Patirtis, atitiktis ir sertifikatai. Ką renkantis IT tiekėją verta žinoti finansų įstaigai?

Finansų įstaigų informacinėse sistemose kaupiami ypač jautrūs duomenys, todėl priežiūros institucijos jų patikimumui ir saugumui skiria ypatingą dėmesį. Neretai finansų įstaigos nesiryžta vienos dorotis su atitikties iššūkiais ir pasitelkia į pagalbą IT paslaugas teikiančias trečiąsias šalis. Kaip išsirinkti patikimą informacinių technologijų ir programinės įrangos tiekėją, kuris palengvintų kasdienę veiklą ir supaprastintų atitikties procesus, pataria Rūta Šiaučiulytė, įmonės „Forbis“, bankinių technologijų srityje veikiančios jau beveik 30 metų, teisės ir atitikties valdymo skyriaus vadovė.

Lietuvos finansų įstaigų veiklą apibrėžia nemažas pluoštas įvairiausių teisės aktų – pradedant Europos centrinio banko ar Lietuvos banko nutarimais, baigiant Bendruoju asmens duomenų apsaugos reglamentu ir pinigų plovimo prevencijos reikalavimus apibrėžiančiais dokumentais. Siekiant visuminio finansų sistemos tvarumo ir patikimumo, reguliuojama ne tik bankų, kredito unijų ar kitų finansų paslaugų tiekėjų tiesioginė veikla, bet taip pat nustatomi reikalavimai IT sistemoms ir jų valdymui – įrankiams, kuriais finansų įstaigos naudojasi kasdienėje veikloje. Kita vertus, reguliaciniuose teisės aktuose paprastai nėra apibrėžiami konkretūs techniniai reikalavimai, tačiau nurodomos gerosios industrijos praktikos, kurios turėtų įstaigai padėti užtikrinti reikiamą saugumo lygį nepriklausomai nuo veiklos apimties, pasitelkiamų technologijų ir trečiosioms šalims deleguojamų funkcijų.

Pasak „Forbis“ teisės ir atitikties valdymo skyriaus vadovės Rūtos Šiaučiulytės, formali atitiktis teisės aktų reikalavimams yra svarbus, bet ne vienintelis kriterijus finansų įstaigai renkantis IT tiekėją. „Trečiosios šalys, iš kurių finansų įstaigos įsigyja pagrindines IT sistemas, laikomos kritiniais tiekėjais, todėl būtina laikytis teisės aktų, kurie nurodo, kaip rinktis IT tiekėjus ir valdyti jų teikiamas paslaugas. Vis dėlto ilgametė mūsų patirtis rodo, kad sėkmingam darbui svarbi ne tik formali atitiktis: kuo didesnių ambicijų turi finansų įstaiga, tuo aukštesnius reikalavimus ji turi kelti būsimo partnerio patirčiai. Savo profesionalumą IT tiekėjai gali įrodyti akredituotų įstaigų išduotais atitikties sertifikatais ir klientų atsiliepimais,“ – sakė R. Šiaučiulytė.

Kaip ir kitose srityse veikiančios įmonės, IT sistemų tiekėjai gali gauti ISO (International Organization for Standardization) sertifikatus, patvirtinančius, kad įmonėse taikomos tarptautinių standartų apibrėžtos gerosios verslo vadybos praktikos. „Dirbdami su įvairaus dydžio finansų įstaigomis – nuo bankų iki finansų technologijų startuolių – įsitikinome, kad vienas iš pagrindinių kriterijų renkantis IT tiekėjus yra nepriklausomų sertifikacijos įstaigų išduotas patvirtinimas, kad įmonėje skiriamas deramas dėmesys paslaugų kokybei, rizikos valdymui ir informacijos saugumo užtikrinimui. Todėl tiek „Forbis“, kurianti bankinę IT įrangą, tiek kita mūsų grupės įmonė „Fininbox“, teikianti programinės įrangos nuomos (SaaS) finansinėms įstaigoms sprendimus, turi tarptautinio informacijos saugumo valdymo standarto ISO/IEC 27001 sertifikatus. Veiklos procesus „Forbiui“ taip pat padeda valdyti paslaugų valdymo ISO/IEC 20000 ir kokybės valdymo ISO/IEC 9001 standartų reikalavimus atitinkančios vadybos sistemos. Maža to, kuriant IT sprendimus labai svarbūs specifiniai rinkos standartai – IT kūrėjams privalu vadovautis OWASP ir kitų IT saugumo standartų reikalavimais, NIST ir kitų organizacijų gairėmis, nuolatos kruopščiai tikrinti kuriamų produktų saugumą ir skirti pakankamai resursų personalo ugdymui. Tik kasdienis gerųjų praktikų taikymas ir holistinis požiūris į IT sistemų vystymą gali padėti būti tikram, kad kuriamas maksimaliai kokybiškas ir saugus produktas,“ – komentavo R. Šiaučiulytė.

Taip pat svarbu, kad IT sistemų tiekėjas ne tik pagamintų ir įdiegtų produktą, bet ir garantuotų jo klaidų šalinimą ir atnaujinimą keičiantis reguliavimui ar finansų įstaigos poreikiams. „IT tiekėjų patikimumas ir veiklos tęstinumas yra būtini tam, kad klientai sklandžiai ir laiku gautų visas reikalingas paslaugas. Tarptautiniai standartai įpareigoja nuolatos stebėti ir gerinti veiklos procesus – mūsų akimis, jie parodo ir įtvirtina sąžiningos, skaidrios ir efektyvios veiklos kryptį. Rinka ir reikalavimai keičiasi labai greitai, todėl reikia įdėti daug pastangų, kad išliktų aukštas procesų kokybės lygis ir sertifikatai būtų nuolat atnaujinami,“ – sakė R. Šiaučiulytė.

Atitikties ekspertė ragina tiekėjus besirenkančias finansų įstaigas atkreipti dėmesį ir į įmonės istoriją: veiklos trukmę, įgyvendintus didelio masto ar kompleksiškumo projektus bei klientų atsiliepimus, kurie geriausiai atspindės tai, kaip pasirašius sutartį dirbs tiekėjo klientų aptarnavimo komanda, ar greitai bus šalinami trikdžiai ir kokius sprendimus įmonė galės pasiūlyti nestandartinėse situacijose.

Apie Forbis

UAB „Forbis“ kuria finansinių technologijų sprendimus bankams ir kitoms finansų institucijoms.

Įmonės sprendimai yra pritaikomi skirtingų dydžių ir tipų finansų institucijų poreikiams: siūlomos ir visiškai autonominės bankinės sistemos, ir į jau kliento naudojamą sistemą integruojami moduliai, ir platformos, palaikančios kliento produktus bei paslaugas.

„Forbis“ įmonių grupei priklauso UAB „Fininbox“, nuomojanti programinę įrangą finansų įstaigoms SaaS (System as a Service) principu, ir elektroninių pinigų įstaiga „Contomobile“.