Raport specjalny Horyzonty Bankowości 2018: Produkty i usługi Oracle pomogą wdrożyć GDPR/RODO

BANK 2018/03

Od 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (GDRP/RODO). To dla wielu organizacji duże wyzwanie logistyczne i technologiczne, do którego trzeba się skutecznie przygotować. Na dostosowanie się do regulacji zawartych w rozporządzeniu firmy działające w krajach UE nie mają wiele czasu.

image

Krzysztof Grabczak
Sales DirectorEnterprise Security,Identity Governance

Proces uzyskania zgodności

Oracle podchodzi kompleksowo do pomocy klientom w procesie uzyskania zgodności z RODO. Organy nadzorcze RODO w wielu krajach członkowskich określiły najważniejsze elementy konieczne dla przygotowania się do zgodności z rozporządzeniem. Tu szczególnie interesujące jest sześciokrokowe podejście organu francuskiego CNIL1 wyróżniające się swoją prostotą i intuicyjnością. Oracle, uogólniając zalecenia organów z różnych państw członkowskich, opracował ramy organizacyjne zawierające główne elementy procesu uzyskania zgodności z RODO i zależności pomiędzy nimi (patrz 1).

image

Andrzej Szymanek
Architect Banking Sector

Identyfikacja

Świadomość miejsca przetwarzania danych osobowych jest pierwszym i kluczowym elementem procesu. Jeśli organizacja nie ma pełnej wiedzy na ten temat, Oracle może dostarczyć zaawansowane narzędzia informatyczne do wykonania „skanu” środowisk IT i może wykryć lub potwierdzić, gdzie są przetwarzane takie dane oraz umożliwić zmapowanie takiego przetwarzania na poszczególne systemy. Wyniki procesu identyfikacji stanowią dane wejściowe dla procesu oceny ochrony danych, który z kolei decyduje o stosowaniu właściwych środków kontrolnych dla ochrony danych i monitorowania ich skuteczności.

Wsparcie Oracle dla oceny skutków ochrony

Konstrukcja RODO bazuje na procesie zarządzania ryzykiem. Oznacza to, że aby móc zdecydować o zakresie stosowania środków kontrolnych, konieczne jest zrozumienie czynników mających wpływ na poziom ryzyka, do których należą między innymi: zakres i miejsce przetwarzania danych (co jest wynikiem fazy identyfikacji) oraz ocena obecnego stanu bezpieczeństwa.

image

Tomasz Kazimierski
CISSP, CISA Enterprise Architect Director

Ocena stanu bezpieczeństwa

Oracle jest największym na świecie dostawcą technologii związanych z zaawansowanymi bazami danych. Wszędzie tam, gdzie przetwarzanie odbywa się w oparciu o programowanie Oracle, firma może wspierać przedsiębiorstwo w ocenie stanu bezpieczeństwa – poprzez mechanizmy raportujące stan bezpieczeństwa oraz mechanizmy monitorujące dynamiczną sytuację występowania zagrożeń, zarówno bazując na stałych regułach określonych w narzędziach monitorujących, jak również uwzględniając dynamicznie zmieniające się zachowania użytkowników i systemów. Wyniki oceny stanu bezpieczeństwa są bezpośrednim wkładem koniecznym dla skutecznego przeprowadzenia analizy ryzyka.

Zapobieganie naruszeniom i ochrona danych

Wymogi, jakie stawia regulacja GDPR, zachęcają firmy do szyfrowania danych, zarządzania incydentami bezpieczeństwa oraz integralnością systemów informatycznych. W przypadku wymogów związanych z RODO, Oracle zwraca szczególną uwagę na wysoki stopień zabezpieczenia dostępu do danych wrażliwych. Może to być zrealizowane przez systemy, które kontrolują dostęp poszczególnych pracowników do konkretnych zasobów danych zgodnie z politykami dostępu. Jeśli z analizy wynika, że dane mają charakter osobowy i mogą podlegać regulacji RODO, wówczas powinny być szyfrowane lub anonimizowane w zależności od sposobu ich wykorzystania w procesie przetwarzania, np. dla celów testowych. Polega to na zamaskowaniu informacji wrażliwych, tak aby uniemożliwić ich skojarzenie z konkretną osobą, której mogłyby dotyczyć. Szyfrowanie zabezpiecza dane wrażliwe przechowywane w bazie danych lub przekazywane z bazy do aplikacji. Jeśli dane przechowywane są w bazach Oracle, to możliwe jest wprowadzenie ich ochrony bez potrzeby wykonywania jakichkolwiek zmian w kodzie oprogramowania.

Wykrywanie i monitorowanie

Niezależnie od potrzeby ciągłego monitorowania poziomu ryzyka, co jest zwykłym elementem zarządzania ryzykiem, RODO wymaga, aby w przypadku naruszenia przedsiębiorstwa powiadamiały odpowiednie organy regulacyjne oraz osoby, których to naruszenie dotyczy.

W rozwiązaniach lokalnych i chmurowych Oracle wspierających bezpieczeństwo można analizować informacje i zdarzenia zachodzące w systemach. Wbudowane mechanizmy machine learning, zasilane wiedzą z wielu monitorowanych instalacji umożliwiają dynamiczne identyfikowanie zdarzeń, obarczonych wysokim stopniem ryzyka. Pozwala to podejmować natychmiastowe kroki zaradcze. Analiza i odkrywanie podejrzanych zdarzeń wspiera proces szybkiej reakcji na ich ewentualne wystąpienie i prowadzi do zablokowania w systemie. Automatyzacja reakcji na zagrożenia jest szczególnie istotna w sytuacji rosnącego ryzyka Crime as a Service (CaaS) identyfikowanego jako jedno z najważniejszych zagrożeń w nadchodzącym czasie.

Prawa i wolności osób

RODO wymaga, by firma przetwarzająca dane osobowe swoich klientów, kontrahentów czy pracowników zapewniała im prawo do dostępu do nich, do ich przeniesienia, usunięcia czy do sprostowania. Firma będzie zobligowana także do ścisłego przestrzegania celów przetwarzania. Oznacza to, że jeśli klient banku wyraził zgodę na przetwarzania jego danych osobowych do celów rozpatrzenia wniosku kredytowego i późniejszej obsługi kredytowej, to na podstawie tej zgody bank nie może klientowi na przykład oferować produktów inwestycyjnych – takie działanie będzie wymagało już osobnej zgody. Częstym problemem w rozbudowanych systemach informatycznych banków jest niespójność danych, ich redundacja oraz rozproszenie. Różne systemy często wspierają wiele różnorodnych procesów biznesowych, co implikuje zazwyczaj ich dużą złożoność. W praktyce często okazuje się, że realizacja prawa do dostępu do informacji albo wykazanie przez bank, na bazie jakich podstaw przetwarzania (zgód marketingowych czy umów) przechowuje on dane osobowe klienta, jest zadaniem nietrywialnym.

Ze względów technicznych pośród innych praw podmiotów, szczególnie wyróżnia się prawo do zapomnienia. Realizacja tego prawa wymaga równocześnie odpowiedniej organizacji oraz odpowiednich zdolności technicznych.

Firma Oracle zapewnia kompleksowe rozwiązania technologiczne umożliwiające bankom uspójnienie oraz centralizację systemów przetwarzających dane osobowe i – poprzez wsparcie procesu zapewnienia wysokiej jakości tych danych, w tym ich deduplikację – umożliwia zarówno prowadzenie skutecznego zarządzania zgodami osób, jak również prawidłową i efektywną realizację praw wymaganych przez RODO (w tym prawa do zapomnienia).

RODO a PSD2

W nieodległej perspektywie czasowej po rozpoczęciu obowiązywania RODO, zacznie obowiązywać także inna europejska regulacja: PSD2 (Payment Service Directive 2). Zgodnie z treścią tej dyrektywy banki będą zobligowane do udostępnienia interfejsu API (Application Programming Interface) firmom zewnętrznym zwanym TPP (Third Party Providers), które staną się dostawcami usług inicjowania płatności bądź usług dostępu do informacji o rachunku. Wprawdzie firmy te nie będą mogły gromadzić danych, do których uzyskają dostęp podczas realizacji powierzonych usług, tym niemniej zyskają dostęp do danych osobowych klientów banków. Udostępnienie API stanowi dla banków istotne wyzwanie nie tylko w aspekcie czysto biznesowym, czyli konieczności „dzielenia” się kontaktem z klientem z firmami trzecimi, ale także w szeroko pojętym aspekcie bezpieczeństwa.

Oracle posiada w swoim portfolio zestaw produktów i usług, które mogą wesprzeć banki w minimalizowaniu negatywnych aspektów wiążących się z PSD2, jak również wzmocnić i przyśpieszyć uzyskiwanie korzyści z nowych możliwości wprowadzanych przez tę dyrektywę oraz zapewnić bezpieczeństwo poprzez monitorowanie działań opisanych wcześniej. Produkty, które bezpośrednio mogą przyczynić się do wsparcia PSD2 to cała rodzina usług Cloud wspierających bezpieczną integrację, przetwarzanie i składowanie danych, jak również najnowsze technologie – takie, jak blockchain.

image

Podsumowanie

Firma Oracle jest przekonana, że poza koniecznością spełnienia nowych wymagań, organizacje powinny postrzegać wdrożenie wymogów GDPR, jako bodziec do dostosowania swojego sposobu działania do wymagań współczesnych klientów funkcjonujących w cyfrowym świecie i zachętę do wydobywania z posiadanych danych jeszcze większej wartości. Oracle ze swoimi zaawansowanymi technologiami i przy wsparciu partnerów pomoże to osiągnąć.

Więcej informacji na temat rozwiązań Oracle pomagających we wdrożeniu RODO pod adresem:  oracle.com/pl/corporate/features/gdpr.html