Monetary Authority of Singapur uvaja razdelek o storitvah računalništva v oblaku pri svojem zunanjem izvajanju smernice za finančne institucije ter odpravlja potrebo po predhodnem obvestilu o takih ureditve.
Singapur je uvedel nove smernice za finančne institucije, ki upravljajo tveganja in izvajajo storitve računalništva v oblaku.
The posodobljene smernice zunanjega izvajanja so bili ustanovljeni po "obsežnem" industrijskem in javnem posvetovanju in so bili namenjeni spodbujanju "preudarnih praks obvladovanja tveganja", je v izjavi dejal Monetary Authority of Singapore (MAS).
Zadnje novice o Aziji
- Xiaomi, ki ga spodbujajo telefoni z visoko vrednostjo za denar, se v Indiji izenačuje z vodilnim Samsungom
- Tukaj je tisto, kar nam najnovejši nizkocenovni telefoni Samsung lahko povedo o Galaxy S9
- Softbank vodi naložbo v višini 120 milijonov USD v zagonsko zavarovalniško podjetje Lemonade, ki temelji na umetni inteligenci
- Singapur je izdal še eno opozorilo glede kriptovalut
- Izsiljevalska programska oprema WannaCry: Zdaj ZDA trdijo, da je bila kriva Severna Koreja
Ključne spremembe so vključevale nov razdelek o računalništvu v oblaku, v katerem so bili podrobno opisani pogledi regulatorja na takšno uvajanje, npr tudi odprava pričakovanj, da bodo finančne institucije MAS vnaprej obvestile o zunanjem izvajanju materiala sporazumov. Regulator je prav tako revidiral svojo opredelitev takšnih dogovorov, da v določenih okoliščinah vključuje tiste, ki vključujejo podatke o strankah.
Takšni dogovori o zunanjem izvajanju bi vključevali storitve, kjer bi lahko prišlo do okvare sistema ali kršitve varnosti vplivajo na poslovne operacije ali ugled ter njihovo sposobnost obvladovanja tveganja in skladnosti z lokalnimi zakoni. Ti so vključevali tudi dogovore, ki so vključevali informacije o strankah, ki bi lahko pomembno vplivale na stranke institucije, če bi prišlo do izgube ali kraje ali nepooblaščenega dostopa ali razkritja podatke.
MAS je dodal te informacije o strankah v svoji splošni definiciji ne bi vključevale šifriranih podatkov o strankah, vendar le, če identitete strank ni mogoče zlahka razbrati iz šifriranih podatkov.
Nov razdelek o storitvah v oblaku je poudaril potrebo, da finančne institucije izvajajo potrebna skrbnost ter prakse upravljanja in obvladovanja tveganja, ki so poudarjene v smernice.
"Institucije bi se morale zavedati tipičnih značilnosti storitev v oblaku, kot so večnajemništvo, podatki mešanje in večja nagnjenost k izvajanju obdelave na več lokacijah," MAS opozoriti. "Zato bi morale institucije sprejeti dejavne ukrepe za obravnavo tveganj, povezanih z dostopom do podatkov, zaupnostjo, celovitostjo, suverenostjo, možnostjo izterjave, skladnostjo s predpisi in revizijo."
"Zlasti bi morale institucije zagotoviti, da ima ponudnik storitev sposobnost jasne identifikacije in ločevanja podatkov o strankah z uporabo močnih fizičnih ali logičnih kontrol. Ponudnik storitev bi moral imeti vzpostavljene robustne kontrole dostopa za zaščito informacij o strankah in takšne kontrole dostopa bi morale preživeti trajanje pogodbe o storitvi v oblaku."
MAS je dodal, da bodo finančne institucije na koncu "odgovorne in odgovorne" za ohranjanje nadzora storitev v oblaku ter s tem povezana tveganja sprejetja takih storitev kot del njihovega zunanjega izvajanja sporazumov.
"Institucije bi morale sprejeti pristop, ki temelji na tveganju, da zagotovijo, da sta raven nadzora in kontrol sorazmerna z bistvenostjo tveganj, ki jih predstavlja storitev v oblaku," je dodal.
V skladu s spremenjenimi smernicami, ki začnejo veljati takoj, institucijam tudi ne bi bilo treba obvestiti organa, preden bi jih sprejele kakršno koli zavezo zunanjega izvajanja materiala, vendar se je od njih pričakovalo, da bodo upoštevali "ustrezno dolžno skrbnost" pri vzpostavitvi takega sporazumov. Še vedno bi morali imeti možnost, da MAS predložijo registre zunanjih izvajalcev vsaj enkrat letno ali ko se to od njih zahteva.
Namestnik generalnega direktorja Ong Chong Tee je dejal: "Nove smernice zunanjega izvajanja odražajo nenehna prizadevanja MAS-a za okrepitev naših smernic finančnim institucijam na tem področju. Revidirane smernice temeljijo na obstoječih, da bi bolje zajele razvijajoče se grožnje, kot so poslovni modeli offshoringa in povečana kibernetska tveganja."