আমাদের সাম্প্রতিক প্রকাশিত গ্লোবাল পেপারে “ক্লাউড রাইট পাওয়া – কীভাবে ব্যাঙ্কগুলি এগিয়ে থাকতে পারে বক্ররেখার ?" আমরা একটি সফল ক্লাউড যাত্রার মূল উপাদানগুলি এবং যে প্রধান পদক্ষেপগুলি গ্রহণ করা দরকার তা ব্যাখ্যা করেছি৷
এই ব্লগে আমরা আন্তর্জাতিক প্রবিধানগুলির কিছু অন্তর্দৃষ্টি দিই যা সুইজারল্যান্ড - মার্কিন যুক্তরাষ্ট্রে ক্লাউড পরিষেবাগুলির ব্যবহারকে প্রভাবিত করতে পারে ক্লাউড অ্যাক্ট এবং জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) .
ইউএস ক্লাউড অ্যাক্ট মার্কিন যুক্তরাষ্ট্র ক্লাউড (ডেটার বৈধ বহির্মুখী ব্যবহার স্পষ্টকরণ) আইন নামে একটি আইন নিয়ে এসেছে। যার জন্য ইউএস ক্লাউড স্টোরেজ প্রদানকারীদের সরকারি কর্তৃপক্ষকে সঞ্চিত ডেটার অনুরোধে অ্যাক্সেস দিতে হবে বিশ্বের যেখানেই এটি সংরক্ষণ করা হয়, এমনকি সুইজারল্যান্ডের ভিতরেও। তাত্ত্বিকভাবে, এটি মার্কিন কর্তৃপক্ষকে একটি মার্কিন আবাসিক গোষ্ঠীর সুইস সাবসিডিয়ারি থেকে ডেটা নিষ্কাশনের অনুরোধ করতে সক্ষম করবে, এমনকি যদি ডেটা সুইজারল্যান্ডে সংরক্ষণ করা হয়। তবে একটি মার্কিন ভিত্তিক গোষ্ঠীর একটি সহায়ক সংস্থা যা স্থানীয় আইনগুলিকে বিবেচনা না করেই এমন একটি অনুরোধ মেনে চলে যা একটি উপযুক্ত সুইস আদালত বা সুইস কর্তৃপক্ষের অনুমোদন ছাড়াই বিদেশী কর্তৃপক্ষের কাছে ডেটা হস্তান্তর নিষিদ্ধ করে, সম্ভবত সুইস আইন লঙ্ঘন করবে। ডেটা ব্যাঙ্কের অন্তর্গত , ক্লাউড প্রদানকারীর কাছে নয়, এবং সুইজারল্যান্ডে বসবাসকারী একটি আইনি সত্ত্বাকে অবশ্যই প্রথমে স্থানীয় আইন মেনে চলতে হবে এবং বিদেশী মূল সত্তার উপর যোগ্যতা সম্পন্ন কর্তৃপক্ষের দ্বারা জারি করা আদেশের সাথে নয়৷
এটা বলার অপেক্ষা রাখে না যে একটি সুইস ব্যাঙ্ক শুধুমাত্র ক্লাউড পরিষেবা প্রদানকারীর উপর নির্ভর করতে পারে যারা প্রযোজ্য সুইস আইন (অথবা চুক্তির বিধানের সাথে সামঞ্জস্যপূর্ণ এখতিয়ারের আইন যেখানে ডেটা সংরক্ষণ করা হয়) সম্পূর্ণরূপে মেনে চলে। SBA ক্লাউড নির্দেশিকা তাই বিদেশী কর্তৃপক্ষের অনুরোধের ক্ষেত্রে ক্লাউড প্রদানকারী এবং ব্যাঙ্কের দ্বারা সম্মত একটি সমন্বিত পদ্ধতি স্থাপন করার সুপারিশ করে৷
ক্লাউড অ্যাক্টের পিছনে যুক্তি সম্পর্কে কিছু প্রয়োজনীয় স্পষ্টীকরণ প্রদানের জন্য, ইউএস ডিপার্টমেন্ট অফ জাস্টিস (ডিওজে) এপ্রিল 2019 এ একটি সাদা কাগজ প্রকাশ করেছে "বিশ্বব্যাপী জননিরাপত্তা, গোপনীয়তা এবং আইনের শাসনের প্রচার:ক্লাউড আইনের উদ্দেশ্য এবং প্রভাব"। শ্বেতপত্রে ব্যাখ্যা করা হয়েছে যে ক্লাউড আইনটি আইনের সংঘাতের সমাধান করার জন্য প্রণীত হয়েছিল যেগুলি পারস্পরিক আইনি সহায়তা চুক্তিগুলিকে প্রভাবিত করে এবং গুরুতর অপরাধের ক্ষেত্রে ক্লাউডে হোস্ট করা প্রমাণগুলিতে কার্যকর অ্যাক্সেসকে বাধা দেয়, যদিও এখনওজাতীয় সার্বভৌমত্ব এবং ব্যক্তিগত ডেটা গোপনীয়তাকে সম্মান করে .
এই উদ্দেশ্য অর্জনের জন্য, ক্লাউড অ্যাক্ট মার্কিন যুক্তরাষ্ট্র সরকারকে তথাকথিত “ক্লাউড অ্যাক্ট এক্সিকিউটিভ এগ্রিমেন্টস-এ প্রবেশ করার অনুমতি দেয়। "বিদেশী বিচারব্যবস্থার সাথে, যার অধীনে প্রতিটি দেশ ক্লাউডে হোস্ট করা ডেটা থেকে প্রমাণ পাওয়ার জন্য বিদেশী জারি করা আদালতের আদেশগুলি মেনে চলার ক্ষেত্রে বাধা সৃষ্টি করবে এমন আইনের দ্বন্দ্ব থেকে উদ্ভূত বাধাগুলি সরিয়ে দেয়৷ সুইস এবং ইউরোপীয় কোম্পানিগুলির বিশেষ আগ্রহের বিষয় হল বিদেশী কোম্পানিগুলির উপর মার্কিন এখতিয়ার সম্পর্কে শ্বেতপত্রে ব্যাখ্যা৷ শ্বেতপত্রে জোর দেওয়া হয়েছে যে বিদেশী কোম্পানিগুলির উপর মার্কিন এখতিয়ার ক্লাউড আইন দ্বারা বাড়ানো হয়নি৷ “যুক্তরাষ্ট্রের বাইরে অবস্থিত কিন্তু মার্কিন যুক্তরাষ্ট্রে পরিষেবা প্রদানকারী কোনো বিদেশী কোম্পানি মার্কিন যুক্তরাষ্ট্রের এখতিয়ারের অধীন হওয়ার জন্য মার্কিন যুক্তরাষ্ট্রের সাথে পর্যাপ্ত যোগাযোগ আছে কিনা তা হল একটি সত্য-নির্দিষ্ট অনুসন্ধান যা এর প্রকৃতি, পরিমাণ এবং গুণমানকে চালু করে। মার্কিন যুক্তরাষ্ট্রের সাথে কোম্পানির যোগাযোগ।"
এই সত্য যে DoJ ক্লাউড আইনের পিছনে যুক্তি ব্যাখ্যা করার জন্য একটি উল্লেখযোগ্য প্রচেষ্টা করেছে এবং হাইলাইট করেছে যে মার্কিন এখতিয়ার এটি দ্বারা প্রসারিত হয় না, এটি একটি গুরুত্বপূর্ণ সংকেত৷এটি দেখায় যে মতামত প্রায়শই প্রকাশ করা হয়, যে ক্লাউড আইনটি ব্যাঙ্কগুলির জন্য মার্কিন সদর দফতরের ক্লাউড প্রদানকারীর পরিষেবাগুলি ব্যবহার করা অসম্ভব করে তোলে, এটি সঠিক নয়। যদিও অপরাধের ক্ষেত্রে আন্তর্জাতিক আইনি সহায়তা ক্লাউড অ্যাক্টের মাধ্যমে নিশ্চিতভাবে সহজতর হবে, মার্কিন কর্তৃপক্ষ ক্লাউড অ্যাক্টের অধীনে ডেটার জন্য পৌঁছানোর আগে একটি গুরুতর অপরাধের সন্দেহ এবং বিচারিক সিদ্ধান্তের জন্য এখনও প্রয়োজনীয়তা রয়েছে। এর মানে হল ক্লাউড অ্যাক্ট সম্পর্কে বৈধ উদ্বেগের ক্ষেত্রটি বরং সংকীর্ণ এবং একটি সঠিক আন্তঃসীমান্ত ঝুঁকি মূল্যায়নে অন্য যেকোন দিকের মত বিবেচনা করা উচিত।
যাই হোক না কেন, একটি ব্যাঙ্ক সাধারণত কারিগরি ব্যবস্থা ব্যবহার করে গ্রাহকের ডেটাতে অননুমোদিত অ্যাক্সেস রোধ করতে পারে যেমন বেনামীকরণ, ছদ্মনামকরণ বা ডেটার এনক্রিপশন . আইনি এবং চুক্তির কাঠামোর সাথে এই ব্যবস্থাগুলির অর্থ হল বিদেশী কর্তৃপক্ষের ডেটা অনুরোধ থেকে ঝুঁকি, যেমন ইউএস ক্লাউড অ্যাক্টের উপর ভিত্তি করে, প্রশমিত করা যেতে পারে। তদ্ব্যতীত, সংশ্লিষ্ট কর্তৃপক্ষের কাছ থেকে প্রশাসনিক সহায়তার জন্য একটি অফিসিয়াল অনুরোধ যেকোনো ক্ষেত্রেই বাধ্যতামূলক৷
জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) ইউরোপীয় ডেটা প্রোটেকশন বোর্ডের নির্দেশিকা 3/2018 GDPR-এর অনুচ্ছেদ 3-এর সুযোগকে স্পষ্ট করে বলে যে GDPR-এর আঞ্চলিক সুযোগের বাইরের কোনও ডেটা কন্ট্রোলার যদি EU-তে কোনও ডেটা প্রসেসর ব্যবহার করে, তবে ডেটা কন্ট্রোলার এর সুযোগের মধ্যে আসে না। জিডিপিআর। যদিও GDPR ডেটা প্রসেসরের ক্ষেত্রে প্রযোজ্য হবে যে পরিমাণে এটি তার পরিষেবার অংশ হিসাবে ব্যক্তিগত ডেটা প্রক্রিয়া করছে৷
এর মানে হল যে জিডিপিআর বাস্তবায়নের প্রয়োজনীয়তা একটি সুইস ব্যাঙ্কে (বা অন্য কোনও নন-ইইউ আবাসিক ব্যাঙ্ক) প্রসারিত হয় না কারণ এটি একটি ইইউ-আবাসিক ক্লাউড পরিষেবা প্রদানকারী ব্যবহার করছে . অন্যদিকে, অনেক সুইস ব্যাঙ্কগুলি এখনও GDPR-এর সুযোগের মধ্যে পড়ে, ৷ কারণ তারা ইইউতে বসবাসকারী গ্রাহকদের সেবা দেয়।
এই প্রসঙ্গে, এটা উল্লেখ করার মতো যে 25 ফেব্রুয়ারী 2019-এ ইউরোপীয় ব্যাংকিং অথরিটি (EBA) আউটসোর্সিং ব্যবস্থার উপর তার সংশোধিত নির্দেশিকা প্রকাশ করেছে, যার লক্ষ্য EBA-এর আদেশের সুযোগের মধ্যে সমস্ত আর্থিক প্রতিষ্ঠানের জন্য আউটসোর্সিং কাঠামোর সমন্বয় সাধনের লক্ষ্যে। আক্রান্ত ব্যাঙ্কগুলিকে 31 ডিসেম্বর 2021 এর মধ্যে এই সংশোধিত নির্দেশিকাগুলির সাথে সামঞ্জস্য রেখে সমস্ত আউটসোর্সিং ব্যবস্থা সম্পূর্ণ করতে হবে৷
EBA নির্দেশিকা বলে যে ক্লাউড পরিষেবা প্রদানকারীদের সাথে আউটসোর্সিং ব্যবস্থা নিশ্চিত করতে হবে যে:
ব্যক্তিগত ডেটা পর্যাপ্তভাবে সুরক্ষিত আছে এবং গোপনীয় রাখা হয়েছে, এবং আউটসোর্স করা ক্লাউড অবকাঠামো এবং পরিষেবাগুলি আন্তর্জাতিকভাবে স্বীকৃত নিরাপত্তা এবং ডেটা সুরক্ষা মান পূরণ করে;
ব্যবসার ধারাবাহিকতা এবং আকস্মিক পরিকল্পনা প্রণয়ন করা হয়েছে। ফলস্বরূপ, কিছু ক্লাউড পরিষেবা প্রদানকারী এমনকি PSD2 বা MiFID II অনুসারে সমালোচনামূলক বা গুরুত্বপূর্ণ বলে বিবেচিত হতে পারে;
উপযুক্ত ট্রেসেবিলিটি মেকানিজম রয়েছে , প্রযুক্তিগত এবং ব্যবসায়িক ক্রিয়াকলাপ রেকর্ড করার লক্ষ্যে। যেহেতু আউটসোর্স করা ক্লাউড পরিষেবাগুলির কার্যকারিতা এবং গুণমান, সেইসাথে ঝুঁকির স্তর, ক্লাউড পরিষেবা প্রদানকারীদের গোপনীয়তা, অখণ্ডতা এবং ডেটার প্রাপ্যতা এবং তাদের সিস্টেমগুলি প্রক্রিয়াকরণ, স্থানান্তর এবং সংরক্ষণ করার ক্ষমতার উপর নির্ভর করে। সাইবার আক্রমণ শনাক্ত ও প্রতিরোধের জন্য ডেটা, ট্রেসিং অপারেশনগুলিও গুরুত্বপূর্ণ; এবং
ইইউ নির্দেশিকা, জাতীয় আইন, এবং চুক্তিভিত্তিক বাধ্যবাধকতাগুলিকে সম্মান করা হয়৷ সংশোধিত নির্দেশিকা সত্ত্বেও, প্রতিষ্ঠানগুলিকে স্থানীয় প্রবিধানকে সম্মান করা চালিয়ে যেতে হবে৷ যেখানে আউটসোর্স করা ক্লাউড অবকাঠামো বা পরিষেবার একটি পদচিহ্ন রয়েছে, সেইসাথে ক্লাউড পরিষেবা প্রদানকারীর উৎপত্তির দেশে প্রযোজ্য আইন রয়েছে৷
এছাড়াও ক্লাউড পরিষেবা প্রদানকারীদের অবশ্যই আউটসোর্সিং প্রতিষ্ঠানগুলিকে অবহিত করতে হবে যখন তৃতীয় পক্ষের প্রদানকারীদের গুরুত্বপূর্ণ বা গুরুত্বপূর্ণ ফাংশন সাব-আউটসোর্সিং করতে হবে। অধিকন্তু, যদি এতে ব্যক্তিগত ডেটা জড়িত থাকে, তাহলে GDPR নিয়ম অনুসারে সাব-আউটসোর্সিংয়ের সাথে এগিয়ে যাওয়ার আগে সম্মতি নেওয়া উচিত।
সংশোধিত নির্দেশিকা দ্বারা সম্বোধন করা একটি মূল বিষয় হল প্রশাসন। এটি এমনভাবে গঠন করা উচিত যাতে ব্যাঙ্কের একটি সামগ্রিক, প্রতিষ্ঠান-ব্যাপী কাঠামো থাকে যাতে তারা সাইবার ঝুঁকি সংক্রান্ত ব্যবস্থা সহ ঝুঁকি ব্যবস্থাপনার বিষয়ে সঠিক ব্যবস্থাপনার সিদ্ধান্ত নিতে সক্ষম হয়। এই ধরনের ঝুঁকি ব্যবস্থাপনা কাঠামোর অন্তর্ভুক্ত হওয়া উচিত:
আউটসোর্সিং ব্যবস্থার উপর EBA-এর সংশোধিত নির্দেশিকা সহ , ইউরোপীয় ব্যাংকিং কর্তৃপক্ষ ইউরোপীয় ইউনিয়নে ব্যবসা পরিচালনা করা আর্থিক প্রতিষ্ঠানের জন্য সহজ করার জন্য একটি গুরুত্বপূর্ণ পদক্ষেপ নিয়েছে . এমনকি যদি একটি সুইস ব্যাঙ্ক এই সিদ্ধান্তে আসে যে এই নির্দেশিকাগুলি আপাতত প্রযোজ্য নয়, তবে তারা সুইস নিয়ন্ত্রক কাঠামোতে ইতিমধ্যে যা উপলব্ধ রয়েছে তার জন্য অতিরিক্ত, সহায়ক নির্দেশিকা এবং অন্তর্দৃষ্টি প্রদান করতে পারে৷
উপসংহারে, এখানে বর্ণিত প্রবিধানগুলির সাথে সম্মতির অর্থ হল, সাধারণভাবেক্লাউডে ব্যাঙ্কিং পরিষেবার স্থানান্তর অনুমোদিত এবং এমনকি নিয়ন্ত্রণকারী কর্তৃপক্ষ দ্বারা সমর্থিত হয় .
পরবর্তী ব্লগে সুইজারল্যান্ডে উপযুক্ত ক্লাউড পরিষেবা প্রদানকারী নির্বাচন করার ক্ষেত্রে আমরা সিদ্ধান্তের মানদণ্ডের একটি কাঠামো প্রদান করব৷