Outsourcing IT do chmury obliczeniowej natrafia na zróżnicowane bariery regulacyjne. Ich restrykcyjność zależy od branży. Największe dotyczą podmiotów nadzorowanych przez KNF. Jednak niemal równie duże – np. adwokatów lub radców prawnych. W ich przypadku regulacje z zakresu odpowiedzialności dyscyplinarnej traktują outsourcing do chmury w sposób zbliżony do regulacji KNF. Realne bariery istnieją także np. w sferze służby zdrowia. Nawet typowy polski small business musi liczyć się ze stosowaniem regulacji z zakresu ochrony danych osobowych, jeśli chce korzystać z chmury obliczeniowej.
Może nie być łatwo ustalić, czy dany projekt IT obejmuje korzystanie z chmury. Zgodnie z definicją przyjętą za NIST przetwarzanie danych w chmurze obliczeniowej to ”model przetwarzania umożliwiający wygodny dostęp na żądanie do konfigurowalnej i współdzielonej puli zasobów obliczeniowych (np. : sieci, serwerów, pamięci masowej, aplikacji i usług), które mogą być szybko dostarczane i wymagają minimalnego wysiłku w kwestii zarządzania i interakcji z usługodawcą”.
Kiedy pula zasobów jest „współdzielona”? Kiedy wysiłek w kwestii zarządzania i interakcji z usługodawcą jest „minimalny”? Czy mamy już do czynienia z chmurą obliczeniową, czy jedynie np. outsourcingiem IT w formie hostingu aplikacyjnego? Czy dla KNF problematyczna jest jedynie chmura publiczna, czy też prywatna?
Te pytania są istotne, ponieważ o ile normy pochodzące od KNF (np. Rekomendacja D, Wytyczne … z 16.12.2014) stawiają na równi ASP z chmurą obliczeniową i stawiają im takie same wymogi, o tyle już Komunikat Urzędu KNF z 23.10.2017 r. dotyczy wyłącznie chmury obliczeniowej. Te pytania są równie istotne dla prawników. Odpowiadając na nie trzeba sięgnąć z jednej strony do źródeł definicji NIST, a drugiej – do celu regulacji pochodzących od KNF lub organów samorządu zawodowego.
Chmura obliczeniowa będzie stosowana przez podmioty nadzorowane przez KNF mimo bariery regulacyjnej. Raz, że często będą to chmury dedykowane dla międzynarodowej korporacji uzgodnione przez spółki matki. Zmniejsza to wymogi dla polskiego podmiotu względem polskiego KNF. Dwa, że w przypadku mniejszych projektów okaże się, że dany outsourcing właściwie nie jest chmurą obliczeniową, jako, że np. zasób nie jest „współdzielony”. Trzy, że te duże podmioty będą mogły wynegocjować sobie warunki odpowiadające wymogom KNF, które nie są sztywne, tylko stanowią zestawy dobrych praktyk, zalecane na zasadzie „apply or explain”.
Small business natomiast korzystając z usług chmurowych powinien zapoznać się z regulacjami KNF. Są to łatwo dostępne „podręczniki ryzyk”, jakie wiążą się z outsourcowaniem swojej działalności do chmury obliczeniowej. Ryzyko szantażu „zapłać, albo odetnę Cię od usługi” i inne realne zagrożenia mogą powstrzymać niejedną małą, polską firmę przed wejściem w relację z dostawcą chmury obliczeniowej mimo niewątpliwych korzyści.
[Powyższy post ukazał się także na stronach internetowych „Rzeczpospolitej”, a powstał jako podsumowanie następującej prezentacji, przedstawionej w ramach konferencji Prawne aspekty umów IT w organizacji]