450 likes | 616 Views
REVIZIJA e-POSLOVANJA BANKE Z VIDIKA SKLADNOSTI Z ZAKONODAJO Janez URATNIK, CISA SKB BANKA D.D., SOCIETE GENERALE GROUP Ljubljana, 8.1.2002 ISACA - SC. namen in vsebina predstavitve. Predstaviti e-poslovanje v bankah
E N D
REVIZIJA e-POSLOVANJA BANKE Z VIDIKA SKLADNOSTI Z ZAKONODAJO Janez URATNIK, CISA SKB BANKA D.D., SOCIETE GENERALE GROUP Ljubljana, 8.1.2002 ISACA - SC
namen in vsebina predstavitve • Predstaviti e-poslovanje v bankah • Podati osnovni pravni okvir e-poslovanja
e-poslovanje je dejstvo • Promocija banke • Potreba banke • Ureditev poslovalnice stane 500.00 EUR • Poslovanje 24 x 7 x 365 • Izvajanje transakcij se seli h komitentu • Bančni šalter postaja mesto svetovanja
vidiki e-poslovanja • Tehnični • Varnostni • Vsebinski • ... • Skladnost z zakonodajo v bankah • ...
kaj je e-poslovanje Katera koli oblika poslovne transakcije, v kateri stranke delujejo elektronsko namesto, da bi si pošiljale “telesna” sporočila ali bile v neposrednem stiku. (European Commision)
kaj je e-poslovanje Proces, kjer organizacije opravljajo poslovanje s strankami po elektronski poti, kjer so podrobnosti o transakcijah obdelane v elektronski obliki in kjer je internet prevladujoča tehnologija. Vključuje B2B in B2C, ne vključuje pa elektronskega poslovanja, ki se opravlja po nejavnih komunikacijskih omrežjih. ISACA
kaj je e-poslovanje ? • EDI (Electronic Data Interchange) • SWIFT (Society for Worldwide Interbank Financial Telcommunications) • Intranet • Internet • WAP (Wireless Application Protokol) • POS (Point Of Sale) • ATM (Automatic Teller Machine)
kaj je e-poslovanje ?! Način poslovanja kjer komitent sam opravi vpoglede ali transakcije od kjerkoli brez sodelovanja bančnega operaterja na šalterju.
lastnosti e-poslovanja Način dela: elektronsko izmenjevanje podatkov Skupine udeležencev: posamezniki, podjetja, organizacije, državne inštitucije Vsebina poslovanja: omejena le z domišljijo in tehnologijo
e-poslovanje banke • Elektronski finančni prenosi (SWIFT) • Bankomati • Telebanking • Spletno bančništvo (e-bančništvo)
e-bančništvo • Informativni tip: informacije o bančnih produktih in storitvah • Komunikativni tip: informacije o računih stranke in možnost spreminjanja statičnihpodatkov (npr. naslov) • Transakcijski tip: izvajanje finančnih transakcij
storitve e-bančništva • Prikaz stanja na računih • Pregled podrobnosti o računih • Izpis prometa po računih • Prenos sredstev med računi • Izvajanje plačil • Oddajo naročil za posebne storitve (čeki, limit, pooblastila, napovedi dvigov, depoziti, obrazci)
omejitev e-bančništva Banke elektronsko poslujejo z znanimi komitenti, pravnimi ali fizičnimi osebami, s katerimi sklepajo ustrezne pogodbe o elektronskem poslovanju, torej delujejo v t.i. “zaprtem sistemu” poslovnih partnerjev. ZEPEP, 1. člen
posebnost e-bančništva Povečane zahteve po varnosti poslovanja (podatki prihajajo v bančni sistem iz nebančnega okolja)
e-bančništvo v Sloveniji • Abanet, ABACOM, Bank@Net, i-Net Banka, Klik NLB, Link, Link+, Proklik NLB, SKB@Net, ... • Kombinacije vseh treh tipov • Storitve za občane • Storitve za podjetja
tveganja v e-bančništvu • Strateška in poslovna tveganja • Operativna tveganja (tehnološka infrastruktura; varnost; celovitost podatkov; razpoložljivost sistema; notranje kontrole/revizija; zunanje izvajanje ) • Izguba dobrega imena Basle Committee on Banking Supervision, 2000
tveganja v e-bančništvu • Skladnost s zakonodajo in regulativo • Druga tveganja (kreditna; likvidnostna; tveganja trga; tečajna) • Preseganje nacionalnih okvirjev - poseben sklop, leta 1998 poleg ostalih skupin tveganj Basle Committee on Banking Supervision, 2000
skladnost z zakonodajo • Nedosledno upoštevanje zakonodaje in regulative • Pranje denarja ali druge kriminalne aktivnosti • Neustrezno seznanjanje uporabnikov • Varovanje zasebnosti uporabnikov • Napačna pričakovanja glede povezav na druge spletne strani • Zloraba certifikatov izdanih s strani banke • Izpostavljenost tuji zakonodaji Basle Committee on Banking Supervision, 1998
primer maloprodaje • Ponudba, dana na spletni strani po internetu, velja za ponudbo v pravnem smislu, pod pogojem, da je specifična, trdna in nedvoumna. Pogodba začne obstajati, ko kupec sprejme oziroma potrdi ponudbo prodajalca.
pravni okvir e-poslovanja • Vsebina poslovanja ostaja nespremenjena, vendar se izvaja z drugačno tehnologijo • Oblika izvajanja poslovanja je drugačna • Ni originalnega pisnega in podpisanega dokumenta o transakciji
pravni okvir e-poslovanja Upoštevati je potrebno tako zakonodajo, ki obravnava redno poslovanje, kot tudi zakonodajo, ki je namenjena izključno tehnološkim rešitvam e-poslovanja.
slovenska zakonodaja • Zakon o elektronskem poslovanju in podpisu • Zakon o varstvu osebnih podatkov • Zakon o preprečevanju pranja denarja • Zakon o avtorskih in sorodnih pravicah • Zakon o gospodarskih družbah • Zakon o bančništvu • Kazenski zakonik Republike Slovenije • Zakon o varstvu potrošnikov
zakon o elektronskem poslovanju in podpisu • Pričel veljati leta 2000 • Podaja pravno podlago za sklepanje pravnih poslov v elektronski obliki • Podatki v elektronski obliki in elektronski podpisi so dobili s papirnimi dokumenti primerljivo dokazno moč v sodnih in drugih postopkih – načelo nediskriminacije
zakon o elektronske poslovanju in podpisu • Velja tudi v zaprtih sistemih (člena 4, 14) • Določa udeležence, čase sporočil, varen podpis in overitelje • Zakon ne velja za zahtevnejše vsebine (npr. sodelovanje notarja, prič), (člen 13)
zakon o elektronskem poslovanju in podpisu • Pogoji za nediskriminacijo: • Podatki dosegljivi tudi po daljšem obdobju (preprečevanje izgube zaradi slabe tehnologije) • Podatki primerni za kasnejšo uporabo (spremembe tehnične opreme) • Shranjevanje podatkov v izvirni obliki • Ugotovljiv izvor, naslovnik in čas sporočila • Onemogočanje neugotovljivih sprememb
zakon o elektronske poslovanju in podpisu • Varen e-podpis je določen s pomočjo sredstev in podatkov za e-podpisovanje (šifrirni ključi) in overiteljem (členi 18–36) • Sankcije za kršenje zakona: • Do 5.000.000 SIT za overitelja • Do 100.000 SIT za odgovorno osebo • Do 150.000 SIT za posameznika
uredba o pogojih za elektronsko poslovanje in e-podpisovanje Določa merila, ki se uporabljajo za presojanje izpolnjevanja zahtev za delovanje overiteljev, ki izdajajo kvalificirana potrdila, določila podpisovanja in preverjanja varnih e-podpisov, varnih časovnih žigov in e-podpisovanja (člen 1)
zakon o varstvu osebnih podatkov - ZVOP • Preprečevanje nezakonitega in neupravičenega poseganja v zasebnost posameznika pri obdelavi osebnih podatkov, varovanju zbirk podatkov in uporabe le-teh (člen 1) • Pisna privolitev posameznika (zaprt sistem), (člen 3)
zakon o varstvu osebnih podatkov - ZVOP • Podaja definicije pojmov • Prenos posebnih osebnih podatkov mora biti kriptiran in e-podpisan (člen 4) • Uporaba v znanstvene in statistične namene, ki ne omogoča identifikacije posameznika (člen 8) • Izdelava kataloga zbirk podatkov (člen 16)
zakon o varstvu osebnih podatkov - ZVOP • Katalog je na zahtevo dostopen za vpogled • Iznos osebnih podatkov iz države le, če ima druga država to področje urejeno (člen 24) • Sankcije za kršenje zakona: • Do 1.000.000 SIT za upravljalca zbirke • Do 100.000 SIT za odgovorno osebo
zakon o avtorskih in sorodnih pravicah • Računalniški programi in avdiovizuelna dela (npr. domače strani) so avtorska dela • Naslov avtorskega dela je možno registrirati (ZIL – zakon o industrijski lastnini) • Public Domain programi so izvzeti • Predelave računalniških programov so avtorska dela, vendar ima avtor izključno pravico (člena 7, 113)
zakon o avtorskih in sorodnih pravicah • Opisuje računalniške programe, dokumentacijo, vezja (PROM, EPROM) • Avtorska dela ustvarjena v delovnem razmerju (členi 112, 113, 116) • Sankcije za kršenje zakona: • Do 400.000 SIT z apravno osebo • Do 80.000 SIT za odgovorno osebo • Denarno zadoščenje avtorju
zakon o gospodarskih družbah • Ureja gospodarsko pravo • Poslovno skrivnost določa družba (člena 39 in 40) • Prepoved konkurence za poslovodje (člena 41 in 42)
zakon o varstvu potrošnikov • Ureja pravice potrošnikov pri trženju blaga in storitev • Potrošnik je fizična oseba, ki uporablja blago in storitve za osebno uporabo (člen 1) • Določa oglaševanje, garancijo, pogodbene pogoje, opravljanje storitev, plačevanje
zakon o varstvu potrošnikov • Nosilec varstva potrošnikov je Urad RS za varstvo potrošnikov (člen 61) • Izvajanje nadzira tržna inšpekcija (člen 70) • Sankcije za kršenje zakona: • Do 3.000.000 SIT za podjetje • Do 300.000 SIT za odgovorno osebo
kazenski zakonik RS • “Nullum crimen sine lege” – ni kaznivega dejanja in kazni brez zakona (člen 1) • Računalniška kriminalna dejanja morajo biti opredeljena kot kazniva • Vdor v računalniško vodeno zbirko podatkov je kazniv (člen 154) • Pridobitev protipravne premoženjske koristi z reproduciranjem, distribuiranjem, izvedbo ali predelavo avtorskega dela je kazniva (člen 159)
kazenski zakonik RS • Neupravičen vstop v zaščiteno računalniško bazo podatkov je kazniv (člen 225) • Vdor v računalniški sistem je kazniv (člen 242) • Izdelovanje in pridobivanje pripomočkov namenjenih za kaznivo dejanje (člen 309) • Sankcije za kršenje zakona: • Denarna ali zaporna kazen do pet let
zakon o preprečevanju pranja denarja • Določa ukrepe za odkrivanje ravnanj s katerimi se prikriva izvor denarja ali premoženja pridobljenega s prepovedano dejavnostjo (člen 1) • Določa potrebo po evidentiranju stranke pri transakciji nad 3 milijone SIT (člen 4, 10)
zakon o preprečevanju pranja denarja • Določa javljanje Uradu za preprečevanje pranja za transakcije nad 5 milijonov SIT • Za organizacije in delavce ne velja obveznost varovanja bančne in poslovne tajnosti (člen 21) • Velja tudi za transakcije v e-bančništvu • Sankcije za kršenje zakona • Do 30.000.000 SIT
zakon o bančništvu • Zahteva izpolnjevanje tehničnih pogojev za poslovanje banke – računalniško podprt sistem (členi 38, 39, 40) • Nadzor notranjih revizorjev in revizorjev Banke Slovenije (členi 26, 112-117, 121-134)
zakon o bančništvu • Banka mora poslovati tako, da vedno obvladuje tveganja (člena 62, 73) • Sankcije za kršenje varovanja zaupnih podatkov: • Do 20.000.000 SIT za banko • Do 750.000 SIT za odgovorno osebo
notranja bančna regulativa • Varnostna politika • Pravilnik o varovanju in zaščiti IS banke • Pravilnik o varovanju poslovne skrivnosti • Pravilnik o arhiviranju dokumentacije • Organizacijski predpisi • …
revidiranje e-poslovanja • Revizor mora poznati pravna tveganja • Revizor mora poznati zakonodajo • Revizor preverja skladnost poslovanja z zakonodajo • Sodeluje že v fazi razvoja programske opreme
Hvala, nasvidenje.