Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud

19 aug. 2020
Vizualizari: 998

Actul publicat în Monitorul Oficial

Sumar
Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud

(M. Of. nr. 749 din 18 august 2020)

Se reglementează modul în care societățile aplică cerințele referitoare la externalizare

În M. Of. 749 din 18 august 2020 s-a publicat Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud.

Vă prezentăm, în cele ce urmează, cele mai importante dispoziții regăsite în respectiva normă.

Potrivit alin. (2) al art. 19, prezenta normă intră în vigoare la data publicării și se aplică de la data de 1 ianuarie 2021 tuturor acordurilor de externalizare în cloud încheiate sau modificate începând cu această dată.

Art. 3: Serviciile cloud și externalizarea

„(1) Societățile evaluează dacă un acord cu un furnizor de servicii de tip cloud se încadrează în definiția externalizării prevăzută la art. 1 alin. (2) pct. 14 din Legea nr. 237/2015.

(2) La evaluarea prevăzută la alin. (1) societățile iau în considerare dacă funcția, activitatea operațională externalizată, inclusiv o parte a acesteia:

a) este efectuată în mod repetat sau continuu;

b) intră în sfera funcțiilor sau activităților operaționale care în mod normal sunt îndeplinite de societate, chiar dacă acestea nu au fost efectuate în trecut.

(3) În cazul în care acordul cu furnizorul de servicii de tip cloud acoperă mai multe funcții sau activități operaționale, societățile iau în considerare toate aspectele acordului în cadrul evaluării”.

Art. 4: Evaluarea prealabilă externalizării

„Înainte de a încheia acordurile cu furnizorii de servicii de tip cloud, societatea:

1. evaluează dacă acordurile de externalizare în cloud se referă la o funcție sau activitate operațională critică sau semnificativă în conformitate cu art. 6;

2. identifică și evaluează riscurile relevante asociate acordurilor de externalizare în cloud, în conformitate cu art. 7;

3. efectuează o analiză complexă corespunzătoare cu privire la potențialul furnizor de servicii de tip cloud, în conformitate cu art. 8;

4. identifică și evaluează conflictele de interese pe care le poate cauza externalizarea, în conformitate cu cerințele prevăzute la art. 274 alin. (3) lit. b) din Regulamentul delegat nr. 35/2015”.

Pachet: Codul administrativ comentat. Explicatii, jurisprudenta, doctrina. Volumul I si Volumul II

Art. 5: Principii generale de guvernanță pentru externalizarea în cloud

„(1) Fără a aduce atingere art. 274 alin. (3) din Regulamentul delegat nr. 35/2015, conducerea se asigură că deciziile de a externaliza funcții sau activități operaționale critice sau semnificative către furnizorii de servicii de tip cloud se bazează pe o evaluare detaliată a riscurilor aferente acordului și a cel puțin următoarelor:

a) riscul TIC;

b) riscul privind continuitatea activității;

c) riscul juridic;

d) riscul de conformitate;

e) riscul de concentrare;

f) riscul operațional;

g) riscul asociat fazei de migrare a datelor și/sau fazei de implementare, după caz.

(2) Societățile țin cont în cadrul ORSA de modificările din profilul de risc asociate acordurilor de externalizare în cloud a funcțiilor sau activităților operaționale critice sau semnificative către furnizorii de servicii de tip cloud.

(3) Serviciile cloud se utilizează în concordanță cu politicile și procedurile interne ale societății, actualizate atunci când este necesar și ținând cont de cel puțin următoarele:

a) strategia TIC;

b) strategia de securitate a informațiilor;

c) strategia managementului riscului operațional”.

Art. 8: Evaluarea complexă a furnizorului de servicii de tip cloud

„(1) În efectuarea procesului de selecție și evaluare, societatea se asigură că furnizorul de servicii de tip cloud corespunde criteriilor definite prin politicile și procedurile interne de externalizare.

(2) Evaluarea complexă a furnizorului de servicii de tip cloud se efectuează înainte de externalizarea funcțiilor sau activităților operaționale.

(3) În cazul în care se încheie un al doilea acord cu un furnizor de servicii de tip cloud și care a fost deja evaluat, societatea stabilește, pe baza unei abordări bazate pe riscuri, dacă este necesară o nouă evaluare complexă.

(4) În cazul externalizării în cloud a funcțiilor operaționale critice sau semnificative, evaluarea complexă include o evaluare a adecvării furnizorului de servicii de tip cloud și are în vedere cel puțin următoarele:

a) competențe;

b) infrastructură;

c) situație economică;

d) statut corporativ;

e) reglementări.

(5) Pentru a putea face dovada de punere în aplicare a alin. (4) societatea poate folosi certificări bazate pe standardele internaționale, rapoarte de audit ale unor terți recunoscuți sau rapoarte de audit intern, precum și alte documente care pot să demonstreze efectuarea evaluării complexe”.

Art. 14: Securitatea datelor și a sistemelor

„(1) Societatea se asigură că furnizorii de servicii de tip cloud respectă prevederile legale, precum și standardele corespunzătoare de securitate TIC.

(2) În cazul externalizării unor funcții sau activități operaționale critice sau semnificative către furnizori de servicii de tip cloud, societatea prevede în acordul de externalizare inclusiv cerințe specifice de securitate a informațiilor și monitorizează periodic respectarea acestor cerințe.

(3) În vederea respectării alin. (2), societatea ține cont de responsabilitățile sale și de cele ale furnizorului de servicii de tip cloud, iar prin abordarea bazată pe riscuri:

a) convine asupra repartizării clare a rolurilor și responsabilităților între furnizorul de servicii de tip cloud și societate în legătură cu funcțiile sau activitățile operaționale afectate de externalizarea în cloud;

b) stabilește și decide asupra nivelului adecvat de protecție a datelor confidențiale, asupra continuității activităților externalizate și asupra integrității și trasabilității datelor și sistemelor în contextul externalizării în cloud vizate;

c) ia în considerare măsuri specifice atunci când este necesar pentru datele aflate în tranzit, datele din memorie și datele în repaus, cum ar fi utilizarea tehnologiilor de criptare în combinație cu o arhitectură de management adecvat al cheilor;

d) ia în considerare mecanismele de integrare a serviciilor cloud în sistemele proprii, de exemplu, interfețele de programare a aplicațiilor și un proces adecvat de management al accesului și utilizatorilor;

e) asigură contractual că disponibilitatea traficului de rețea și capacitatea preconizată îndeplinesc cerințe stricte în ceea ce privește continuitatea, dacă sunt aplicabile și fezabile;

f) definește și introduce cerințe corespunzătoare în ceea ce privește continuitatea, asigurând niveluri adecvate de calitate la fiecare nivel al lanțului tehnologic, dacă este cazul;

g) asigură un proces adecvat și bine documentat de management al incidentelor, cu responsabilitățile aferente, de exemplu, prin elaborarea unui model de cooperare în caz de incidente reale sau preconizate;

h) adoptă o abordare bazată pe riscuri privind locația/locațiile de stocare și de prelucrare a datelor, cum ar fi statul sau regiunea, incluzând considerații privind securitatea informațiilor;

i) monitorizează respectarea cerințelor referitoare la aplicarea efectivă și eficientă a mecanismelor de control implementate de furnizorul de servicii de tip cloud care ar minimiza riscurile legate de serviciile furnizate”.

Art. 19: Prevederi finale

„(1) Nerespectarea prevederilor prezentei norme se sancționează în conformitate cu art. 163 din Legea nr. 237/2015.

(2) Prezenta normă se publică în Monitorul Oficial al României, Partea I, intră în vigoare la data publicării și se aplică de la data de 1 ianuarie 2021 tuturor acordurilor de externalizare în cloud încheiate sau modificate începând cu această dată.

(3) Societățile revizuiesc și modifică în mod corespunzător acordurile existente de externalizare asociate unor funcții sau activități operaționale critice sau semnificative, pentru a asigura respectarea prezentei norme, până cel târziu la 31 decembrie 2022.

(4) Societățile dispun încetarea acordurilor de externalizare a serviciilor cloud asociate funcțiilor sau activităților operaționale critice sau semnificative până cel târziu la data de 31 decembrie 2022, dacă până la această dată revizuirea acestor acorduri nu poate fi finalizată; societățile notifică A.S.F. încetarea acordurilor în termen de 10 zile lucrătoare de la data încetării acestora.

(5) Actualizarea, acolo unde este necesar, a politicilor și procedurilor societății se efectuează până la data de 1 ianuarie 2021, iar cerințele privind documentarea pentru acordurile de externalizare în cloud asociate funcțiilor sau activităților operaționale critice sau semnificative sunt puse în aplicare până la data de 31 decembrie 2022”.

Norma ASF nr. 33/2020 privind externalizarea către furnizorii de servicii de tip cloud was last modified: august 19th, 2020 by Redacția ProLege

PARTENERI INSTITUȚIONALI

Vă recomandăm:

Rămâi la curent cu noutățile juridice

Despre autor:

Redacția ProLege

Redacția ProLege

Rubrica ACTUALITATE LEGISLATIVĂ aduce la cunoştinţa utilizatorilor principalele schimbări legislative survenite recent în diverse domenii, înlesnind astfel activitatea de informare şi de cercetare desfăşurată de practicieni şi reducând semnificativ şi eficient timpul dedicat respectivei activităţi.