Požadavky na outsourcing



Podobné dokumenty
Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů

Smluvní vztahy s klienty při poskytování Software as a Service

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Cloud Computing Právní aspekty OUTSOURCING cesta ke zvyšování výkonnosti

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Jak být online a ušetřit? Ing. Ondřej Helar

Outsourcing v podmínkách Statutárního města Ostravy

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

Publikujeme web. "Kam s ním?!"

CA Business Service Insight

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY

Výhody a rizika outsourcingu formou cloud computingu

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Bezpečnostní politika společnosti synlab czech s.r.o.

Obsah. O autorech 17 Poděkování 18 Předmluva 19. Úvod do problematiky softwarového práva 21. Definice softwaru, práva k softwaru, licence, databáze 29

Identifikátor materiálu: ICT-3-16

Podmínky ochrany osobních údajů

Politika bezpečnosti informací

EBA/GL/2015/ Obecné pokyny

Česká školní inspekce ČŠI Praha Licence 2018

1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.

Právní aspekty externích cloudových řešení

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

PŘÍLOHY NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI,

Právní aspekty cloud computingu. Mgr. Ing. Jaroslav Zahradníček, advokát Kocián Šolc Balaštík, advokátní kancelář, s.r.o

CZ.1.07/2.3.00/

CA AppLogic platforma typu cloud pro podnikové aplikace

Informace o zpracování osobních údajů

Obchodní podmínky hostingových služeb poskytovaných společností NeurIT s.r.o.

Cloud. historie, definice, modely a praktické využití Ing. Karel Stýblo K2 atmitec s.r.o.

Politika bezpečnosti informací

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Požadavky ČNB na profesi interního auditu

Jan Váša TGB Sales Representative, Oracle Czech 10. června 2011 MRI Kladno

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Obchodní podmínky

GDPR Obecný metodický pokyn pro školství

Zdravotnické laboratoře. MUDr. Marcela Šimečková

K právní ochraně osobních údajů při jejich předávání v rámci cloudových služeb

S M L O U V A O P O S K Y T O V Á N Í S L U Ž E B uzavřená dle přísl. ustanovení zákona č. 89/2012 Sb., občanského zákoníku

Právní úprava smluv uzavíraných mezi poskytovateli a odběrateli podpůrných služeb v českém právu - soukromoprávní pohled

PROVOZ A SERVIS INFORMAČNÍCH SYSTÉMŮ Michal Pechan

ZÁSADY ŘÍZENÍ STŘETU ZÁJMŮ

Smlouva o ochraně obchodního tajemství pro služby zpřístupnění metalických účastnických vedení a návazných služeb kolokace

VŠEOBECNÉ OBCHODNÍ PODMÍNKY

Obsah. O knize 5 O autorech 17 Poděkování 19 Předmluva k 1. vydání 21 Předmluva k 2. vydání 23

Aby byla systémová integrace úspěšná, musíme znát cíle, které mají být dosaženy, a musíme znát zdroje, které máme k dispozici.

Česká školní inspekce ČŠI Praha Licence 2019

Vnitřní kontrolní systém a jeho audit

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

SMLOUVA O OCHRANĚ OBCHODNÍHO TAJEMSTVÍ

1. Úvodní ustanovení. 2. Základní pojmy. 3. Předmět této smlouvy. 4. Práva a povinnosti Provozovatele

ZVLÁŠTNÍ PODMÍNKY ŘEŠENÍ GROUPWARE (EXCHANGE) NABÍDKA INDIVIDUAL Poslední verze ze dne 13. června 2011

Hospodářská informatika

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Tisková konference VSCloud

KIV/SI. Přednáška č.8. Jan Valdman, Ph.D.

Představení dohledu nad finančním trhem

Věstník ČNB částka 5/2011 ze dne 7. června ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011

Podmínky ochrany osobních údajů a zpracovatelská smlouva

Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE,

Příloha č. 3 Návrh smlouvy

Dopady GDPR a jejich vazby

Dohledová praxe v oblasti distribuce finančních produktů

SERVISNÍ SMLOUVA o poskytování služeb a podpoře provozu informačního systému REÚIP

Nejbezpečnější prostředí pro vaše data

1.3. HW (hardware): veškeré fyzicky existující technické vybavení počítače nebo serveru.

Zkušenosti a výsledky určování KII a VIS

Všeobecné obchodní podmínky pro webhostingové a doménové služby

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

RÁMCOVÁ SMLOUVA. Číslo smlouvy objednatele: Číslo smlouvy zhotovitele:

Český rozhlas zřízen zákonem č. 484/1991 Sb., o Českém rozhlasu, ve znění pozdějších předpisů, se sídlem: Praha 2, Vinohradská 12

Příloha Nezávislý pracovník

ODŮVODNĚNÍ I. OBECNÁ ČÁST. Závěrečná zpráva z hodnocení dopadů regulace (RIA)

SMLOUVA O PRONÁJMU A SERVISU

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Ochrana před následky kybernetických rizik

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Obchodní podmínky pro webhosting a domény. Definice a rozsah poskytovaných služeb

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Chubb Tech Pro dotazník

CLOUD ZLÍNSKÝ KRAJ. Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Kupní Smlouva o zajištění služeb

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

LICENČNÍ PODMÍNKY pro užití počítačového programu Aktivně a zdravě

Návrh vybraných opatření pro snížení rozpočtových nákladů v době ztížených ekonomických podmínek Sdílení ICT služeb ve veřejné správě

Obecné nařízení o ochraně osobních údajů

Bezpečnostní politika společnosti synlab czech s.r.o.

Všeobecné obchodní podmínky služby APEX Solutions platné od

Vývoj britského G-Cloudu

Transkript:

Požadavky na outsourcing Brno, 21.6.2011 Ing. Jan Bukovský, jan.bukovsky@ceb.cz

Outsourcing Outsourcing firma vyčlení různé podpůrné a vedlejší činnosti a svěří je smluvně jiné společnosti (=poskytovateli outsourcingu), specializovanému na příslušnou činnost. Činnost není zajišťována vlastními zaměstnanci firmy, nýbrž na základě smlouvy. Outsourcing má vést : ke snížení nákladů nebo k soustředění na hlavní činnosti firmy Offshoring offshoring znamená přesun výroby do zahraničí bez ohledu na to, zda výrobu provádí jiná firma (pak jde zároveň o outsourcing) nebo jde pouze o přestěhování vlastní továrny (obvykle z důvodu využití daňových úlev nebo menší ceny práce) Outplacement v tomto smyslu jde o vyvedení části firmy (včetně zaměstnanců) do nové společnosti, nejčastěji s cílem šetřit mzdové náklady

Outsourcing a cloud Cloud computing Poskytování služeb či programů uložených na serverech na Internetu s tím, že uživatelé k nim mohou přistupovat prakticky odkudkoliv. Uživatelé neplatí (za předpokladu, že je služba placená) za vlastní software, ale za jeho užití. IAAS - infrastruktura jako služba - poskytovatel služeb se zavazuje poskytnout infrastrukturu. IAAS je vhodné pro ty, kteří vlastní software (či jejich licence) a nechtějí se starat o hardware. PAAS - platforma jako služba - poskytovatel v PAAS modelu poskytuje kompletní prostředky pro podporu celého životního cyklu tvorby a poskytování webových aplikací a služeb plně k dispozici na Internetu, bez možnosti stažení softwaru. To zahrnuje různé prostředky pro vývoj aplikace, ale také např. pro údržbu. SAAS - software jako služba - aplikace je licencována jako služba pronajímaná uživateli. Uživatelé si tedy kupují přístup k aplikaci, ne aplikaci samotnou. SaaS je ideální pro ty, kteří potřebují jen běžný aplikační software a požadují přístup odkudkoliv a kdykoliv. Všechny typy cloud computingu (možná kromě SAAS) splňují definici outsourcingu dle ČNB ( činnost, kterou by jinak vykonávala banka.)

Hosting a cloud Hosting Pronájem prostoru na cizím serveru (typicky např. webhosting) Multihosting - hosting většího počtu domén. Virtuální server - virtualizovaný stroj, který nabízí velkou konfigurovatelnost a větší výkon. Managed server - poskytovatel pronajme zákazníkovi vlastní server, o který se zároveň stará technická podpora poskytovatele. Jedno z finančně nejnáročnějších řešení. Dedikovaný server - podnájem serveru, který spravuje sám zákazník. Hosting přerůstá v IAAS. Rozdíl je hlavně v tom, že za hosting se hradí cena pouze v závislosti na velikosti pronajatého prostoru a dalších služeb, a u cloudu (IAAS) se hradí ceny podle rozsahu skutečně uskutečněných přístupů (při minimálním provozu=výrazně menší cena).

Pohled ČNB na outsourcing Outsourcing Činnost kterou by jinak banka vykonávala sama. Výslovně vyjmuta dodávka běžně nabízeného zboží. Významný Mj. vliv na schopnost plnit pravidla obezřetnosti, související s řízením rizik Ostatní

Základní principy Využitím outsourcingu se banka nezbavuje žádné ze svých odpovědností a Povinností dodržovat právní předpisy a Nepoškozovat zájmy třetích stran (vč. ochrany bankovního a dalších tajemství)! Proti starší úpravě se nerozlišuje jednorázovost / trvalost vykonávaných činností. Ohlašovací povinnost: O sjednání outsourcingu významných činností podle 216 Vyhlášky musí být bez zbytečného odkladu informována ČNB. Řetězový outsourcing

Dokumenty týkající se outsourcingu Strategie outsourcingu Hlavní cíle a zásady pro využívání outsourcingu v organizaci Pravomoci, postupy a odpovědnosti (často jako další směrnice) Projekt outsourcingu Smlouva s poskytovatelem outsourcingu (Návrh na využívání outsourcingu) Důvody, dopady, ekonomie Podmínky + zajištění potřebné kvality Rizika, střet zájmů Plány postupů při neschopnosti poskytovatele pokračovat v outsourcingu ->kontinuita Ochrana důvěrných informací Právo kontrolovat outsourcované činnosti Právo přístupu i pro orgány dohledu ČNB Nesmí být sjednána za nevýhodných podmínek.

Kontrola využívání outsourcingu zda je outsourcovaná činnost trvale vykonávána v souladu se všemi příslušnými právními předpisy a se smlouvou, zda je poskytovatel outsourcingu nadále důvěryhodný a právně, finančně, odborně i technicky způsobilý k zajišťování outsourcovaných činností, zda poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých mechanismů vnitřní kontroly a řízení rizik včetně řízení rizika výskytu mimořádných událostí a zda má vytvořeny dostatečně kvalitní postupy pro zajišťování outsourcované činnosti, zda nedochází ke změnám rizik spojených s outsourcovanou činností proti původním předpokladům, zda je ochrana bankovního tajemství, obchodního tajemství a osobních údajů klientů trvale a dostatečně zajištěna, zda jsou dodržovány vnitřní zásady a postupy banky pro outsourcing, zda vnitřní kontrolní mechanismy banky a poskytovatele outsourcingu zajišťují včasné zjištění případných nedostatků při využívání outsourcingu a přijetí opatření k nápravě, Zda celková funkčnost a efektivnost outsourcingu, rozsah a kvalita odvedené činnosti odpovídá předpokladům.

Rizika outsourcingu Jako možná operační rizika specifická pro poskytovatele outsourcingu jsou identifikována zejména: významné změny podmínek, například finanční situace, organizačního nebo vlastnického uspořádání, na straně poskytovatele outsourcingu, významné změny podmínek, například právních, v zemi sídla poskytovatele outsourcingu, nadměrná koncentrace v souvislosti s outsourcingem na straně poskytovatele posuzovaná pro případ, že tento poskytovatel by selhal a banka by byla vystavena většímu riziku nezajištěných činností. Pro případ, že by k tomu došlo, musí mít banka připravený odpovídající pohotovostní plán, jak činnosti realokovat na jiného (jiné) poskytovatele bez narušení plynulosti činnosti a nadměrných nákladů, Problémy z pohledu cloud computingu: Často cizí legislativa, právní podmínky poskytovaných služeb tudíž nejasné Banka by neměla být odkázána výhradně jen na hosting, aby naplnila podmínky ČNB o bránění nadměrné koncentraci Obtížné využít např. pro platební styk (zákon ukládá odpovědnost za zabezpečení plně bance, což je obtížné garantovat na cizím řešení) Obtížnější náhrada při selhání dodavatele

Outsourcing v ISVS Outsourcing vyčlenění těch činností mimo vlastní organizaci, jejichž realizace vlastními silami je neefektivní. Projekty ISVS musí být koncipovány, aby umožnily případné využití outsourcingu. Přitom se přímo zmiňují projekty IS týkající se: Akvizice Vývoje Provozu Údržby. (IS06/2000)

ISO 27001 část A6 A.6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro zpracování informací musí být identifikována rizika a implementována vhodná opatření na jejich pokrytí. A.6.2.2 Bezpečnostní požadavky pro přístup klientů Předtím, než je klientům umožněn přístup k informací a aktivům organizace musí být zjištěny veškeré požadavky na bezpečnost. A.6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu informací organizace nebo správu prostředků pro zpracování informací (případně dodávku produktů nebo služeb k zařízení pro zpracování informací) musí pokrývat veškeré relevantní bezpečnostní požadavky.

ISO 27001 další části A.10.6.2 Bezpečnost síťových služeb Musí být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány cestou outsourcingu. A.10.8.2 Dohody o výměně informací a programů Výměna informací a programů musí být založena na dohodách uzavřených mezi organizací a externími subjekty. A.12.5.4 Únik informací Musí být zabráněno úniku informací. A.12.5.5 Programové vybavení vyvíjené externím dodavatelem Vývoj programového vybavení externím dodavatelem musí být organizací dohlížen a monitorován.

Shrnutí požadavků na outsourcing Ekonomická výhodnost Zajištění kvality Analýza rizik a opatření k jejich odstranění Zabránění střetu zájmů Nesmí omezovat soulad činnosti s právními předpisy Ochrana důvěrných informací Zajištění požadavků na bezpečnost Včetně bezpečnostních zásad obsažených již ve smlouvě Smlouva za výhodných podmínek Podmínky u dodavatele (kontrolní systém, směrnice ) Zabránění nadměrné koncentraci Provádění kontroly u poskytovatele outsourcingu a její pravidla Informační povinnost poskytovatele (cokoli, co by mohlo omezit jeho schopnost poskytovat outsourcing) Řetězový outsourcing nebude v rozporu se smlouvou o outsourcingu Oprávnění požadovat nápravná opatření / sankce Pravidla pro řízení kontinuity

Nejčastější chyby v outsourcingu Outsourcing je ve skutečnosti ekonomicky nevýhodný Kvalita činnosti poklesla po přechodu na outsourcing Outsourcing přináší nová rizika, proti nimž se společnost nebrání Data nejsou dostatečně chráněna; hrozí spory s třetími osobami kvůli prolomení tajemství Poskytovaný outsourcing není v souladu s českým právem nebo představou nadřízených / kontrolních orgánů Bezpečnost nezajištěna (bezpečný přenos, bezpečné úložiště, otestované aplikace ) Organizace se stane na poskytovateli nadměrně závislá a v případě náhlého ukončení nebo omezení jeho činnosti jej není možno ihned nahradit Poskytovatele nikdo nekontroluje, faktury se proplácejí automaticky, nikdo nezná reálný stav u poskytovatele (často se uláže, že jde ve skutečnosti o řetězový outsourcing, o němž zadavatel vůbec nemá ponětí)

A zpět ke cloud computingu Proti běžnému outsorcingu má cloud i některé další nevýhody, např.: - Slabší transparentnost (pro objednatele černá skříňka ), - Slabší soulad s českým právem. - Právní otázky kolem vlastnictví dat a duševního majetku, - Obtížný přístup k logům a vyšetřování nevhodné nebo nezákonné činnosti, - Omezená rychlost a dostupnost, - Náklady na širokopásmové připojení a další servisní náklady, - Problémy v přenositelnosti dat na jinou platformu, - Riziko ztráty dat v případě chyby poskytovatele (ani zálohování není v rukách objednatele).

Dotazy? Děkuji Vám za pozornost Ing. Jan Bukovský, jan.bukovsky@ceb.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář