Na przestrzeni lat można zaobserwować wzrost znaczenia rynkowego firm działających w branżach regulowanych, jak Fintech, Medtech, czy Martech. Przedsiębiorcy z tych obszarów coraz częściej sięgają po różnego rodzaju rozwiązania informatyczne, co z kolei nakłada na współpracujące z nimi software house’y obowiązek przestrzegania licznych norm sektorowych, ale także wytycznych branżowych. Jak bezpiecznie współpracować z branżami regulowanymi, tworząc oprogramowanie?
Dlaczego regulacje sektorowe odgrywają tak istotną rolę?
Jeszcze kilkanaście lat temu o takich rozwiązaniach, jak instytucje płatnicze, sztuczna inteligencja w bankowości, czy marketing z wykorzystaniem AI w Polsce słyszał mało kto. Siłą rzeczy brakowało więc wielu kluczowych z punktu widzenia takich obszarów regulacji prawnych. W miarę rozwoju technologicznego zapełnia się też krajobraz legislacyjny, a to powoduje, że branże regulowane muszą spełniać coraz więcej wymagań formalnoprawnych.
Dobrym przykładem takiego „uszczelniania systemu prawnego” jest rozporządzenie unijne AI Act określające warunki, jakie powinna spełniać sztuczna inteligencja wysokiego ryzyka.
Jednocześnie na porządku dziennym stało się implementowanie w biznesie rozwiązań, do których rozwoju branża IT jest po prostu niezbędna. Platformy SaaS, aplikacje mobilne i rozwój sztucznej inteligencji niejako wymuszają współpracę przedsiębiorcy z software house’ami, które projektują, wdrażają i ulepszają nowoczesne rozwiązania.
Aby taka współpraca była efektywna dla obu stron, wymaga od pracowników software house’u nie tylko doskonałej znajomości programowania i innych zadań związanych z obsługą IT, ale także bardziej biznesowego spojrzenia na relacje z partnerem.
Sprawdź również: Nowe wytyczne EROD dotyczące powierzenia danych osobowych a umowy IT
Zamów wzory umów IT!
-
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
![Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]](https://umowywit.pl/wp-content/uploads/2020/11/pakiet-umow-it-300x300.webp "Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]")
Przed jakimi wyzwaniami stoi software house, który tworzy oprogramowanie dla branż regulowanych?
Tworząc oprogramowanie dla branży regulowanej, software house powinien pamiętać o kilku kluczowych aspektach takiej współpracy. Przyjrzyjmy się im nieco bliżej.
Zgodność z przepisami sektorowymi
Pierwszym wyzwaniem, z jakim musi poradzić sobie podmiot projektujący oprogramowanie dla sektorów regulowanych, jest branżowy compliance. Rosnąca liczba sektorów podlega drobiazgowe regulacji. Oczywiście za zaniedbania będzie odpowiadał przedsiębiorca prowadzący daną działalność, ale jest niemal pewne, że w przypadku poniesienia kary zwróci się on z roszczeniem zwrotnym do wykonawcy.
Jako przykład takiej sytuacji można podać przedsiębiorcę, który planuje utworzyć krajową instytucję płatniczą. Podlega on m.in. pod następujące akty prawne:
- ustawę o usługach płatniczych wraz z aktami wykonawczymi do niej,
- ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu,
- rozporządzenie RODO.
Do tego dochodzą jeszcze wytyczne EBA/RTS, KNF, Krajowy System Cyberbezpieczeństwa i dyrektywa PSD2. Każde z tych źródeł nakłada konieczność spełnienia innych wymagań przez dany podmiot. Wystarczy spojrzeć na ustawę AML, która przewiduje konieczność:
- wprowadzenia mechanizmów oceny ryzyka prania pieniędzy i finansowania terroryzmu,
- stosowania środków bezpieczeństwa finansowego oraz procedury KYC,
- współdziałanie z GIIF, m.in. poprzez cykliczne raportowanie działalności operacyjnej i zgłaszanie naruszeń,
- wdrożenie określonych działań o charakterze organizacyjnym, np. opracowania procedury whistleblowingu.
Duża część z tych obowiązków musi być realizowana automatycznie bez udziału człowieka, więc trzeba je odpowiednio zaimplementować w systemie. Kary w przypadku zaniedbań są surowe. Sama tylko sankcja finansowa sięga 1 miliona ero.
Oczywiście takich przypadków można podać znacznie więcej. Przedsiębiorcy z obszaru Medtech powinni zwrócić szczególną uwagę na ochronę danych osobowych pacjentów. Przeważająca część tych informacji z definicji będzie stanowiła wrażliwe dane osobowe podlegające szczególnej ochronie.
Certyfikacje
Kwestią powiązaną z compliance jest też certyfikacja. Nie zawsze wystarczy, że stworzone oprogramowanie będzie działało. Często musi jeszcze spełniać określone standardy branżowe. Łatwo wyobrazić sobie usługi medyczne, które częściowo polegają na konsultacji specjalisty z pacjentem za pośrednictwem połączenia video. Takie połączenie musi być stabilne i opierać się próbom przełamania zabezpieczeń. Można to osiągnąć m.in. poprzez wdrożenie standaryzacji HIPAA, PCI/DSS lub Cyber Essentials. Poszczególne certyfikaty mogą mieć szczególne znaczenie w przypadku świadczenia usług transgranicznie.
W niektórych branżach certyfikacja może być wymagana, w innych dobrowolna. W tym drugim przypadku zawsze warto ją zapewnić, ponieważ stwarza istotną przewagą marketingową. Jako przykład certyfikacji procesów w branży medycznej można wskazać na:
- zarządzanie jakością (ISO 9001),
- zarządzanie środowiskowe (ISO 14001),
- zarządzanie bezpieczeństwem informacji (ISO 27001).
W zależności od tego, jakie prace dokładnie wykonuje software house, potrzebna może być np. standaryzacja ISO 17025 lub GEDNAP dla laboratoriów genetycznych. Przed ustaleniem współpracy warto zadbać o ustalenie, czy wykonawca jest w stanie zaprojektować oprogramowanie, które spełnia tak surowe wymagania.
Sprawdź również: Dlaczego Twój software house powinien wdrożyć normę ISO 27001?
Regularne audyty due diligence
Aby utrzymać odpowiednio wysoki poziom świadczonych usług, niezbędne jest przeprowadzanie regularnych audytów – i to zarówno w obrębie działalności software house’u, jak i tworzonego oprogramowania. Planując harmonogram audytów, warto uwzględnić je zarówno w aspekcie czasowym, jak i kosztowym tak, aby wykonawca mógł bez przeszkód funkcjonować, ale też utrzymał odpowiednio wysoką marżę ze świadczonych usług.
Jak radzić sobie z wyzwaniami w projektowaniu software’u dla sektorów regulowanych?
Aby należycie zabezpieczyć swoje interesy, software house powinien rozważyć nawiązanie współpracy z kancelarią prawną specjalizującą się w obsłudze podmiotów z danego obszaru, np. Fintechu lub Martechu. To gwarancja, że obsługę prawną świadczą praktycy, którzy doskonale znają nie tylko przepisy sektorowe, ale też praktykę regulatorów, aktualne wytyczne i orzecznictwo sądowe.
Oprócz bieżącej obsługi prawnej kancelaria prawna pomoże w opracowaniu procesów compliance mających na celu zapewnienie zgodności z przepisami, ale także opiniowanie umów, wewnętrznych procesów oraz spełnianie wewnętrznych standardów projektowania oprogramowania.
Niezbędnym elementem polityki bezpieczeństwa jest też odpowiedzialne zarządzanie ryzykiem. Na ten filar składa się kilka elementów, w tym:
- ocena priorytetów w ochronie danych,
- ustalenie tolerancji ryzyka,
- ocena aktualnego poziomu ryzyka,
- wdrożenie mechanizmów bezpieczeństwa,
- monitorowanie bezpieczeństwa danych.
Świadome zarządzanie ryzykiem to dla partnera biznesowego pewność, że wykonawca należycie chroni krytyczne informacje.
Obsługa prawna software house’ów – Kancelaria Linke Kulicki
Obecnie sprawność software house’ów ocenia się nie tylko przez pryzmat dostępu do profesjonalistów i sprawnego tworzenia oprogramowania, ale także odpowiedzialnego podejścia do biznesu. Jeśli Twoja firma współpracuje z klientami z branż podlegających szczególnej regulacji, możemy Ci pomóc.
Kancelaria Linke Kulicki specjalizuje się w obsłudze prawnej podmiotów m.in. z sektora IT, Newtech i Fintech. Zapewniamy profesjonalne wsparcie prawne na każdym etapie prowadzenia działalności – od negocjacji umowy, przez audyty i procedury compliance, aż po due diligence. Zadbamy o Twoje bezpieczeństwo!
Potrzebujesz wsparcia prawnika IT? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.
