25 мая, понедельник 17:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение
    А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?
    Никак. У нас жесткий аутсорсинг прям. Там даже учетки для пользователей их админы нам создают. Так что мы в согласии прописываем их.
    Хотя конечно они отмазываются и не соглашаются с тем, что они обрабатывают ПДн ))) Ну, кто с ЦФТ работает тот знает.

    + конечно согласие на рекламную рассылку. Еще у нас хотят делать чат-боты с клиентами, там тоже надо будет согласие.

    Комментарий


    • А еще такой вопрос. Передача ПДн в рамках аудиторской проверки попадает под обработку ПДн на основе ФЗ об аудиторской деятельности? Но если аудиторы не из ЦБ, а какие-нибудь PwC например.

      Комментарий


      • Сообщение от Sat_Kelman Посмотреть сообщение
        ....... а какие-нибудь PwC например.
        У PWC же вроде в договоре прописано, что в случае, если вы им передаете ПДн, то должны получить с субъектов согласие на передачу.

        Комментарий


        • Сообщение от Sat_Kelman Посмотреть сообщение
          Передача ПДн в рамках аудиторской проверки
          А зачем им передавать? Они сами активно отбояриваются от этого, ну кроме ЦБ, конечно.

          Комментарий


          • Сообщение от ost Посмотреть сообщение
            А зачем им передавать? Они сами активно отбояриваются от этого, ну кроме ЦБ, конечно.
            Ну я хз зачем, но мне вот скинули договор с аудитором и там вот что:

            Комментарий


            • Сообщение от saches Посмотреть сообщение
              У PWC же вроде в договоре прописано, что в случае, если вы им передаете ПДн, то должны получить с субъектов согласие на передачу.
              Да, прописано. Уже увидел. Вот думаем как теперь в согласии это вставить, чтобы клиентов не напугать.

              Комментарий


              • Сообщение от Sat_Kelman Посмотреть сообщение
                мне вот скинули договор с аудитором и там вот что
                Всё логично, там прямо написано, что вы обязуетесь не предоставлять аудитору ПДн.

                Комментарий


                • Сообщение от Sat_Kelman Посмотреть сообщение
                  как теперь в согласии это вставить
                  А зачем вообще вы хотите аудитору передавать ПДн клиентов? Аудитор этого обычно не требует, его устраивают обезличенные данные, не передавайте им ПДн, всего делов-то.

                  Комментарий


                  • в тему жалоб на банки(:
                    https://bankir.ru/publikacii/2019071...nkov-10009764/

                    Комментарий


                    • Сообщение от Cpx Посмотреть сообщение
                      в тему жалоб на банки(:
                      По поводу рекламы надо жаловаться в ФАС и ссылаться на закон о рекламе. Во-первых это будет реально по теме борьбы с рекламой, а во-вторых там штраф пол-ляма.
                      Вторая по массовости категория жалобщиков это должники, деньги взяли и не возвращают пишут жалобы, что банк "незаконно" передал их ПДн коллекторам. Этих в пень.
                      Если вышеперечисленных отсеять, то останутся реальные утечки (будет не более 1%) с которыми и надо работать.

                      Комментарий


                      • Сообщение от ost Посмотреть сообщение
                        По поводу рекламы надо жаловаться в ФАС и ссылаться на закон о рекламе. Во-первых это будет реально по теме борьбы с рекламой, а во-вторых там штраф пол-ляма.
                        Я тоже так думал - у меня знакомый пожаловался несколько месяцев назад через сайт ФАС на рекламу банка из СМС. Ему просто отказали в тот же день - вот с таким комментарием:

                        Сообщаем Вам статус обращения: Отказано в регистрации
                        Примечание к статусу:

                        Комментарий


                        • Сообщение от Александр Четвертый Посмотреть сообщение
                          Ему просто отказали в тот же день
                          Неплохо отстреливаются.

                          Комментарий


                          • коллеги, такой вопрос
                            у кого какой опыт был по "легализации" получения селфи с паспортом в своих организациях?

                            Комментарий


                            • Сообщение от junglets Посмотреть сообщение
                              у кого какой опыт был по "легализации" получения селфи с паспортом в своих организациях?
                              У Тинькофа был похожий опыт и он прошел проверку РКН (но селфи делает их курьер на свой гаджет), возможно еще у какого дистанционного банка.
                              В "тупую" получение такого фото клиента генерит больше проблем, чем полюсов и ее подделать можно (но есть СПО, которое позволяет отследить изменение фото, страховые ими активно пользуются для борьбы с мошенниками по АВТО - ДТП).

                              Комментарий


                              • Сообщение от Cpx Посмотреть сообщение
                                У Тинькофа был похожий опыт и он прошел проверку РКН (но селфи делает их курьер на свой гаджет)
                                Это не просто курьер, а сотрудник Банка (ну мб по совместительству). Если это не сотрудник Банка, что это нарушение правил открытия счета по 115-ФЗ и отзыв лицензии ЦБ.

                                Сообщение от junglets Посмотреть сообщение
                                "легализации" получения селфи с паспортом в своих организациях
                                А какие тут вообще риски по 152-ФЗ?

                                Комментарий


                                • Сообщение от Александр Четвертый Посмотреть сообщение
                                  А какие тут вообще риски по 152-ФЗ?
                                  Цель и основание какие обрабатывать фото с паспортом? Избыточность данных -> доп согласие на обработку.
                                  + риск обосновать РКН, что это не биометрия, т.к. вероятно цель как раз провести идентификацию клиента и паспорта без личного присутствия (:

                                  Комментарий


                                  • Сообщение от Cpx Посмотреть сообщение
                                    Цель и основание какие обрабатывать фото с паспортом?
                                    Мне кажется та же цель, что и скан паспорта по 115-ФЗ (499-П + внутренний документ банка, предусомтренный 499-П). Просто дополнительно к маленькой фотке (в паспорте) еще и актуальная фотка (текущая - обновление сведений о террористе..). В общем законом о терроризме у нас все можно обосновать (ну или хотя бы попытаться обосновать - а если не получится, то уже исходить из документальной позиции РКН, которую еще и в ЦБ можно будет адресовать).

                                    Комментарий


                                    • Сообщение от Александр Четвертый Посмотреть сообщение
                                      А какие тут вообще риски по 152-ФЗ?
                                      ну как минимум, нарушение пунктов 1 и 2 статьи 5
                                      неочевидна законность сбора селфи, во первых, во вторых, если мы определяем цель сбора селфи, должны ли мы это обосновывать как то?

                                      т.е. цель вообще сбора селфи какая, чтобы убедится, что фото в паспорте и человек - одно лицо (чтобы избежать подклейки чужих фото на скан и тд)

                                      Комментарий


                                      • Сообщение от junglets Посмотреть сообщение
                                        ну как минимум, нарушение пунктов 1 и 2 статьи 5
                                        так написали же Выше, подвезти под другой закон о терроризме в рамках которого идет "избыточная обработка", если получиться почему бы и нет? А если ЦБ в виде письма это согласует - РКН примет.

                                        Комментарий


                                        • Сообщение от Sat_Kelman Посмотреть сообщение
                                          Коллеги, кто-нибудь внедрял чат боты для клиентов? Бизнес вдруг ударило в голову сделать сие чудо. Хотят через Whatsapp, Viber, Telegram, Facebook, Вконтакте, Одноклассники и т.п. общаться с клиентом. Причем не только по консультациям по продуктам, но и сообщать ему банковскую тайну - состояние счета например. Ссылаются на статью п.2 857 ГК РФ и ч. 4 ст. 26 ФЗ, что банковскую тайну можно передавать самому клиенту, если каким-то образом удостоверимся что это он. Например смс-подтверждение. Но в этом случае канал же будет не защищен. Да и где эта переписка будет храниться, на каких серверах. Вон же были случаи когда ВК по запросу предоставляли всю информацию по человеку. В моем понимании все эти чат боты в соцсетях не могут обеспечить условие конфиденциальности. Или же если Клиент дает согласие на передачу его данных по открытым каналам, в том числе и с сохранением на серверах сторонних организаций, то мы говорим "ОК, ты сам так решил!" ?
                                          Решили как-то данный вопрос? Тоже отдел кредитования хочет внедрить инновацию - данные по кредиту через телеграмм бота. Чтоб клиент мог в любой момент узнать остаток по кредиту, сумму и дату платежа, места где можно погасить.
                                          Передача банковской тайны явная.

                                          Комментарий


                                          • Сообщение от Данко Посмотреть сообщение
                                            Решили как-то данный вопрос?
                                            Написали что передача банковской тайны по открытым каналам с хранением на хз каких серверах не допускается. Пока молчат.

                                            Комментарий


                                            • Кто-нибудь работал с МТС по их услуге предоставления скорингового балла. Суть такая - безнес хочет заключить договор с МТС на прдоставление их услуги "Рейтинг клиентов". По нему банк может получать скоринговый балл заемщиков, а также новые номера телефонов заемщиков если по старым нет связи. МТС просит включать в наше согласие на обработку текст что-то вроде "Я_____ даю МТС! согласие на обработку ПДн.....таких-то, а также выражаю согласие на передачу таких данных банку_____" То есть МТС хочет чтобы мы собирали согласия за них. Что-то мне кажется что мы не имеем право так делать. Мне утверждают, что так уже работали с другими и всё норм.

                                              Комментарий


                                              • Сообщение от Sat_Kelman Посмотреть сообщение
                                                Кто-нибудь работал с МТС по их услуге предоставления скорингового балла
                                                Да, МТС не законно собирает и обрабатывает ПДн клиентов, а потом еще продает информацию банкам.
                                                До первой проверки РКН, заставят разорвать такой договор, т.к. противоречит 152ФЗ не законная обработка ПДн (в МТС, Банке). В каждом 2м банке такая история..

                                                Комментарий


                                                • Коллеги поделитесь опытом размещения ИСПДн в датацентрах. Планируем арендовать стойко-место в датацентре, но нет возможности оградить клеткой, т.к. стойка только одна. Допустимо ли использовать шкаф с замком/скудом, в который доступ будут иметь только сотрудники нашей организации (+ смонтируем над стойкой свое видеонаблюдение)?
                                                  Какие еще требования нужно будет выполнить, нужны ли списки сотрудников датацентра, которые могут находиться в зале, данные их проходной системы?

                                                  Комментарий


                                                  • Сообщение от df1 Посмотреть сообщение
                                                    Допустимо ли использовать шкаф с замком/скудом,
                                                    да, все на ваше усмотрение, чтобы доказать, что "чужие" не ходят и не могут.
                                                    Самое простое -получить аттестат на Вашу Систему. стойку (все ИС)

                                                    Комментарий


                                                    • Сообщение от df1 Посмотреть сообщение
                                                      Коллеги поделитесь опытом размещения ИСПДн в датацентрах. Планируем арендовать стойко-место в датацентре, но нет возможности оградить клеткой, т.к. стойка только одна. Допустимо ли использовать шкаф с замком/скудом, в который доступ будут иметь только сотрудники нашей организации (+ смонтируем над стойкой свое видеонаблюдение)?
                                                      Какие еще требования нужно будет выполнить, нужны ли списки сотрудников датацентра, которые могут находиться в зале, данные их проходной системы?
                                                      - замок типа Соболя
                                                      - опечатанный корпус
                                                      - пункт в договоре, что они обязуются не вскрывать чужой корпус
                                                      - залепить разъёмы перифирии гарантийными наклейками

                                                      Комментарий


                                                      • df1
                                                        Насколько я в курсе, ни РКН, никто другой это не проверяет. Поговорите с представителями ЦОДа, как правило, они в курсе требований.
                                                        Был опыт аттестации системы в ЦОДе по требованию одной из госструктур, обошлись просто предоставленными ЦОДом бумажками и описанием их регламентов и мер защиты в части физ охраны, использованию систем СКУД, видеонаблюдения и т.д., и просто запираемых шкафов.

                                                        Комментарий


                                                        • Сообщение от Cpx Посмотреть сообщение
                                                          Да, МТС не законно собирает и обрабатывает ПДн клиентов, а потом еще продает информацию банкам.
                                                          А почему незаконно, если клиенты дают на это согласие?

                                                          Комментарий


                                                          • Zuz, какие клиенты дают согласие и на что? Клиенты операторов связи не дают такое согласие, в банках тем более.

                                                            Комментарий


                                                            • Коллеги, подскажите, а на каждую ИСПДн нужно свою модель угроз? Или можно сделать одну но с максимальными условиями по всем ИСПДн?

                                                              Комментарий

                                                              Обработка...
                                                              X