9 марта, вторник 09:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Интернет Банк И Персональные Данные

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Интернет Банк И Персональные Данные

    Доброго времени суток!

    Существует следующая идея: создать интернет портал, предоставляющий пользователю сервисы мобильной оплаты и мобильного банкинга. Это будет юр лицо, не являющееся банком, которое в свою очередь будет использовать банка и платежных систем.
    Пользователь может в неавторизованной зоне оплатить, например, счет за телефон визой, или зарегистрироваться в банке заполнив анкету и посетив офис, расписаться в договоре. После чего получает возможность перевода денег на счета и др сервисы банка. Сервис должен быть максимально простой, из механизмов безопасности только логин и пароль – как аналог подписи и коды по СМС для подтверждение платежей
    Интересен вопрос, как реализовать все требования регуляторов по ПДн в интернет банке для физ лиц (аналог http://www.alfabank.ru/retail/remote/internet/)? Какие требования еще необходимо учитывать? Попадает ли лицо под требования фз 161 или 103? Это ведь не платежная система не так ли?
    Давайте остановимся подробнее на проблеме защиты персональных данных. Насколько я понимаю, у этой медали 2 стороны.
    1. с одной стороны это непосредственно ИСПДн на стороне юр лица предоставляющего данные сервисы. В принципе все понятно классифицируем, составляем модель угроз, защищаем и приказ 58 в помощь. Вопросы:
    1.1. например категория ПДн 2 , обрабатываем более 100000 субъектов – класс ИСПДн к1. Существуют методические рекомендации по выполнению закон.требований при обработке ПДн в организациях банковской системы РФ, где в пункте 8 говорится про обезличивание ПДн. Можно ли реально понизить таким образом класс ИСПДн? Как отнеслись/отнесутся регуляторы? Какой метод использовать?
    1.2. для передачи ПДн от юр.лица в банк заключается договор о конфиденциальности?
    1.3. может ли банк приходить к юр лицу с проверками/аудитом, а ЦБ?
    2. другая «совершенно непонятная» сторона медали: как клиент интернет банка передает свои ПДн (пример https://anketa.alfabank.ru/rb/debitcard?code=alfasite).
    2.1. должен ли я использовать шифрование по госту, если да то какой продукт, если нет то почему? Как это доказывать регуляторам, как правильно обосновать в правовом поле?
    2.2. можно ли с помощью модели угроз сделать эту угрозу неактуальной?
    2.3. либо обезличивать пользовательские данные, передаваемые по сети? Каким методом из предложенных в методич рекомендациях как реализовать?


    Заранее спасибо за конструктивность!

  • #2
    Вы ещё под PCI DSS, 161-ФЗ и всё сними связанное подподаете, так что удачи.

    По существу - желательно обратиться в квалифицированный консалтинг, на халяву на форуме все тонкости не узнаете.

    Так же можно погуглить аналогичные сервисы и посмотреть как и что там сделано (есть ли какое обезличивание, какие именно данные запрашиваются и т.д и т.п), а потом обобщить и выбрать для себя оптимальный вариант.

    Комментарий


    • #3
      Спасибо за ответ.
      Консалтинг уже используется, кроме этого хотелось альтернативного мнения, особенно в части защиты ПДн.

      Комментарий


      • #4
        Сообщение от defendant Посмотреть сообщение
        Доброго времени суток!

        Существует следующая идея: создать интернет портал, предоставляющий пользователю сервисы мобильной оплаты и мобильного банкинга. Это будет юр лицо, не являющееся банком, которое в свою очередь будет использовать банка и платежных систем.


        Заранее спасибо за конструктивность!
        Самое страшное здесь будет трансграничная передача ПД (это маленькая подсказка), а так да ищите интегратора, внедренца, или ныряйте под европейскую конвенцию (создание юр лица за границей, серврера там же)
        [OFF]Красим белим, иногда защищаем[/OFF]

        Комментарий

        Обработка...
        X