Raport specjalny – „Ranking największych banków w Polsce”: Problem trwałego nośnika rozwiązany

BANK 2018/06

O trwałym nośniku swego czasu było głośno. I nic dziwnego, to problem z pogranicza bankowości, interpretacji norm prawnych oraz najnowszych technologii.

O trwałym nośniku swego czasu było głośno. I nic dziwnego, to problem z pogranicza bankowości, interpretacji norm prawnych oraz najnowszych technologii.

Mariusz Sudoł, Tadeusz Woszczyński Hitachi Europe Ltd.

Stworzono nawet kilka ścieżek ułatwiających rozwiązanie tego zagadnienia. Mimo to zespół Hitachi w Polsce postanowił gruntownie zająć się tą kwestią. Celem podjętych prac było nie tylko dogłębne przeanalizowanie problemu, poznanie wymogów nakładanych przez Urząd Ochrony Konkurencji i Konsumentów, ale także opracowanie koncepcji technologicznej, funkcjonalnej i prawnej rozwiązania trwałego nośnika. Następnie zaś odpowiednie ich skonsultowanie i przedstawienie klientom bankowym koncepcji w pełni spełniającej wymogi UOKIK, przy minimalnej konieczności ingerencji w dotychczasowe systemy banku, a co za tym idzie, przy jak najniższym koszcie. Kluczowym założeniem było wdrożenie rozwiązania i przechowywanie informacji w infrastrukturze informatycznej banku bez konieczności korzystania z usług stron trzecich.

imageimage

Kluczowy element rozwiązania?

Wykorzystana w zaproponowanym rozwiązaniu macierz WORM jest obiektową macierzą dyskową z wbudowanym sprzętowo szeregiem mechanizmów bezpieczeństwa, w tym mechanizmem WORM (ang. Write Once Read Many) czy też retencją danych. Macierze WORM od lat stosują największe banki na całym świecie w projektach regulacyjnych. Oprócz informacji przechowują one metadane pozwalające na opis danego pliku i jego zawartości, indeksowanie i szybkie wyszukiwanie danych.

Nazwa WORM pochodzi od technologii przechowywania danych, która polega na jednokrotnym ich zapisie na nośniku, bez późniejszej możliwości ich zmodyfikowania – wszystko po to, aby zapobiec przypadkowemu usunięciu lub zmianie poufnych informacji przez użytkowników. Przykładem pamięci WORM są dyski optyczne CD-R lub DVD-R, jak również właśnie macierze WORM

W macierzy obiektowej niezmienności pilnuje nie tylko sama technologia WORM, ale również mechanizm sum kontrolnych (kluczy hash). Generowane są one dla każdego zapisywanego w magazynie dokumentu i są regularnie weryfikowane przez uruchomiony w tle proces. Dzięki temu pozwalają one na utrzymanie tak zwanego łańcucha dozoru oraz udowodnienie przed regulatorem (lub klientem banku) autentyczności dokumentu. A gdy do tego dodamy jeszcze politykę retencji, która zabrania usuwania pliku przed upływem określonego czasu, to będziemy mieli komplet najważniejszych narzędzi, w które powinna być wyposażona nasza macierz obiektowa.

Jaki jest efekt?

Koncepcja wykorzystania tzw. macierzy WORM Hitachi do rozwiązania problemu trwałego nośnika została zamówiona i wdrożona przez trzy duże banki w Polsce. Zarówno Hitachi, jak i klienci firmy – po przeanalizowaniu całości zebranego mateiału dotyczącego wymogów trwałego nosnika (w tym wypowiedzi UOKIK, Wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-375/15) – zdobyli pewność, że dzięki rozwiązaniu opartemu na macierzy WORM możliwe jest spełnienie następujących cech systemu przechowującego dokumenty:

1). Niezmienności – czyli udostępniania odtwarzania przechowywanych informacji w niezmienionej postaci, przy jednoczesnym uniemożliwieniu wprowadzania zmian w przechowywanych informacjach przez usługodawcę.

2). Aktywnego informowania – zapewnienia „dostarczania” informacji do klienta w odpowiednim czasie, poprzez aktywne informowanie o pojawieniu się nowych danych w systemie bankowości internetowej lub w innym medium.

3). Dostępu przez odpowiedni czas – zapewnienie stałego i nieutrudnionego dostępu do informacji, także po zaprzestaniu relacji z bankiem, co najmniej przez okres przedawnienia roszczeń związanych z daną umową.

Co istotne, wydaje się, że każdy z tych elementów spełniony jest w płaszczyznach: technologicznej, organizacyjnej oraz prawnej.

Dlaczego warto zastosować tego rodzaju rozwiązanie?

Niezaleznie od dalszego rozwoju rozwiązań technologicznych, wykorzystanie macierzy WORM umożliwia bankowi posiadanie bazy danych w jego własnej infrastrukturze, gwarantując przy tym pełną kontrolę nad zebranymi informacjami. Może to być istotne nie tylko z perspektywy relacji z klientem banku i możliwości udowodnienia lub chociażby uprawdopodobnienia, spełnienia cech trwałego nośnika. Najważniejsze dla banków jest zapewnienie bezpieczeństwa przechowywania danych i eliminacja ryzyka związanego z transferem dokumentów pomiędzy różnymi podmiotami. W przypadku wykorzystania macierzy WORM bank staje się właścicielem macierzy dyskowych, wykorzystywanych do trwałego nośnika – jeśli nawet zdarzy się ich awaria, nie muszą być zwracane producentowi.

Wybiegnijmy na chwilę w przyszłość – oczywistą kwestią jest to, że sposoby obiegu dokumentów będą ewoluowały, jednak każdorazowy zapis tego obiegu na znanych, stosowanych przez długi czas na rynku narzędziach (nawet w dalszej przyszłości, zwłaszcza w okresie przejściowym, kiedy będzie to tylko zapis pomocniczy, a nie główny), może w okazać się znaczącym środkiem minimalizującym ryzyko działalności bankowej (np. przy testowaniu dodatkowych, nowatorskich rozwiązań). Natomiast już dziś wykorzystanie macierzy WORM wydaje się rozwiązaniem operatywnym, które można – bez żadnych wątpliwości prawnych – zastosować w praktyce. Co więcej, jest ono adekwatne do celów, jakie wobec trwałego nośnika wskazały UOKiK i Trybunał Sprawiedliwości Unii Europejskiej.

Trwały nośnik – i co jeszcze?

Należy również zwrócić uwagę, iż macierz WORM poza trwałym nośnikiem odpowiada na wiele innych obszarów regulacyjnych, z którymi zmaga się bankowość w Polsce i w Europie. Do 25 maja 2018 r. miały zostać zaimplementowane wymagania rozporządzenia GDPR/RODO. Na jego podstawie obywatel ma m.in. prawo do: bezpowrotnego usunięcia jego danych, dostępu do nich, przeniesienia ich czy też bycia informowanym o ich naruszeniu. Macierz WORM zapewnia ochronę przed naruszeniem danych poprzez zastosowanie mechanizmów zabezpieczeń, takich jak WORM czy też retencję informacji, a prawo do zapomnienia może zapewnić macierz WORM poprzez mechanizmy definitywnego usunięcia danych (shreddering). Dzięki zastosowaniu różnych trybów retencji (np. dla dokumentów zawierających dane osobowe, jak i dla dla dokumentów niespersonalizowanych) możemy połączyć wymagania trwałego nośnika z RODO.

Kolejną kluczową regulacją jest MiFID II, gdzie wprowadzono wymaganie dotyczące prowadzenia szczegółowych rejestrów związanych z tworzeniem i sprzedażą danego produktu, w tym szczegółowy rejestr komunikacji z klientem. Oznacza to konieczność archiwizacji pełnej komunikacji mailowej i wszystkich nagrań rozmów telefonicznych oraz udostępnienie tych danych na żądanie na okres pięciu lat, co wymaga rejestracji na środkach, i to w sposób umożliwiający klientom łatwy dostęp do nagrania. Jak widać, wymagania MiFID II są zbieżne z wymaganiami trwałego nośnika.

Macierz WORM banki mogą wykorzystywać także do wielu dodatkowych celów, m.in. do archiwizacji danych, współdzielenia plików pomiędzy pracownikami oraz jako podstawy technologicznej do budowy chmury prywatnej. Jednym słowem – macierz WORM może być uniwersalnym rozwiązaniem, odpowiadającym tak na wymagania regulacyjne, jak i wyzwania związane z transformacją cyfrową dla banków.

Podsumowanie

Macierz WORM szybko i tanio umożliwiła spełnienie bankom problemu trwałego nośnika. Z narzędzia korzystają już na etapie produkcji trzy czołowe banki w Polsce, a kolejne przygotowują się do wdrożenia macierzy WORM w swojej infrastrukturze. Dzięki jej zastosowaniu banki nie tylko mogą spełnić wymogi regulatora i wdrożyć rozwiązanie trwałego nośnika w terminie, ale też zaoszczędzić ogromne kwoty związane z wysyłką papierową czy wysyłką płyt CD/DVD. Wdrożenie macierzy WORM w banku wcale nie wyklucza wykorzystania w przyszłości – kiedy to będą one odpowiednio uregulowane – innych narzędzi do wymiany dokumentacji, takich jak choćby blockchain.

Udostępnij artykuł: