578 views
|
Actul publicat în Monitorul Oficial |
Sumar |
| Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud
(M. Of. nr. 749 din 18 august 2020) |
Se reglementează modul în care societăţile aplică cerinţele referitoare la externalizare |
În M. Of. 749 din 18 august 2020 s-a publicat Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud.
Vă prezentăm, în cele ce urmează, cele mai importante dispoziții regăsite în respectiva normă.
Potrivit alin. (2) al art. 19, prezenta normă intră în vigoare la data publicării şi se aplică de la data de 1 ianuarie 2021 tuturor acordurilor de externalizare în cloud încheiate sau modificate începând cu această dată.
Art. 3: Serviciile cloud şi externalizarea
„(1) Societăţile evaluează dacă un acord cu un furnizor de servicii de tip cloud se încadrează în definiţia externalizării prevăzută la art. 1 alin. (2) pct. 14 din Legea nr. 237/2015.
(2) La evaluarea prevăzută la alin. (1) societăţile iau în considerare dacă funcţia, activitatea operaţională externalizată, inclusiv o parte a acesteia:
a) este efectuată în mod repetat sau continuu;
b) intră în sfera funcţiilor sau activităţilor operaţionale care în mod normal sunt îndeplinite de societate, chiar dacă acestea nu au fost efectuate în trecut.
(3) În cazul în care acordul cu furnizorul de servicii de tip cloud acoperă mai multe funcţii sau activităţi operaţionale, societăţile iau în considerare toate aspectele acordului în cadrul evaluării”.
Art. 4: Evaluarea prealabilă externalizării
„Înainte de a încheia acordurile cu furnizorii de servicii de tip cloud, societatea:
1. evaluează dacă acordurile de externalizare în cloud se referă la o funcţie sau activitate operaţională critică sau semnificativă în conformitate cu art. 6;
2. identifică şi evaluează riscurile relevante asociate acordurilor de externalizare în cloud, în conformitate cu art. 7;
3. efectuează o analiză complexă corespunzătoare cu privire la potenţialul furnizor de servicii de tip cloud, în conformitate cu art. 8;
4. identifică şi evaluează conflictele de interese pe care le poate cauza externalizarea, în conformitate cu cerinţele prevăzute la art. 274 alin. (3) lit. b) din Regulamentul delegat nr. 35/2015”.
Art. 5: Principii generale de guvernanţă pentru externalizarea în cloud
„(1) Fără a aduce atingere art. 274 alin. (3) din Regulamentul delegat nr. 35/2015, conducerea se asigură că deciziile de a externaliza funcţii sau activităţi operaţionale critice sau semnificative către furnizorii de servicii de tip cloud se bazează pe o evaluare detaliată a riscurilor aferente acordului şi a cel puţin următoarelor:
a) riscul TIC;
b) riscul privind continuitatea activităţii;
c) riscul juridic;
d) riscul de conformitate;
e) riscul de concentrare;
f) riscul operaţional;
g) riscul asociat fazei de migrare a datelor şi/sau fazei de implementare, după caz.
(2) Societăţile ţin cont în cadrul ORSA de modificările din profilul de risc asociate acordurilor de externalizare în cloud a funcţiilor sau activităţilor operaţionale critice sau semnificative către furnizorii de servicii de tip cloud.
(3) Serviciile cloud se utilizează în concordanţă cu politicile şi procedurile interne ale societăţii, actualizate atunci când este necesar şi ţinând cont de cel puţin următoarele:
a) strategia TIC;
b) strategia de securitate a informaţiilor;
c) strategia managementului riscului operaţional”.
Art. 8: Evaluarea complexă a furnizorului de servicii de tip cloud
„(1) În efectuarea procesului de selecţie şi evaluare, societatea se asigură că furnizorul de servicii de tip cloud corespunde criteriilor definite prin politicile şi procedurile interne de externalizare.
(2) Evaluarea complexă a furnizorului de servicii de tip cloud se efectuează înainte de externalizarea funcţiilor sau activităţilor operaţionale.
(3) În cazul în care se încheie un al doilea acord cu un furnizor de servicii de tip cloud şi care a fost deja evaluat, societatea stabileşte, pe baza unei abordări bazate pe riscuri, dacă este necesară o nouă evaluare complexă.
(4) În cazul externalizării în cloud a funcţiilor operaţionale critice sau semnificative, evaluarea complexă include o evaluare a adecvării furnizorului de servicii de tip cloud şi are în vedere cel puţin următoarele:
a) competenţe;
b) infrastructură;
c) situaţie economică;
d) statut corporativ;
e) reglementări.
(5) Pentru a putea face dovada de punere în aplicare a alin. (4) societatea poate folosi certificări bazate pe standardele internaţionale, rapoarte de audit ale unor terţi recunoscuţi sau rapoarte de audit intern, precum şi alte documente care pot să demonstreze efectuarea evaluării complexe”.
Art. 14: Securitatea datelor şi a sistemelor
„(1) Societatea se asigură că furnizorii de servicii de tip cloud respectă prevederile legale, precum şi standardele corespunzătoare de securitate TIC.
(2) În cazul externalizării unor funcţii sau activităţi operaţionale critice sau semnificative către furnizori de servicii de tip cloud, societatea prevede în acordul de externalizare inclusiv cerinţe specifice de securitate a informaţiilor şi monitorizează periodic respectarea acestor cerinţe.
(3) În vederea respectării alin. (2), societatea ţine cont de responsabilităţile sale şi de cele ale furnizorului de servicii de tip cloud, iar prin abordarea bazată pe riscuri:
a) convine asupra repartizării clare a rolurilor şi responsabilităţilor între furnizorul de servicii de tip cloud şi societate în legătură cu funcţiile sau activităţile operaţionale afectate de externalizarea în cloud;
b) stabileşte şi decide asupra nivelului adecvat de protecţie a datelor confidenţiale, asupra continuităţii activităţilor externalizate şi asupra integrităţii şi trasabilităţii datelor şi sistemelor în contextul externalizării în cloud vizate;
c) ia în considerare măsuri specifice atunci când este necesar pentru datele aflate în tranzit, datele din memorie şi datele în repaus, cum ar fi utilizarea tehnologiilor de criptare în combinaţie cu o arhitectură de management adecvat al cheilor;
d) ia în considerare mecanismele de integrare a serviciilor cloud în sistemele proprii, de exemplu, interfeţele de programare a aplicaţiilor şi un proces adecvat de management al accesului şi utilizatorilor;
e) asigură contractual că disponibilitatea traficului de reţea şi capacitatea preconizată îndeplinesc cerinţe stricte în ceea ce priveşte continuitatea, dacă sunt aplicabile şi fezabile;
f) defineşte şi introduce cerinţe corespunzătoare în ceea ce priveşte continuitatea, asigurând niveluri adecvate de calitate la fiecare nivel al lanţului tehnologic, dacă este cazul;
g) asigură un proces adecvat şi bine documentat de management al incidentelor, cu responsabilităţile aferente, de exemplu, prin elaborarea unui model de cooperare în caz de incidente reale sau preconizate;
h) adoptă o abordare bazată pe riscuri privind locaţia/locaţiile de stocare şi de prelucrare a datelor, cum ar fi statul sau regiunea, incluzând consideraţii privind securitatea informaţiilor;
i) monitorizează respectarea cerinţelor referitoare la aplicarea efectivă şi eficientă a mecanismelor de control implementate de furnizorul de servicii de tip cloud care ar minimiza riscurile legate de serviciile furnizate”.
Art. 19: Prevederi finale
„(1) Nerespectarea prevederilor prezentei norme se sancţionează în conformitate cu art. 163 din Legea nr. 237/2015.
(2) Prezenta normă se publică în Monitorul Oficial al României, Partea I, intră în vigoare la data publicării şi se aplică de la data de 1 ianuarie 2021 tuturor acordurilor de externalizare în cloud încheiate sau modificate începând cu această dată.
(3) Societăţile revizuiesc şi modifică în mod corespunzător acordurile existente de externalizare asociate unor funcţii sau activităţi operaţionale critice sau semnificative, pentru a asigura respectarea prezentei norme, până cel târziu la 31 decembrie 2022.
(4) Societăţile dispun încetarea acordurilor de externalizare a serviciilor cloud asociate funcţiilor sau activităţilor operaţionale critice sau semnificative până cel târziu la data de 31 decembrie 2022, dacă până la această dată revizuirea acestor acorduri nu poate fi finalizată; societăţile notifică A.S.F. încetarea acordurilor în termen de 10 zile lucrătoare de la data încetării acestora.
(5) Actualizarea, acolo unde este necesar, a politicilor şi procedurilor societăţii se efectuează până la data de 1 ianuarie 2021, iar cerinţele privind documentarea pentru acordurile de externalizare în cloud asociate funcţiilor sau activităţilor operaţionale critice sau semnificative sunt puse în aplicare până la data de 31 decembrie 2022”.
