Spotkałem kiedyś CIO dużego banku, który pokazał mi arkusz z 47 różnymi wymogami regulacyjnymi dla jednego systemu płatniczego. RODO, PSD2, AML, KNF, audyt wewnętrzny, polityki korporacyjne, certyfikaty ISO, wymogi SOX dla spółki matki w Stanach. Siedem zespołów, każdy pilnujący swojego kawałka, żaden nie wiedział dokładnie co robią pozostali. Compliance w czystej postaci.
W teorii to proste. Przestrzegasz przepisów, standardów, wewnętrznych regulacji. W praktyce nikt tak naprawdę nie wie, gdzie kończy się bezpieczeństwo danych, a zaczyna zgodność z ustawą o rachunkowości. Albo kto ma pilnować, żeby kod spełniał wymogi dostępności cyfrowej z 2019 roku, skoro product owner nigdy o tym nie słyszał, a tester dostał specyfikację trzy dni przed release’em.
RODO i reszta alfabetu
Ogólne Rozporządzenie o Ochronie Danych weszło w życie w maju 2018 i przez pół roku każda firma robiła to samo. Zatrudniała prawników, którzy pisali polityki prywatności na 35 stron, IT dostawiało checkboxy do zgód, a product managerowie liczyli, ile użytkowników ucieknie po zobaczeniu formularza. Compliance w wydaniu ochrony danych osobowych to nie tylko RODO. W finansach dochodzi PCI DSS dla płatności kartowych, w zdrowiu HIPAA w Stanach albo ustawa o prawach pacjenta w Polsce, w sektorze publicznym Krajowe Ramy Interoperacyjności.
Każdy z tych wymogów ma inną logikę. RODO mówi o minimalizacji danych i prawie do usunięcia. Regulacje finansowe każą wszystko logować i przechowywać przez 10 lat. Compliance officer próbuje to pogodzić, prawnik mówi “to zależy”, a developer w międzyczasie commituje hasła do repo na GitHubie.
SOX, audyty i separacja obowiązków
Sarbanes-Oxley Act z 2002 roku powstał po aferze Enronu. Amerykański Kongres postanowił, że spółki giełdowe muszą udowodnić, że ich procesy finansowe są pod kontrolą. Dla IT oznaczało to jedno: segregation of duties. Osoba, która pisze kod, nie może go wdrażać na produkcję. Osoba, która zatwierdza zmiany w systemie księgowym, nie może ich testować. Brzmi rozsądnie, w startupie o trzech developerach niemożliwe do zrobienia.
Widziałem projekty, w których cały pipeline CI/CD został przeprojektowany, żeby spełnić wymogi audytorów. Zamiast automatycznego deployu dev pushował do brancha, tech lead robił code review, ops manager klikał “deploy” ręcznie, a audytor dostawał logi z timestampami i IP. System działał wolniej, ludzie byli sfrustrowani, ale checkbox w arkuszu audytowym się zgadzał.
ISO 27001 i dokumentacja, której nikt nie czyta
Standard ISO 27001 to międzynarodowa norma zarządzania bezpieczeństwem informacji. Certyfikat wygląda ładnie w prezentacji handlowej i czasem klient wprost go wymaga w przetargu. Żeby go dostać, trzeba udokumentować polityki, procedury, rejestr ryzyk, plan ciągłości działania, przeszkolić ludzi, przeprowadzić audyt. Pół roku pracy, kilkadziesiąt dokumentów, które po certyfikacji lądują na serwerze i nikt ich już nie otwiera, dopóki audytor nie wraca za rok.
Znam firmę, która wdrożyła ISO 27001, bo jeden duży klient tego wymagał. Po trzech latach klient odszedł, ale certyfikat został, bo już wydali na niego budżet i prezes lubił pokazywać logo na stronie. Compliance w wydaniu kosmetycznym.
Kto to wszystko pilnuje
W dużych organizacjach jest compliance officer, czasem cały dział. W mniejszych to jakoś tak pada na prawnika, na kogoś z IT, na kogoś z zarządu. Problem w tym, że compliance to nie jest jeden obszar. To skrzyżowanie prawa, technologii, procesów biznesowych i polityki korporacyjnej. Jedna osoba rzadko ogarnia wszystkie cztery.
Najlepsi compliance officerowie, których spotkałem, nie udawali, że wiedzą wszystko. Zbierali ludzi z różnych działów, tłumaczyli developerom co oznacza “prawo do bycia zapomnianym”, a prawnikom tłumaczyli dlaczego usunięcie danych z backupu to nie to samo co usunięcie z bazy produkcyjnej. Gorsi drukowali regulaminy i wysyłali mailem z dopiskiem “do wiadomości i stosowania”.
Co zostaje
Compliance nie znika. Przepisów przybywa, kary rosną, audytorzy pytają coraz dokładniej. Pytanie brzmi, czy robisz to, bo rzeczywiście chroni to firmę i klientów, czy robisz to, żeby mieć papier na wypadek kontroli. Różnica jest niewielka na papierze, ogromna w praktyce. I widać ją dopiero wtedy, gdy coś się sypie.
Źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), maj 2018.
- Sarbanes-Oxley Act (SOX), Kongres USA, 2002.
- ISO/IEC 27001, standard zarządzania bezpieczeństwem informacji.
- Ustawa o dostępności cyfrowej stron internetowych i aplikacji mobilnych, Dz.U. 2019 poz. 848.
Zdjęcie: Gustavo Fring / Pexels
