incidens kezelési eljárás szerződéses rögzítése (ideértve a szolgáltató azon kötelezettségének rögzítését, hogy a szolgáltatást és a szolgáltatót a felhőszolgáltatás kapcsán ért biztonsági incidensekről késedelem nélkül tájékoztatást nyújtson).

Vissza a hírekhez