1 июня, понедельник 12:38
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ost
    Участник ответил
    Сообщение от Galivut Посмотреть сообщение
    - нужно ли взять согласие со всех сотрудников, что обработка их ФИО и должности поручается 3-му лицу (ЧОПу)?
    - нужно ли заключать договор на поручение обработки ПДн между Банком и ЧОПом?
    Я бы не ходил по пути "поручения обработки". Сделайте так, что работникам ЧОП предоставляется доступ к ПДн работников, обработку при этом осуществляет сам банк и никому ничего не поручает.
    Согласие работников на обработку банком их ПДн, в т.ч. на передачу и предоставление доступа к их ПДн лучше брать при приеме на работу.

    Прокомментировать:


  • Galivut
    Участник ответил
    Коллеги, подскажите пожалуйста.
    Вот Банк. Меньше 300 работников.
    На охрану заключен договор с ЧОП (меньше 10 сотрудников). Работаем с ними с самых истоков Банка, все охранники знают всех сотрудников в лицо.
    На входе в Банк пикаем пропуском и дверь открывается. Далее проходим мимо охранников, берем ключ от кабинета, расписываемся в журнале что взяли, охранник расписывается что выдал. У охранников на всякий случай есть табличка (на компьютере и на бумаге) с ФИО и должностями всех сотрудников. Паспортные данные нигде не фигурируют. Если принимается новый сотрудник, то СБ представляет его охране и он становится известным в лицо.
    Вопросы по ПДн:
    - обрабатывают ли сотрудники ЧОП персональные данные работников Банка?
    - нужно ли взять согласие со всех сотрудников, что обработка их ФИО и должности поручается 3-му лицу (ЧОПу)?
    - нужно ли заключать договор на поручение обработки ПДн между Банком и ЧОПом?
    - из выполнения всех этих пунктов в итоге вытечет что ЧОПу нужно будет подавать уведомление как оператору ПДн в Роскомнадзор, определять ответственное лицо, разрабатывать модель угроз, выполнять меры по обеспечению защиты ПДн, что ЧОПу конечно же совсем неинтересно?
    - если будем придерживаться позиции что ЧОП не обрабатывает ПДн сотрудников Банка, то как обосновать то что они знают кому можно выдавать ключи а кому нет, и что знают что мимо них прошел не посторонний и ему не надо руки скрутить?

    Прокомментировать:


  • Galivut
    Участник ответил
    Странная рекомендация про эти ПДн.
    Зачем вообще фиксировать где-то в базах, что клиент принадлежит к ЛСИ и МГН. А если он просто клиент то и персональные данные и информацию о счетах защищать будем также как и по остальным клиентам. Не строить же для ЛСИ и МГН отдельную ИСПДн с повышенными мерами защиты.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от ivanov_nv Посмотреть сообщение
    Думаю, что сведения о здоровье попадают под специальную категорию ПДн.
    Речь не идет о том, что для этих клиентов, банк должен хранить информацию об их состоянии здоровья, вероисповедании, сексуальной ориентации и т.д. Тут прокатывает стандартный подход, что принадлежность к "маломобильной группе населения" без диагноза, является социальным статусом, не являющимся спец категорией ПДн.

    Прокомментировать:


  • ivanov_nv
    Участник ответил
    Сообщение от IBshnik Посмотреть сообщение
    Методические рекомендации Банка России от 26 апреля 2019 г. N 12-МР "По личному и дистанционному обслуживанию людей с инвалидностью и иных маломобильных групп населения в кредитных организациях и некредитных финансовых организациях"

    Пункт 1.24 Разработать меры по защите персональных данных и сохранности денежных средств, размещенных в финансовой организации клиентами из числа ЛСИ и МГН, учитывая повышенный риск мошенничества с их счетами.


    Кто-нибудь уже занимался этим вопросом? Какие особенности защиты ПДн людей с инвалидностью?
    Думаю, что сведения о здоровье попадают под специальную категорию ПДн.

    Прокомментировать:


  • IBshnik
    Участник ответил
    Методические рекомендации Банка России от 26 апреля 2019 г. N 12-МР "По личному и дистанционному обслуживанию людей с инвалидностью и иных маломобильных групп населения в кредитных организациях и некредитных финансовых организациях"

    Пункт 1.24 Разработать меры по защите персональных данных и сохранности денежных средств, размещенных в финансовой организации клиентами из числа ЛСИ и МГН, учитывая повышенный риск мошенничества с их счетами.


    Кто-нибудь уже занимался этим вопросом? Какие особенности защиты ПДн людей с инвалидностью?

    Прокомментировать:


  • saches
    Участник ответил
    Galivut
    Ес-но, сайт является частью некой ИСПДн, но какой именно, в настоящий момент, уже никого не интересует, важен сам факт наличия ПДн. Если ПДн передаются по открытым каналам данных (например, через и-нет) или переносятся на съемном магнитном носителе вне контролируемой зоны, они должны быть защищены ГОСТовым шифрованием по 378 Приказу ФСБ, что проверяет только сама контора. Всех остальных (возможно, кроме ЦБ) устроит если данные хоть как-то шифруются.
    Последний раз редактировалось saches; 07.05.2019, 18:23.

    Прокомментировать:


  • Galivut
    Участник ответил
    Если на сайте Банка (есть ssl) размещена форма заявки на кредит с кучей персональных данных, но после заполнения данные этой формы отправляются через ssmtp в почту менеджеру для ручной обработки, то является ли сайт ИСПНД, и нужно ли в отношении сервера, на котором крутится сайт применять меры 21 приказа ФСТЭК?

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    1. сотрудникам часто приходится направлять сканы доверенностей на руководителей Банка по электронной почте. Контрагенты не в силах (не хотят, не умеют) реализовать защищенный обмен с шифрованием СКЗИ. Если получу согласия с руководства на передачу ПДн по электронной почте без применения СКЗИ, можем ли направлять их ПДн в архивах с паролем?
    ну на мой взгляд тут очевидно нарушение подпункта 3 п. 1 статьи 19 152-ФЗ. Архив с паролем не является "прошедшим в установленном порядке процедуру оценки соответствия средством защиты информации".

    Сообщение от df1 Посмотреть сообщение
    2. Как во внутренних НРД описываете процесс передачи ПДн по электронной почте? У нас сейчас написано общими словами: "использовать для шифрования СКЗИ, или помещать в архивы с паролем".
    во внутрянках это обычно не прописываем, есть правда в политике СКЗИ форма типового соглашения об информационном обмене, но как правило, между сторонами обмена заключается договор или соглашение, в котором есть регламент обмена информации, в котором прописываются требования к СКЗИ (если у нас ПДн, то опять же должны быть упомянуты условия статьи 19 152-ФЗ)

    Прокомментировать:


  • df1
    Участник ответил
    К вопросу о передаче ПДн по электронной почте:
    1. сотрудникам часто приходится направлять сканы доверенностей на руководителей Банка по электронной почте. Контрагенты не в силах (не хотят, не умеют) реализовать защищенный обмен с шифрованием СКЗИ. Если получу согласия с руководства на передачу ПДн по электронной почте без применения СКЗИ, можем ли направлять их ПДн в архивах с паролем?
    2. Как во внутренних НРД описываете процесс передачи ПДн по электронной почте? У нас сейчас написано общими словами: "использовать для шифрования СКЗИ, или помещать в архивы с паролем".

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Коллеги, кто-нибудь внедрял чат боты для клиентов?
    Бизнес вдруг ударило в голову сделать сие чудо. Хотят через Whatsapp, Viber, Telegram, Facebook, Вконтакте, Одноклассники и т.п. общаться с клиентом. Причем не только по консультациям по продуктам, но и сообщать ему банковскую тайну - состояние счета например.
    Ссылаются на статью п.2 857 ГК РФ и ч. 4 ст. 26 ФЗ, что банковскую тайну можно передавать самому клиенту, если каким-то образом удостоверимся что это он. Например смс-подтверждение.
    Но в этом случае канал же будет не защищен. Да и где эта переписка будет храниться, на каких серверах. Вон же были случаи когда ВК по запросу предоставляли всю информацию по человеку. В моем понимании все эти чат боты в соцсетях не могут обеспечить условие конфиденциальности. Или же если Клиент дает согласие на передачу его данных по открытым каналам, в том числе и с сохранением на серверах сторонних организаций, то мы говорим "ОК, ты сам так решил!" ?

    Прокомментировать:


  • junglets
    Участник ответил
    спасибо за ответы

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Согласие - самое плохое основание ......
    Если подходить формально, согласие, это вообще не основание для обработки ПДн.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    с самозанятых надо брать согласия на обработку ПДн?
    Сообщение от saches Посмотреть сообщение
    Универсальная рекомендация - лучше брать
    Согласие - самое плохое основание обработки и ненадежное. Его используют только тогда, когда иных законных оснований совсем нет. Если банк по закону обязан в налоговые органы что-то передавать - это без согласия можно. Если банк по закону обязан идентифицировать представителей/бенефициаров.. клиента и при этом осуществляет обработку данных в рамках 115-ФЗ - никакие согласия тут тоже не требуются.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    .....с самозанятых надо брать согласия на обработку ПДн?.....
    Универсальная рекомендация - лучше брать, но нужно ли оно реально, зависит от фактического основания/цели обработки ПДн.

    Прокомментировать:


  • junglets
    Участник ответил
    коллеги, извиняюсь, если вопрос уже поднимался
    с самозанятых надо брать согласия на обработку ПДн?
    также не нашел в законе, они обязаны данные о себе в налоговую сообщать, а та, в свою очередь, публиковать на сайте nalog.ru?

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от tim100 Посмотреть сообщение
    СТО БР:
    ......
    7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.
    .....
    Ноги растут из 378 Приказа ФСБ, про который так же имеет смысл не забывать.
    III Состав и содержание ... для 3 УЗ.
    ...
    17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.


    Прокомментировать:


  • tim100
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение

    Ответвенный за организацию обработки ПДн назначается один на всю организацию.
    Это требование 152-ФЗ, а не СТО БР.
    Вот одного и назначили. А поскольку нужно назначить еще и ответственного за обеспечение безопасности, то не сотрудника ИБ.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от tim100 Посмотреть сообщение

    СТО БР:
    7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн.
    7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.

    Приказ:
    1. Назначить ответственным за обработку персональных данных начальника отдела кадров Управления по работе с персоналом ...
    2. Назначить ответственным за обеспечение безопасности персональных данных начальника Службы информационной безопасности ...

    Ответвенный за организацию обработки ПДн назначается один на всю организацию.
    Это требование 152-ФЗ, а не СТО БР.

    Прокомментировать:


  • tim100
    Участник ответил
    Сообщение от Berckut Посмотреть сообщение
    Кому-то удавалось сбросить со службы ИБ роль ответственного за организацию обработки ПДн? Есть положительный опыт?
    Вот вижу, что вся работа должна быть разделена на две части: обработка ПДн и защита ПДн. Первая касается юридических и организационных вопросов, вторая техническая. А доказать не получается, что служба ИБ должна отвечать вторую часть и не имеет никакого отношения к первой.
    Ломать надо как-то эту дебильную систему, когда всех ИБэшников сделали крайними за первую часть и избавиться от этого теперь невозможно. И статистику в пример не приведёшь, потому что у всех такая ситуация с когда-то назначенными крайними.
    СТО БР:
    7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн.
    7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.

    Приказ:
    1. Назначить ответственным за обработку персональных данных начальника отдела кадров Управления по работе с персоналом ...
    2. Назначить ответственным за обеспечение безопасности персональных данных начальника Службы информационной безопасности ...

    Прокомментировать:

Обработка...
X