Національний банк України пропонує визначити порядок застосування технології хмарних обчислень та використання хмарних послуг фінансовими установами відповідно до Закону України «Про хмарні послуги». Проєкт постанови про це опубліковано для громадського обговорення за посиланням (надалі – «Постанова»). Зауваження та пропозиції до проєкту постанови приймалися до 19 січня 2025 року.
Постанова, крім загальних засад застосування та використання IaaS, PaaS, SaaS, SECaaS та інших хмарних послуг (ХП), визначає також вимоги до договору про хмарні послуги. НБУ пропонує також врегулювати організаційне забезпечення використання ХП, оцінювання ризиків діяльності при використанні «хмари» фінансовими установами та вимоги до інформування про це НБУ.
_
Вимоги Постанови застосовуватимуться лише до банків, надавачів фінансових послуг, операторів платіжних систем, учасників платіжних систем, технологічних операторів платіжних послуг, які використовуються хмарні послуги (надалі – «Користувачі ХП»).
_
Дозволено надання хмарних послуг Користувачам ХП одним надавачем таких послуг із залученням іншого (надалі – «Ланцюгові ХП»).
_
Надавач хмарних послуг (надалі – «Надавач ХП») має відповідати міжнародним стандартам інформаційної безпеки, що має підтверджуватись відповідним сертифікатом. Надавач ХП зобов’язаний надавати його щорічно протягом строку дії договору про хмарні послуги (надалі – «Договір ХП»).
_
Користувачі ХП зобов’язані створити план забезпечення безперервної діяльності, який має включати наступні пункти:
_
Користувачі ХП зобов’язані запровадити власні заходи контролю системи безпеки Надавача ХП та здійснювати моніторинг доступу до інформації з обмеженим доступом, розпорядником/власником якої є Користувач ХП.
_
Користувач ХП зобов’язані провести аналіз, щонайменше, таких ризиків перед використанням хмарних послуг:
Користувач ХП зобов’язаний повідомити НБУ про Договір ХП протягом одного місяця після його укладення. Аналогічний реченець в один місяць для повідомлення НБУ встановлено і для випадків зміни та/чи розірвання Договору.
Зміни регуляторного режиму, запропоновані у Постанові, покращать застосування ХП і контроль за їхньою якістю, а також посилять безпеку учасників фінансового ринку завдяки ефективнішим практикам управління операційними ризиками.
Важливо: попри відсутність у Постанові колізійних норм щодо обмежень на транскордонну передачу персональних даних, передбачених Законом України «Про захист персональних даних», такі застереження далі діють в порядку системного тлумачення норм. Адже великi Надавачі ХП (AWS, MS Azure, Google Cloud разом мають частку в 2/3 глобального ринку) мають дата-центри за межами України, і Користувач ХП несе ризик невідповідності каналів передачі даних законодавству України.
Крім застережень в законі про персональні даних, закон про ХП також встановлює обмеження: