הפיקוח על הבנקים בבנק ישראל פרסם לפני ימים אחדים טיוטת מכתב הנחיה לבנקים ולחברות כרטיסי האשראי בעניין שימוש בשירותי מחשוב ענן. ברקע לטיוטה מדגיש בנק ישראל כי שימוש של תאגיד בנקאי בשירותי ענן עלול לחשוף אותו "לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע, המשכיות עסקית, שליטה ובקרה על נכסי ה-IT וכדומה".

בטיוטת מכתב ההנחיה מבקש בנק ישראל להוסיף על ההנחיות שקבועות בהוראות ניהול בנקאי תקין בעניין טכנולוגיית המידע (הנחיה 357) ולקבוע בין היתר כי:

• שימוש של תאגיד בנקאי בשירותי מחשוב ענן מחייב קבלת היתר מראש מאת המפקח על הבנקים, גם אם השימוש שייעשה במחשוב ענן לא ישתרע על מידע של לקוחות;
• טרם ההתקשרות עם ספק שירותי הענן התאגיד הבנקאי נדרש לבצע הערכת סיכונים, לגבש דרכים להפחתתם ולקבוע מדיניות כתובה שתסדיר את חלוקת הסמכויות והאחריות בבנק, ואת תהליכי הבקרה, הביקורת והאישורים בקשר לכלל ההיבטים הכרוכים בשימוש בשירותי ענן חיצוניים. כל אלה יובאו לדיון ואישור בדירקטוריון;
• נאסר על תאגיד בנקאי להשתמש בשירותי מחשוב ענן לפעילויות הליבה ומערכות הליבה שלו;
• השימוש בשירותי ענן מותר רק אם אחסון המידע ונתוני הלקוחות נעשה בגבולות מדינת ישראל או באמצעות ספק שירותי ענן שמקיים רמה נאותה של הגנה על מידע כפי שקובעת הדירקטיבה האירופית להגנה על מידע;
• התאגיד הבנקאי נדרש לערוך בדיקת נאותות לספק שירותי הענן טרם ההתקשרות עמו וכן מעת לעת במהלך תקופת ההתקשרות;
• יש להצפין את תעבורת הנתונים עם הספק. אם המידע מאוחסן בתשתיות ענן המשמשות גם לקוחות נוספים של ספק שירותי הענן, התאגיד הבנקאי נדרש גם להצפין את המידע בעת שהוא מאוחסן בענן;
• התאגיד הבנקאי נדרש לנטר אירועי אבטחת מידע בתשתית הענן המשמשת אותו ולוודא שבידיו הכלים לעשות זאת;
• הסכם ההתקשרות עם ספק שירותי הענן יעשה בכתב ויבטיח את זכותו של התאגיד הבנקאי ושל המפקח על הבנקים לערוך ביקורת אצל הספק. ההסכם גם יאפשר לתאגיד הבנקאי להביא את ההתקשרות לסיומה ויבטיח שבנסיבות כאלה ספק שירותי הענן ימחק את המידע שאוחסן אצלו ויתחייב שלא לשחזר אותו.

טיוטת המכתב גם מפנה לחקיקה בתחום הגנת הפרטיות בישראל ולהנחיית רשם מאגרי המידע בעניין שימוש בשירותי מיקור חוץ לעיבוד מידע אישי. מקור: טיוטת מכתב הנחיה של המפקח על הבנקים בנושא ניהול סיכונים בסביבת מחשוב ענן.