Cloud outsourcing guidelines and data protection regulation in Europe : Context of online banking self-service channels

Abstract

The objective of the master’s thesis was to describe a compliance service architecture for self-service channels in online banking conforming to the EU General Data Protection Regulation and European Banking Authority’s (EBA) recommendations on outsourcing to cloud. Research methods were based on legal dogmatics and qualitative deduction.

During 2017, EBA published a draft recommendations on outsourcing to cloud for undertakings. At the time of research, neither EBA’s recommendation nor EU General Data Protection Regulation were yet effective, which meant results and conclusions are based on interpretations and comparisons to existing legislation and guidelines rather than based on judgements or decisions made by authorities in respect to renewed recommendations and regulation.

As a result, a number of design principles, security controls, privacy techniques, functional, non-functional, contractual and process level requirements were identified as part of the compliance service architecture. The requirements were classified against the control objectives and controls of ISO-IEC 27001 and ENISA Information Assurance Framework.

It was also concluded, that the regulative landscape of outsourcing to cloud is permissive; however, there are specific requirements such as audit and access requirements spanning to the whole outsourcing chain, which can be challenging to meet contractually.

A risk-based approach in conjunction with formal, systematic approach in classifying and implementing requirements, securing contractual rights and defining service performance indicators for measuring contract performance are the backbone of a successful outsourcing arrangement and basis of compliance architecture.

Opinnäytetyössä tavoitteena oli kuvata vaatimustenmukainen arkkitehtuuri Euroopan pankkiviranomaisen (EBA) pilveen ulkoistamisen suositusten ja EU:n tietosuoja-asetuksen (EU GDPR) pohjalta.

Vuoden 2017 aikana Euroopan pankkiviranomainen (EBA) valmisteli luonnoksen suosituksista valvottaville ulkoistamisesta pilvipalveluntarjoajille. Suositus ja uusi EU-tasoinen henkilötieto-asetus (EU GDPR) eivät olleet vielä voimassa opinnäytetyöprosessin aikana. Tulokset pohjautuvat tulkintoihin suositusten ja lainsäädännön pohjalta. Tutkimusmenetelminä hyödynnettiin lainoppia ja laadullista päättelyä luokittelun pohjalta.

Tuloksena tunnistettiin ja kerättiin joukko suunnitteluperiaatteita, tietoturvakontrolleja, yksityisyydensuojan tekniikoita, toiminnallisia ja ei-toiminnallisia sekä sopimuksellisia että prosessitason vaatimuksia. Vaatimukset luokiteltiin ISO-IEC 27001:2013 standardin ja ENISA:n Information Assurance –kehyksen pohjalta.

Lisäksi suositusten pohjalta todettiin, että sääntely on itsepalvelukanavien näkökulmasta sallivaa, mutta esimerkiksi sopimuksellinen auditointi- ja pääsyoikeuksien turvaaminen koko pilvipalveluntarjoajan ulkoistusketjussa on haastavaa.

Riskienhallintaan pohjautuva systemaattinen, kirjallinen vaatimusten luokittelu ja implementointi, sopimuksellisten vaatimusten turvaaminen ja palvelutason mittareiden määrittely valvonnan mahdollistamiseksi, ovat onnistuneen ulkoistuksen ja vaatimustenmukaisen arkkitehtuurin peruspilareita.