ShareGdzie przechowywać dane klientów – część 2: własny komputer czy chmura?
W pierwszej części poradnika, pokazałem, że to, z jakich rozwiązań do zarządzania relacjami z klientami korzystają pośrednicy, zależy w dużej mierze od aktualnego etapu rozwoju agencji oraz indywidualnych preferencji jej właściciela czy pracowników. Tym razem, specjalnie dla czytelników, skupiam się na kwestii miejsca przetwarzania i przechowywania danych powierzanych przez klientów. Wokół tego narosło również sporo mitów.
Mój dom to moja twierdza.
MIT: dane na moim komputerze są najbardziej bezpieczne.
Nic bardziej mylnego. Przechowywanie danych na dysku własnego komputera jest obciążone szeregiem ryzyk.
- Utrata danych lub problem z dostępem do nich – w każdej chwili nasz sprzęt może ulec awarii – nawet jeśli uda się nam odzyskać dane (co nieraz jest baaardzo kosztowne), to mogą one być niekompletne, a w najlepszym wypadku wiąże się to ze sporym utrudnieniem w prowadzeniu bieżącej działalności. Oczywiście większość danych dostępna jest też w systemach TU, ale nieraz trudno jest nam nawet przypomnieć sobie dane do logowania czy skorzystać z poczty e-mail celem odzyskania hasła.
Skrajnym przypadkiem może być zniszczenie sprzętu np. na skutek zalania, przepięcia, pożaru czy zwykłego upadku (dzieci czy zwierzaki domowe mogą w tym pomóc).
Pewnym sposobem na zminimalizowanie ryzyka jest wykonywanie kopii bezpieczeństwa (backup) np. na nośnikach zewnętrznych (pendrive, dysk przenośny, płyty), ale nie ma gwarancji, że takie urządzenie też nie spłonie w pożarze albo nie wypadnie z kieszeni (patrz punkt kolejny).
- Ujawnienie danych – nawet doświadczeni użytkownicy komputerów mogą zostać zwiedzeni przez podstępnych przestępców, którzy dzięki naszej lekkomyślności czy też niewiedzy mogą wykraść posiadane dane wykorzystując chociażby złośliwe oprogramowanie czy socjotechniki. Często też zdarzają się nadal kradzieże sprzętu, zwłaszcza mobilnego, a nie zawsze dane przechowujemy w postaci zaszyfrowanej.
Trzymanie danych w chmurze (czyli na zasobach dostawców usług/oprogramowania) faktycznie minimalizuje te ryzyka, ponieważ:
- Renomowani dostawcy dysponują infrastrukturą i procedurami, które zapewnią przetrwanie danych nawet w przypadku najgorszych klęsk żywiołowych, a nie tylko lokalnych wypadków. Centrum przetwarzania danych (CPD, czyli miejsca, w którym znajdują się fizycznie jednostki, na których są przechowywane/przetwarzane nasze informacje) to prawdziwe fortece, wyposażone w najnowsze cuda techniki inżynieryjnej i informatycznej, regularnie poddawane audytom niezależnych i uznanych instytucji certyfikujących. Dodatkowo kopie danych są często przechowywane w lokalizacjach oddalonych geograficznie, więc nawet jeśli coś by spowodowało zniszczenie jednego CPD, np. działania wojenne, to dane nadal będą kompletne i możliwe do szybkiego przywrócenia.
- Dostęp do danych przez niepowołane osoby jest kontrolowany również na wielu poziomach: od fizycznych zabezpieczeń budynków (ogrodzenia, monitoring, ochrona, kontrola dostępu do poszczególnych pomieszczeń itd.), poprzez zabezpieczenia na poziomie infrastruktury (zabezpieczenia przed dostępem z zewnątrz poprzez sieć i z wewnątrz, bezpośrednio przez pracowników dostawcy) aż do zabezpieczeń na poziomie oprogramowania (wszelkiego rodzaju programy blokujące złośliwe aplikacje, analizujące ruch w sieci, podejrzane działania itd.). Oczywiście wszystko jest regulowane przez procedury i zawarte w nich zasady typu „minimum dostępów i uprawnień, jakie pracownik potrzebuje”, szyfrowanie wszystkiego co się da, często wielostopniowe itd.
Ktoś wykorzysta moje dane
MIT: dostawca usługi, któremu powierzę dane, ukradnie mi klientów albo sprzeda informacje innej firmie.
To przekonanie bazuje na lękach, jakie ma duża część dystrybutorów ubezpieczeń, że ktoś wykradnie bazę danych, budowaną mozolnie przez wiele lat i „podbierze” klientów albo sprzeda to tym, co masowo „obdzwaniają” klientów. Niestety ten stereotyp ma też korzenie w przeszłości, kiedy to wielu nieuczciwych podmiotów sprzedawało dane swoich klientów, albo też sami nieświadomie wyrażaliśmy zgodę nie czytając dokładnie oświadczeń i zgód jakie podpisywaliśmy przy okazji korzystania z różnych usług.
Obecnie nie jest to takie proste i powszechne, ponieważ przepisy RODO nałożyły na posiadacza danych bardzo konkretne obowiązki. Upraszczając, nawet jeśli wpadną w nasze ręce czyjeś dane, to bez odpowiedniej podstawy prawnej i poinformowania właściciela danych (czyli np. klienta agencji/TU) niewiele możemy z nimi zrobić nie narażając się jednocześnie na konkretne kary.
Poza tym zawód agent bazuje przede wszystkim na zaufaniu, na budowaniu długofalowych relacji z klientem. Taki klient nie odejdzie do innego, obcego podmiotu, tylko dlatego że ten zadzwonił i naobiecywał złote góry.
Czytaj również Kim jest agent ubezpieczeniowy
Uniknę masy zbędnych formalności
MIT: nie korzystam z rozwiązań chmurowych więc nie muszę się przejmować wszystkimi formalnościami z tym związanymi.
Ten mit ma stosunkowo najpłytsze korzenie, bo sięga stycznia 2020 r., kiedy to UKNF opublikował Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Choć ten zbiór wymagań nie jest formalnym aktem prawnym, to nałożył na dystrybutorów ubezpieczeń szereg obowiązków, a przestrzeganie tych wytycznych podlega kontroli urzędowej i ze strony zakładów ubezpieczeń (w stosunku do agencji i OFWCA). Nic dziwnego, że wielu agentów pragnie uniknąć tych przykrych, bo dodatkowych obowiązków. Niestety zwykle mają błędne przekonanie, że jak skorzystają z programu instalowanego na komputerze, to te regulacje ich nie dotyczą. Należy jednak mieć na uwadze, że od chmury nie ma praktycznie ucieczki, bo większość nowych wersji oprogramowania (włącznie z najpopularniejszymi systemami operacyjnymi, jak Windows, macOS czy Android) wykorzystuje rozwiązania chmurowe. Nawet tak podstawowe czynności w działalności agencji, jak wysyłanie maili czy przechowywanie kontaktów, wiążą się w 99% przypadków z powierzaniem danych do jakiejś chmury (najczęściej Google, Microsoft czy Apple). A do tego dochodzą kopie dokumentów, ustawień konfiguracyjnych itp., jakie „z automatu” zapisywane są online. Wszystkie te chmury powinny zostać poddane analizie ryzyka w każdej agencji, a po jej pomyślnym przejściu, zostać zgłoszone do KNF. Można by rzec kolokwialnie, że „jedna w te czy we w te nie robi różnicy”, zwłaszcza jeśli dostawca podchodzi poważnie i rzetelnie do tematu i pomaga swoim klientom dostarczając niezbędne informacje.
Mała wisienka na torcie: PIU w swoim Standardzie wdrożeń przetwarzania informacji w chmurze obliczeniowej (…) z 2022 r. sugeruje, żeby agenci zgłaszali do KNF nawet zakłady ubezpieczeń, które reprezentują, a które korzystają w swoich systemach z rozwiązań chmurowych!
Podsumowując: od chmury nie ma ucieczki! Ze względu na swoje bezpieczeństwo, elastyczność rozwiązań, jakość oraz stosunkowo przystępne ceny (w porównaniu do chmury prywatnej, czyli infrastruktury „na wyłączność” w CPD) wydaje się być jedynym sensownym rozwiązaniem dla profesjonalnego agenta, idącego z duchem czasów i wychodzącego naprzeciw potrzebom swoich klientów.
Autor:
Remigiusz Szczechowicz, compliance manager w Insly