Gdzie przechowywać dane powierzone mi przez klientów, aby nie narazić się na sankcje? – pytają mnie coraz częściej multiagenci. Tłumaczę krok po kroku. I przy okazji obalam parę powszechnych mitów.
Wokół zagadnienia bezpiecznego przechowywania danych klientów narosły mity. Rozprawmy się z nimi.
Mój dom to moja twierdza
MIT: dane na moim komputerze są najbardziej bezpieczne.
Nic bardziej mylnego. Przechowywanie danych na dysku własnego komputera jest obciążone wieloma ryzykami.
- Utrata danych lub problem z dostępem do nich – w każdej chwili nasz sprzęt może ulec awarii – nawet jeśli uda się nam odzyskać dane, to mogą one być niekompletne, a w najlepszym wypadku wiąże się to ze sporym utrudnieniem w prowadzeniu bieżącej działalności. Skrajnym przypadkiem może być zniszczenie sprzętu np. na skutek zalania, przepięcia, pożaru czy zwykłego upadku. Pewnym sposobem na zminimalizowanie ryzyka jest wykonywanie kopii bezpieczeństwa, np. na nośnikach zewnętrznych (pendrive, dysk przenośny, płyty), ale nie ma gwarancji, że takie urządzenie też nie spłonie w pożarze albo nie wypadnie z kieszeni.
- Ujawnienie danych – nawet doświadczeni użytkownicy komputerów mogą zostać zwiedzeni przez podstępnych przestępców, którzy dzięki naszej lekkomyślności czy też niewiedzy mogą wykraść posiadane dane, wykorzystując chociażby złośliwe oprogramowanie czy socjotechniki. Często też zdarzają się nadal kradzieże sprzętu, zwłaszcza mobilnego, a nie zawsze dane przechowujemy w postaci zaszyfrowanej.
Trzymanie danych w chmurze faktycznie minimalizuje te ryzyka, ponieważ:
- Renomowani dostawcy dysponują infrastrukturą i procedurami, które zapewnią przetrwanie danych nawet w przypadku najgorszych klęsk żywiołowych, a nie tylko lokalnych wypadków. Centrum przetwarzania danych to prawdziwe fortece, wyposażone w najnowsze cuda techniki inżynieryjnej i informatycznej, regularnie poddawane audytom niezależnych i uznanych instytucji certyfikujących. Dodatkowo kopie danych są często przechowywane w lokalizacjach oddalonych geograficznie, więc nawet jeśli coś by spowodowało zniszczenie jednego CPD, np. działania wojenne, to dane nadal będą kompletne i możliwe do szybkiego przywrócenia.
- Dostęp do danych przez niepowołane osoby jest kontrolowany również na wielu poziomach: od fizycznych zabezpieczeń budynków, poprzez zabezpieczenia na poziomie infrastruktury aż do zabezpieczeń na poziomie oprogramowania. Oczywiście wszystko jest regulowane przez procedury i zawarte w nich zasady typu „minimum dostępów i uprawnień, jakie pracownik potrzebuje”, szyfrowanie wszystkiego, co się da, często wielostopniowe itd.
Ktoś wykorzysta moje dane
MIT: dostawca usługi, któremu powierzę dane, ukradnie mi klientów albo sprzeda informacje innej firmie.
To przekonanie bazuje na lękach, jakie ma duża część dystrybutorów ubezpieczeń, że ktoś wykradnie bazę danych, budowaną mozolnie przez wiele lat, i „podbierze” klientów albo sprzeda to tym, co masowo „obdzwaniają” klientów. Niestety, ten stereotyp ma też korzenie w przeszłości, kiedy to wiele nieuczciwych podmiotów sprzedawało dane swoich klientów albo też sami nieświadomie wyrażaliśmy zgodę, nie czytając dokładnie oświadczeń, jakie podpisywaliśmy przy okazji korzystania z różnych usług.
Obecnie nie jest to takie proste i powszechne, ponieważ przepisy RODO nałożyły na posiadacza danych bardzo konkretne obowiązki. Upraszczając, nawet jeśli wpadną w nasze ręce czyjeś dane, to bez odpowiedniej podstawy prawnej i poinformowania właściciela danych niewiele możemy z nimi zrobić, nie narażając się jednocześnie na konkretne kary.
Uniknę masy zbędnych formalności
MIT: nie korzystam z rozwiązań chmurowych, więc nie muszę się przejmować wszystkimi formalnościami z tym związanymi.
Ten mit ma stosunkowo najpłytsze korzenie, bo sięga stycznia 2020 r., kiedy to UKNF opublikował Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Choć ten zbiór wymagań nie jest formalnym aktem prawnym, to nałożył na dystrybutorów ubezpieczeń wiele obowiązków, a przestrzeganie tych wytycznych podlega kontroli urzędowej. Nic dziwnego, że wielu agentów pragnie uniknąć tych przykrych, bo dodatkowych obowiązków. Niestety, zwykle mają błędne przekonanie, że jak skorzystają z programu instalowanego na komputerze, to te regulacje ich nie dotyczą.
Należy jednak mieć na uwadze, że od chmury nie ma praktycznie ucieczki, bo większość nowych wersji oprogramowania (włącznie z najpopularniejszymi systemami operacyjnymi, jak Windows, macOS czy Android) wykorzystuje rozwiązania chmurowe. Nawet tak podstawowe czynności w działalności agencji, jak wysyłanie e-maili czy przechowywanie kontaktów, wiąże się w 99% przypadków z powierzaniem danych do jakiejś chmury (najczęściej Google, Microsoft czy Apple). A do tego dochodzą kopie dokumentów, ustawień konfiguracyjnych itp., jakie „z automatu” zapisywane są online. Wszystkie te chmury powinny zostać poddane analizie ryzyka w każdej agencji, a po jej pomyślnym przejściu zostać zgłoszone do KNF.
Mała wisienka na torcie: PIU w swoim Standardzie wdrożeń przetwarzania informacji w chmurze obliczeniowej (…) z 2022 r. sugeruje, żeby agenci zgłaszali do KNF nawet zakłady ubezpieczeń, które reprezentują, a które korzystają w swoich systemach z rozwiązań chmurowych!
Podsumowując: od chmury nie ma ucieczki! Ze względu na swoje bezpieczeństwo, elastyczność rozwiązań, jakość oraz stosunkowo przystępne ceny (w porównaniu z chmurą prywatną, czyli infrastrukturą „na wyłączność” w CPD) wydaje się jedynym sensownym rozwiązaniem dla profesjonalnego agenta, idącego z duchem czasów i wychodzącego naprzeciw potrzebom swoich klientów.
Remigiusz Szczechowicz
menedżer ds. compliance w Insly
Pierwsza część poradnika jest dostępna na www.insly.pl/blog
