A nyilvános felhők kockázataira figyelmeztet a PSZÁF

A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) tegnap kiadott vezetői körlevelében figyelmeztetéseket fogalmazott meg azon pénzügyi szervezetek számára, akik közösségi és publikus felhőszolgáltatásokat vesznek igénybe.

Hirdetés

A részletes levél lényege, hogy a fenti cloudszolgáltatások használata kiszervezésnek tekintendő, és az intézményeknek igen körültekintően kell eljárniuk, amennyiben szolgáltatót választanak. Az ilyen döntések hatásait, a kockázat felmérés alaposságát a PSZÁF ellenőrizni fogja. A publikus cloud használatakor az adott szervezetnek három területre kell különösen figyelnie:

  • a felhőszolgáltatást érintő európai uniós jogszabályváltozások, gyakorlatok, „best practice” javaslatok folyamatos követése
  • a magyar és európai uniós adatvédelmi előírások, adatvédelmi gyakorlat – különös tekintettel a határokon keresztül megvalósuló, vagy harmadik országba irányuló adattranszferekkel kapcsolatos gyakorlatokra, állásfoglalásokra – folyamatos követése
  • a megkötendő szolgáltatási főszerződés és a kapcsolódó szolgáltatási szintre vonatkozó szerződések (SLA-k) egymáshoz való viszonya, tartalma – figyelemmel az alábbi 2. pontban felsoroltakra is

Az állásfoglalás több kockázati tényezőre is felhívja a figyelmet: például a publikus felhők használata a roppant sok védendő adatot tároló és kezelő intézményeknél csak korlátozott mértékű lehet, az érzékeny adatok nem kerülhetnek a publikus rendszerekbe, ezek csak a cég által kialakított privát felhőbe tölthetőek fel. Fontos arra figyelni, hogy a felhők virtuális környezetében alkalmazott védelmi technológiák egy része még nem képes ugyanazt a biztonságot nyújtani, mint fizikailag is kontrollált rendszerek megoldásai. Mivel a publikus felhőket bármikor érheti támadás, ezért úgy kell kialakítani a szolgáltatást, hogy egy esetleges incidenst követően nagy biztonsággal ki lehessen vizsgálni a történteket és hatásukat. Emellett külön gondot kell fordítani a biztonságos adatkezelésre is: titkosítás, naplózás, valódi törlés stb.

A körlevél második része arra tér ki, hogy a felhőszolgáltatás igénybevételekor különösen részletes szerződést kell kötni a szolgáltatóval, melyben világosan és egyértelműen tárgyalják a fogalmakat, a teendőket és a kockázatmenedzsmentet.

Azóta történt

Előzmények