• compliance,  cybersecurity,  DORA

    DORA – dziwny przypadek całkowitej zgodności

    Zacznę od wyjaśnienia, co mam na myśli pisząc o DORA jako dziwnym przypadku całkowitej zgodności. Odnoszę ostatnio wrażenie, że wszyscy już ją gwarantują albo przynajmniej oczekują. Dostawcy ICT zgłaszają gotowość na DORĘ – w sensie technologicznym oraz regulacyjnym. Podmioty nadzorowane mówią o gotowości, bo mają rekomendację D, mają komunikat chmurowy, polityki outsourcingowe, BCP, czy odpowiednie gwarancje umowne. Nadzór komunikuje zaś, że będzie gotowy do kontroli od 17 stycznia 2025 r. (to dzień, od którego rozporządzenie DORA będzie stosowanie) i będzie tej zgodności oczekiwał. A teraz zapraszam na wejście nieco głębiej… i przyjrzenie się kilku wyimaginowanym ujęciom zgodności. Podejście – zróbmy zgodność dokumentami Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego…

  • DORA,  technologie

    Cyberbezpieczeństwo to gra zespołowa

    W tym tekście będziemy zajmować się rozważaniami nad wdrożeniem rozwiązań w zakresie bezpieczeństwa informacji – w tym także cyberbezpieczeństwa. I ważne jest, by te dwa obszary się widziały, bo przecież zabezpieczenie pomieszczeń na niewiele się zda, jeśli nie będziemy chronić sieci – i odwrotnie. Jeśli przejdziemy z abstrakcyjnego rozważania zagadnień z obszaru cyber do budowy rozwiązań kontekście konkretnej organizacji, to może okazać się, że mamy przed sobą potężny projekt. Projekt, którego nie da się zamknąć bez interdyscyplinarnej współpracy. Zarząd musi działać z IT, IT z bezpiecznikiem, bezpiecznik z IODą. A na koniec przydałby się prawnik – tak do oceny kontekstu, jak i zabezpieczenia outsourcingu, zgłoszeń do organów nadzoru, czy do…

  • AML,  compliance,  fintech

    Aplikacja mObywatel a KYC online? [2]

    Na początek – zachęcam do zerknięcia na mój pierwszy tekst o aplikacji mObywatel, gdzie w głównej mierze zastanawialiśmy się, czy dokument mObywatel może posłużyć instytucjom finansowym w weryfikacji klientów online. Przypomnę, że główny wniosek polegał na tym, że ustawodawca zaprojektował rozwiązanie, wedle którego: dokument mObywatel z założenia ma być wykorzystywany do stwierdzenia tożsamości i obywatelstwa polskiego na terytorium RP, i w relacjach wzajemnych fizycznej obecności stron. A to znaczy, że trudno znaleźć podstawy do skutecznego wykorzystania dokumentu mObywatel do weryfikacji tożsamości online. Można powiedzieć, że ustawodawca ograniczył potencjał ukryty w tym dokumencie. Co zawiera mObywatel i do czego służy? Dodatkowo warto zapamiętać, że dokument mObywatel zawiera: 1) dane użytkownika aplikacji…

  • cybersecurity,  obywatelskie,  technologie

    O nas wiedzą dużo, ale czy i my wiemy?

    O śledzeniu w internecie i wyzwaniach prawnych związanych z analizą aktywności użytkowników Śledzenie używając języka organów UE możemy określić jako komercyjne (commercial suveillance). Think tank przy Parlamencie Europejskim w podsumowaniu na temat komercyjnego śledzenia  przywołał następujące stanowisko Federalnej Komisji Handlu USA: „Alarmujące jest, że wciąż wiemy tak niewiele o firmach, które wiedzą tak wiele o nas”. Niektórzy z czytelników od razu pomyślą, że chodzi tutaj o sytuację jednostki, która wpadła w sidła globalnego dostawcy. A że płaszczyzną porównania jest wymiana informacji w internecie, to łatwo ustalić, że chodzi o zetknięcie się użytkownika z firmami technologicznymi, a dokładniej platformami społecznościowymi, handlowymi lub wyszukiwarkami internetowymi. Jakie aktywności mogą być śledzone? Europejski think…

  • AML,  blockchain,  fintech,  NFT,  technologie

    Czy wszystko można stokenizować?

    Zdaniem niektórych dzisiaj stokenizować można już wszystko. Rozwiązania oparte o nowe technologie są już stałym elementem krajobrazu tradycyjnego rynku. Koegzystują z istniejącymi modelami, a czasami je wypierają. System mieszany Northern Trust oraz HSBC w raporcie o tokenizacji stwierdzają, że mieszany system może być drogą dla globalnej adopcji zdecentralizowanych finansów. Mieszany system to ten, który łączy systemy DLT (distributed ledger technology) z tradycyjnym system płatności. Warto również wspomnieć, że dla niektórych organizacji wejście w sferę cyfrową może być sposobem na pozostanie na rynku w ogóle. Podobne zapatrywania znaleźć możemy w raporcie dotyczącym tokenizacji realnych aktywów od Binance Research. Według tego raportu rynek DeFi (decentralized finance) jest uzależniony od wolumenu transakcji i…

  • technologie

    Czy mObywatel może pomóc w KYC online? [1]

    Emocje związane z tym, czy aplikacja mObywatel – Ministerstwo Cyfryzacji działa już nieco opadły. I dlatego zrobiło się miejsce, by zastanowić, czy aplikacja ta może być przydatna w zdalnych procesach weryfikacji tożsamości klienta na potrzeby #AML. Wspólnie zastanówmy się: Czy aplikacja ma wpływ na procesy KYC (czy jak ktoś woli językiem ustawy stosowanie środków bezpieczeństwa finansowego)? Czy Instytucje obowiązane muszą dokonywać specjalnych wdrożeń nowych rozwiązań IT i dodawać nowe funkcje w swoich produktach? Czy należy aktualizować procedury AMLowe w tym względzie i przygotowywać nowe procesy dla użytkownika? Wreszcie, czy dostawcy IT powinni być gotowi na nowe wymagania klientów dotyczące weryfikacji online? Podłoże regulacyjne i biznesowe Jeśli odpowiadasz za compliance w…

  • blockchain,  compliance,  fintech,  kryptowaluty,  newtech,  NFT,  technologie

    Co dalej w web3 i blockchainie?

    Co dalej będzie działo się w web3 i blockchainie? Liczba ciekawych informacji z rynku technologii finansowych, zmusza wręcz do zastanowienia się, co jeszcze przed nami. Poza zmianami technologicznymi czy rynkowymi, rzeczywistość będzie kształtowana przez nowe wymogi prawa. Co takiego z ciekawych informacji warto odnotować? Media mówią o przejęciu FTX przez Binance. Chodzi o przejęcie czwartej co do wielkości giełdy walut wirtualnych przez największą giełdę. Hasła koncentracji czy monopolu same ciasną się na usta. W tym kontekście ciekawe są również słowa CEO Binance, który postuluje posiadanie rezerw przez giełdy krypto. All crypto exchanges should do merkle-tree proof-of-reserves. Banks run on fractional reserves. Crypto exchanges should not.@Binance will start to do proof-of-reserves…

  • compliance,  cybersecurity,  DORA,  fintech,  technologie

    DORA nie tylko dla instytucji finansowych

    DORA – Digital Operational Resilience Act. By przetrwać, reagować i odzyskać sprawność. A być może również, by ujednolicić podejście. W tym tekście o tym, że DORA to nie tylko regulacja dla instytucji finansowych. Zastanówmy się również wspólnie kto i jak może się przygotować. DORA będzie to rozporządzenie, a zatem podobnie jak RODO będzie obowiązywać bezpośrednio. Nie znaczy to jednak, że DORA nie zostanie nadpisana stanowiskami organami nadzoru lub rozporządzeniami technicznymi. Czy to punkt przełomowy w unijnych regulacjach dla sektora finansowego? Nie mam zielonego pojęcia, nie odważę się na taką tezę. Bezpieczniej za to można stwierdzić, że jest to rzeczywiście regulacja, kóra odpowiada na widoczne na rynku problemy bezpieczeństwa produktów, jak…

  • cybersecurity,  DORA,  fintech,  rodo,  usługi płatnicze

    DORA, sektor finansowy oraz dostawcy IT.

    Digital Operational Resilience Act (#DORA) By: przetrwać, reagować i odzyskać sprawność: Albo, jeśli ktoś woli, na kwestie cyfrowej odporności możemy spojrzeć także słowami przewodniczącej KE: Jeśli wszystko jest połączone, to wszystko może być podatne – na ataki. Na stronie Rady UE i Rady Europejskiej (consilium) 11 maja 2022 opublikowano informację, że Rada UE i Parlament Europejski osiągnęły porozumienie w sprawie DORA. 11 lipca 2022 w pierwszym czytaniu w Komisji zatwierdzono tekst aktu. Na 9 listopada 2022 zaś zaplanowano kolejne posiedzenie plenarne Parlamentu Europejskiego w tej sprawie. Po co w ogóle nam ten akt? DORA ma stanowić podstawy dla stworzenia przejrzystych podstaw dla unijnych organów nadzoru. Cel to utrzymanie stabilnej działalności…

  • cloud,  cybersecurity,  rodo,  technologie

    Przetwarzanie danych w USA. RODO a Cloud Act.

    Jakiś czas temu (w 2020 r.) pisałem o barierach związanych z przetwarzaniem danych w chmurze. W katalogu tych barier znalazły się także wątki prawne. Poszukując podstaw przetwarzania europejskich danych osobowych przez dostawców z USA rozważało się wówczas (i warto dalej rozważać) ryzyka związane z dostępem służb państw trzecich do transferowanych danych. Chodzi tutaj, między innymi o CLOUD ACT. US CLOUD ACT A RODO CLOUD Act (Clarifying Lawful Overseas Use of Data Act), nazwa bynajmniej nie pochodzi od chmury, niemniej dotyczy legalnego przetwarzania danych za granicą. Założeniem Cloud Act było rozwiązanie problemu w uzyskiwaniu danych przez administrację państwową, gdy amerykański dostawca przechowywał dane poza terenem USA. Przepisy miała także odpowiedzieć na…