REVIZIJA e-POSLOVANJA BANKE Z VIDIKA SKLADNOSTI Z ZAKONODAJO Janez URATNIK, CISA

REVIZIJA e-POSLOVANJA BANKE Z VIDIKA SKLADNOSTI Z ZAKONODAJO

Janez URATNIK, CISASKB BANKA D.D., SOCIETE GENERALE GROUP

Ljubljana, 8.1.2002 ISACA - SC

namen in vsebina predstavitve

• Predstaviti e-poslovanje v bankah

• Podati osnovni pravni okvir e-poslovanja

e-poslovanje je dejstvo

• Promocija banke

• Potreba banke

• Ureditev poslovalnice stane 500.00 EUR

• Poslovanje 24 x 7 x 365

• Izvajanje transakcij se seli h komitentu

• Bančni šalter postaja mesto svetovanja

vidiki e-poslovanja

• Tehnični

• Varnostni

• Vsebinski

• ...

• Skladnost z zakonodajo v bankah

• ...

kaj je e-poslovanje

Katera koli oblika poslovne transakcije, v

kateri stranke delujejo elektronsko namesto,

da bi si pošiljale “telesna” sporočila ali bile v

neposrednem stiku.

(European Commision)

kaj je e-poslovanje

Proces, kjer organizacije opravljajo poslovanje s strankami po elektronski poti, kjer so podrobnosti o transakcijah obdelane v elektronski obliki in kjer je internet prevladujoča tehnologija. Vključuje B2B in B2C, ne vključuje pa elektronskega poslovanja, ki se opravlja po nejavnih komunikacijskih omrežjih.

ISACA

kaj je e-poslovanje ?

• EDI (Electronic Data Interchange)• SWIFT (Society for Worldwide Interbank

Financial Telcommunications)• Intranet• Internet• WAP (Wireless Application Protokol)• POS (Point Of Sale)• ATM (Automatic Teller Machine)

kaj je e-poslovanje ?!

Način poslovanja kjer komitent sam opravi vpoglede ali transakcije od kjerkoli brez sodelovanja bančnega operaterja na šalterju.

lastnosti e-poslovanja

Način dela: elektronsko izmenjevanje podatkov

Skupine udeležencev: posamezniki, podjetja, organizacije, državne inštitucije

Vsebina poslovanja: omejena le z domišljijo

in tehnologijo

e-poslovanje banke

• Elektronski finančni prenosi (SWIFT)

• Bankomati

• Telebanking

• Spletno bančništvo (e-bančništvo)

e-bančništvo

• Informativni tip: informacije o bančnih

produktih in storitvah

• Komunikativni tip: informacije o računih

stranke in možnost spreminjanja

statičnih podatkov (npr. naslov)

• Transakcijski tip: izvajanje finančnih transakcij

storitve e-bančništva

• Prikaz stanja na računih• Pregled podrobnosti o računih• Izpis prometa po računih• Prenos sredstev med računi• Izvajanje plačil• Oddajo naročil za posebne storitve (čeki,

limit, pooblastila, napovedi dvigov, depoziti, obrazci)

omejitev e-bančništva

Banke elektronsko poslujejo z znanimi

komitenti, pravnimi ali fizičnimi osebami, s katerimi sklepajo ustrezne pogodbe o elektronskem poslovanju, torej delujejo v t.i. “zaprtem sistemu” poslovnih partnerjev.

ZEPEP, 1. člen

posebnost e-bančništva

Povečane zahteve po varnosti poslovanja

(podatki prihajajo v bančni sistem iz nebančnega okolja)

e-bančništvo v Sloveniji

• Abanet, ABACOM, Bank@Net, i-Net Banka, Klik NLB, Link, Link+, Proklik NLB, SKB@Net, ...

• Kombinacije vseh treh tipov

• Storitve za občane

• Storitve za podjetja

tveganja v e-bančništvu

• Strateška in poslovna tveganja• Operativna tveganja (tehnološka infrastruktura;

varnost; celovitost podatkov; razpoložljivost sistema; notranje kontrole/revizija; zunanje izvajanje )

• Izguba dobrega imena

Basle Committee on Banking Supervision, 2000

tveganja v e-bančništvu

• Skladnost s zakonodajo in regulativo• Druga tveganja (kreditna; likvidnostna; tveganja trga;

tečajna)

• Preseganje nacionalnih okvirjev - poseben sklop, leta 1998 poleg ostalih skupin tveganj

Basle Committee on Banking Supervision, 2000

skladnost z zakonodajo• Nedosledno upoštevanje zakonodaje in regulative• Pranje denarja ali druge kriminalne aktivnosti• Neustrezno seznanjanje uporabnikov• Varovanje zasebnosti uporabnikov• Napačna pričakovanja glede povezav na druge spletne strani• Zloraba certifikatov izdanih s strani banke• Izpostavljenost tuji zakonodaji

Basle Committee on Banking Supervision, 1998

primer maloprodaje

• Ponudba, dana na spletni strani po internetu, velja za ponudbo v pravnem smislu, pod pogojem, da je specifična, trdna in nedvoumna. Pogodba začne obstajati, ko kupec sprejme oziroma potrdi ponudbo prodajalca.

pravni okvir e-poslovanja

• Vsebina poslovanja ostaja nespremenjena, vendar se izvaja z drugačno tehnologijo

• Oblika izvajanja poslovanja je drugačna

• Ni originalnega pisnega in podpisanega dokumenta o transakciji

pravni okvir e-poslovanja

Upoštevati je potrebno tako zakonodajo, ki obravnava redno poslovanje, kot tudi

zakonodajo, ki je namenjena izključno tehnološkim rešitvam e-poslovanja.

slovenska zakonodaja

• Zakon o elektronskem poslovanju in podpisu• Zakon o varstvu osebnih podatkov• Zakon o preprečevanju pranja denarja• Zakon o avtorskih in sorodnih pravicah• Zakon o gospodarskih družbah• Zakon o bančništvu• Kazenski zakonik Republike Slovenije• Zakon o varstvu potrošnikov

zakon o elektronskem poslovanju in podpisu

• Pričel veljati leta 2000• Podaja pravno podlago za sklepanje pravnih

poslov v elektronski obliki• Podatki v elektronski obliki in elektronski

podpisi so dobili s papirnimi dokumenti primerljivo dokazno moč v sodnih in drugih postopkih – načelo nediskriminacije

zakon o elektronske poslovanju in podpisu

• Velja tudi v zaprtih sistemih (člena 4, 14)

• Določa udeležence, čase sporočil, varen podpis in overitelje

• Zakon ne velja za zahtevnejše vsebine (npr. sodelovanje notarja, prič), (člen 13)

zakon o elektronskem poslovanju in podpisu

• Pogoji za nediskriminacijo:– Podatki dosegljivi tudi po daljšem obdobju

(preprečevanje izgube zaradi slabe tehnologije) – Podatki primerni za kasnejšo uporabo

(spremembe tehnične opreme) – Shranjevanje podatkov v izvirni obliki – Ugotovljiv izvor, naslovnik in čas sporočila– Onemogočanje neugotovljivih sprememb

zakon o elektronske poslovanju in podpisu

• Varen e-podpis je določen s pomočjo sredstev in podatkov za e-podpisovanje (šifrirni ključi) in overiteljem (členi 18–36)

• Sankcije za kršenje zakona: – Do 5.000.000 SIT za overitelja– Do 100.000 SIT za odgovorno osebo– Do 150.000 SIT za posameznika

uredba o pogojih za elektronsko poslovanje in e-podpisovanje

Določa merila, ki se uporabljajo za presojanje izpolnjevanja zahtev za delovanje overiteljev, ki izdajajo kvalificirana potrdila, določila podpisovanja in preverjanja varnih e-podpisov, varnih časovnih žigov in e-podpisovanja (člen 1)

zakon o varstvu osebnih podatkov - ZVOP

• Preprečevanje nezakonitega in neupravičenega poseganja v zasebnost posameznika pri obdelavi osebnih podatkov, varovanju zbirk podatkov in uporabe le-teh (člen 1)

• Pisna privolitev posameznika (zaprt sistem), (člen 3)

zakon o varstvu osebnih podatkov - ZVOP

• Podaja definicije pojmov• Prenos posebnih osebnih podatkov mora

biti kriptiran in e-podpisan (člen 4)• Uporaba v znanstvene in statistične

namene, ki ne omogoča identifikacije posameznika (člen 8)

• Izdelava kataloga zbirk podatkov (člen 16)

zakon o varstvu osebnih podatkov - ZVOP

• Katalog je na zahtevo dostopen za vpogled

• Iznos osebnih podatkov iz države le, če ima druga država to področje urejeno (člen 24)

• Sankcije za kršenje zakona:– Do 1.000.000 SIT za upravljalca zbirke– Do 100.000 SIT za odgovorno osebo

zakon o avtorskih in sorodnih pravicah

• Računalniški programi in avdiovizuelna dela (npr. domače strani) so avtorska dela

• Naslov avtorskega dela je možno registrirati (ZIL – zakon o industrijski lastnini)

• Public Domain programi so izvzeti• Predelave računalniških programov so avtorska

dela, vendar ima avtor izključno pravico (člena 7, 113)

zakon o avtorskih in sorodnih pravicah

• Opisuje računalniške programe, dokumentacijo, vezja (PROM, EPROM)

• Avtorska dela ustvarjena v delovnem razmerju (členi 112, 113, 116)

• Sankcije za kršenje zakona:– Do 400.000 SIT z apravno osebo– Do 80.000 SIT za odgovorno osebo– Denarno zadoščenje avtorju

zakon o gospodarskih družbah

• Ureja gospodarsko pravo

• Poslovno skrivnost določa družba (člena 39 in 40)

• Prepoved konkurence za poslovodje (člena 41 in 42)

zakon o varstvu potrošnikov

• Ureja pravice potrošnikov pri trženju blaga in storitev

• Potrošnik je fizična oseba, ki uporablja blago in storitve za osebno uporabo (člen 1)

• Določa oglaševanje, garancijo, pogodbene pogoje, opravljanje storitev, plačevanje

zakon o varstvu potrošnikov

• Nosilec varstva potrošnikov je Urad RS za varstvo potrošnikov (člen 61)

• Izvajanje nadzira tržna inšpekcija (člen 70)

• Sankcije za kršenje zakona:– Do 3.000.000 SIT za podjetje– Do 300.000 SIT za odgovorno osebo

kazenski zakonik RS

• “Nullum crimen sine lege” – ni kaznivega dejanja in kazni brez zakona (člen 1)

• Računalniška kriminalna dejanja morajo biti opredeljena kot kazniva

• Vdor v računalniško vodeno zbirko podatkov je kazniv (člen 154)

• Pridobitev protipravne premoženjske koristi z reproduciranjem, distribuiranjem, izvedbo ali predelavo avtorskega dela je kazniva (člen 159)

kazenski zakonik RS

• Neupravičen vstop v zaščiteno računalniško bazo podatkov je kazniv (člen 225)

• Vdor v računalniški sistem je kazniv (člen 242)

• Izdelovanje in pridobivanje pripomočkov namenjenih za kaznivo dejanje (člen 309)

• Sankcije za kršenje zakona:– Denarna ali zaporna kazen do pet let

zakon o preprečevanju pranja denarja

• Določa ukrepe za odkrivanje ravnanj s katerimi se prikriva izvor denarja ali premoženja pridobljenega s prepovedano dejavnostjo (člen 1)

• Določa potrebo po evidentiranju stranke pri transakciji nad 3 milijone SIT (člen 4, 10)

zakon o preprečevanju pranja denarja

• Določa javljanje Uradu za preprečevanje pranja za transakcije nad 5 milijonov SIT

• Za organizacije in delavce ne velja obveznost varovanja bančne in poslovne tajnosti (člen 21)

• Velja tudi za transakcije v e-bančništvu• Sankcije za kršenje zakona

– Do 30.000.000 SIT

zakon o bančništvu

• Zahteva izpolnjevanje tehničnih pogojev za poslovanje banke – računalniško podprt sistem (členi 38, 39, 40)

• Nadzor notranjih revizorjev in revizorjev Banke Slovenije (členi 26, 112-117, 121-134)

zakon o bančništvu

• Banka mora poslovati tako, da vedno obvladuje tveganja (člena 62, 73)

• Sankcije za kršenje varovanja zaupnih podatkov:– Do 20.000.000 SIT za banko– Do 750.000 SIT za odgovorno osebo

notranja bančna regulativa

• Varnostna politika

• Pravilnik o varovanju in zaščiti IS banke

• Pravilnik o varovanju poslovne skrivnosti

• Pravilnik o arhiviranju dokumentacije

• Organizacijski predpisi

• …

revidiranje e-poslovanja

• Revizor mora poznati pravna tveganja

• Revizor mora poznati zakonodajo

• Revizor preverja skladnost poslovanja z zakonodajo

• Sodeluje že v fazi razvoja programske opreme

?

Hvala,

nasvidenje.