26 мая, вторник 23:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • PonomarenkoVV, если у вас ДБО интегрировано в АБС (у операционистов нет дополнительного по для работой с клиентом ДБО) то ДБО, на мой взгляд, не будет ИСПДн, так как все ПДн уже есть в АБС.

    Комментарий


    • Добрый день. Спасибо за ответы. Например 115 ФЗ обязывает идентифицировать клиентов, ТК РФ обязывает начислять зп при осуществлении трудовых отношений и т.д. Согласен, что меры защиты будут разные для двух разных систем, не хотел лишние модели угроз разрабатывать)

      В ДБО есть ПДн, мы там регистрируем ИП и ЮЛ, эти данные хоть и общедоступные согласно : "ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей содержатся в государственном реестре и являются общедоступными (ст.ст.5,6) – общедоступные " но согласно 1119 мы их тоже защищаем). Подумал, может кто то нашел ссылку, что на данное ДБО цели обработки ПДн определяет разработчики), хотя конечно наврятли).

      Если бы ДБО было сквозное, т.е. после копирования в АБС данные из ДБО удалялись бы то конечно не ИСПДн, а так они(ПДн) хранятся и там и там. Сейчас более уверен что придется относить в ИСПДн.
      Последний раз редактировалось PonomarenkoVV; 01.08.2016, 08:38.

      Комментарий


      • Сообщение от khusainov rustam Посмотреть сообщение
        PonomarenkoVV, если у вас ДБО интегрировано в АБС (у операционистов нет дополнительного по для работой с клиентом ДБО) то ДБО, на мой взгляд, не будет ИСПДн, так как все ПДн уже есть в АБС.
        В общем случае с таким подходом не согласен. Имеет значение как ПДн обрабатываются технологически, какие используются и сервера и СУБД.
        Чтобы сработало предложенное Вами исключение нужно чтобы АБС и ДБО располагались на одном сервере, что в общем случае, думаю, редкость.
        Можно конечно все сервера ДБО и АБС собрать в одну ИСПДн, только будет ли это правильно, учитывая, что ДБО обязательно должна иметь доступ в Интернет, а АБС нет.
        Насчет наличия всех ПДн из ДБО в АБС тоже не согласен. Допустим предоставлен доступ в ДБО с регистрацией необходимых учетных данных , например, бухгалтеру, который вправе только платежки набивать или загружать, но при этом он не обладает правом подписи и никак не присутствует в АБС. Если в настоящее время таких ситуаций нет, то это не означает, что они не появятся в обозримом будущем.

        Комментарий


        • UserNick, а какие ПДН хранит ДБО?

          Комментарий


          • Сообщение от khusainov rustam Посмотреть сообщение
            UserNick, а какие ПДН хранит ДБО?
            Это зависит от того какие банковские услуги оказываются посредством конкретной системы ДБО.
            Например, если ДБО используется для пересылки реестров для зачисления з/п на карточные счета, то это информация содержащаяся в таких реестрах. Еще пример, работодатель через систему ДБО оплачивает за своего работника штраф за нарушение ПДД, указывая все реквизиты и т.д. Проанализируйте документы, обмен которыми поддерживается в конкретной ДБО, а также документы, которые могут пересылаться с использованием возможности этой системы ДБО и найдете ответ на свой вопрос.

            Комментарий


            • Коллеги, добрый вечер. Подскажите пожалуйста, как у вас документально оформлена работа с процессинговым центром платёжной системы? В моём случае, нам выделили сегмент сети, в этом сегменте работает программа, которая хранит перс данные, но база хранится на серверах процессингова центра. При регистрации карт, мы передаем в процессинговый центр фио, ном карты Visa (но в данном случае карта еще не выпущена) и пол. Вопрос, осуществляется передача перс данных или нет? В согласии нужно указывать передачу персональных данных или нет? и кому? Заранее благодарен.

              Комментарий


              • Сообщение от PonomarenkoVV Посмотреть сообщение
                Коллеги, добрый вечер. Подскажите пожалуйста, как у вас документально оформлена работа с процессинговым центром платёжной системы?
                Давайте до конца разберемся где и что хранится и обрабатывается.

                Сообщение от PonomarenkoVV Посмотреть сообщение
                В моём случае, нам выделили сегмент сети, в этом сегменте работает программа, которая хранит перс данные, но база хранится на серверах процессингова центра.
                Как то Вы не понятно написали.. О каком фрагменте какой сети идет речь? Банковской или процессинговой?

                Сообщение от PonomarenkoVV Посмотреть сообщение
                При регистрации карт, мы передаем в процессинговый центр фио, ном карты Visa (но в данном случае карта еще не выпущена) и пол. Вопрос, осуществляется передача перс данных или нет?
                Да.

                Сообщение от PonomarenkoVV Посмотреть сообщение
                В согласии нужно указывать передачу персональных данных или нет? и кому?
                Нужно. По крайней мере процессинговому центру - однозначно.
                Чтобы определиться кому еще, нужно знать:
                1. кто изготавливает карты (возможно это отдельное юридическое лицо);
                2. кто ведет претензионную работу;
                3. кто уведомляет клиентов о переводах денежных средств в рамках требований Ст. 9 161-ФЗ.

                Комментарий


                • Процессинговым центром предоставляется выделенный канал и программка для регистрации клиентов, а так же генерации номера карт. Сам процессинговый центр не имеет доступа к этим данным. Поэтому мы им направляем фио и номер карты для печати. Уведомление и изготовление осуществляет процессинг центр. У меня тут идея появила, а не являемся мы оператором этой базы данных.

                  Комментарий


                  • Сообщение от PonomarenkoVV Посмотреть сообщение
                    Процессинговым центром предоставляется выделенный канал и программка для регистрации клиентов, а так же генерации номера карт. Сам процессинговый центр не имеет доступа к этим данным. Поэтому мы им направляем фио и номер карты для печати. Уведомление и изготовление осуществляет процессинг центр. У меня тут идея появила, а не являемся мы оператором этой базы данных.
                    Формулировка вашего начального вопроса изменилась до неузнаваемости
                    Думаю, что процессинг не может осуществлять весь набор возможных операций по карте не имея сведений эмбоссированных на её лицевой части и напечатанных на оборотной стороне, другое дело что данные могут храниться обезличенно в виде хешей ... в общем тонкостей много.
                    Вы пожалуйста разберитесь до конца в технологии работы с процессингом и уточните описание.
                    Думаю, что помимо заданных здесь и в предыдущем сообщении вопросов, еще уместно привести название платежной системы.

                    Комментарий


                    • Спасибо за ответ. Буду работать. Название я указал в первом сообщении, Visa.

                      Комментарий


                      • Сообщение от PonomarenkoVV Посмотреть сообщение
                        Процессинговым центром предоставляется выделенный канал и программка для регистрации клиентов, а так же генерации номера карт. Сам процессинговый центр не имеет доступа к этим данным. Поэтому мы им направляем фио и номер карты для печати. Уведомление и изготовление осуществляет процессинг центр. У меня тут идея появила, а не являемся мы оператором этой базы данных.
                        Согласно 152-ФЗ, Оператор - юридическое лицо (в т.ч.), организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

                        т.е. в Вашем случае, Оператором является либо процессинговый центр, либо оператор платежной системы (VISA). Или есть какие-то сомнения по этому поводу?

                        ЗЫ: ни разу не встречал процессинговые центры, оказывающие услуги связи, обычно выделенные каналы связи предоставляют провайдеры

                        Комментарий


                        • Сообщение от PonomarenkoVV Посмотреть сообщение
                          мы им направляем фио и номер карты для печати. Уведомление и изготовление осуществляет процессинг центр. У меня тут идея появила, а не являемся мы оператором этой базы данных.
                          Они для вас выполняют обработку перс. данных. Типа обработчик.
                          Согласие на передачу нужно, согласие на обработку по поручению тоже. А вот брать простое согласие или делать такую обработку неотъемлемым условием договора -- решайте сами.
                          Субъект же может согласие отозвать в любой момент, а вы тогда договор исполнить не сможете.

                          Комментарий


                          • Сообщение от ost Посмотреть сообщение
                            Они для вас выполняют обработку перс. данных. Типа обработчик.
                            Согласие на передачу нужно, согласие на обработку по поручению тоже. А вот брать простое согласие или делать такую обработку неотъемлемым условием договора -- решайте сами.
                            Субъект же может согласие отозвать в любой момент, а вы тогда договор исполнить не сможете.
                            Доброе утро! Спасибо за ответ. Согласие я воткнул в заявку на выпуск карты. Там и прописал, что субъект ПДн даёт согласие на обработку ПДн в данной заявке и во всех документах, которые он передаёт банку. Согласно ст 6, при заключении договора, брать согласие не нужно, если вся обработка происходит в рамках договорных обязательств? Процессинговый центр отбрыкивается, не хочет подписывать договор на обработку по поручению. Так интересно говорят, что согласие на передачу нужно, а вот передачи нет и договор на обработку по поручению не нужно подписывать

                            Комментарий


                            • Сообщение от PonomarenkoVV Посмотреть сообщение
                              Процессинговый центр отбрыкивается, не хочет подписывать договор на обработку по поручению. Так интересно говорят, что согласие на передачу нужно, а вот передачи нет и договор на обработку по поручению не нужно подписывать
                              Чем они это юридически мотивируют?

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                Согласно 152-ФЗ, Оператор - юридическое лицо (в т.ч.), организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

                                т.е. в Вашем случае, Оператором является либо процессинговый центр, либо оператор платежной системы (VISA). Или есть какие-то сомнения по этому поводу?

                                ЗЫ: ни разу не встречал процессинговые центры, оказывающие услуги связи, обычно выделенные каналы связи предоставляют провайдеры
                                1. Оператором является Visa, но согласно правилам пл. системы, она поручает нам обрабатывать ПДн согласно действующ. законодательству.
                                2. Вот, что за люди!?) Хлебом не корми, дай поиздеваться. У нас VPN-ка поднята на их оборудовании, вот и написал так.

                                Комментарий


                                • Сообщение от PonomarenkoVV Посмотреть сообщение
                                  Согласно ст 6, при заключении договора, брать согласие не нужно, если вся обработка происходит в рамках договорных обязательств?
                                  Более того, брать согласие не нужно и в случае, если договор намереваетесь заключить. Но все это только в том случае, если сторона исполнитель договора единолично производит действия с ПДн.

                                  Комментарий


                                  • UserNick, Лучше подстраховаться и взять согласие до заключения договора и спать спокойно))

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      Согласно 152-ФЗ, Оператор - юридическое лицо (в т.ч.), организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; т.е. в Вашем случае, Оператором является либо процессинговый центр, либо оператор платежной системы (VISA). Или есть какие-то сомнения по этому поводу?

                                      ЗЫ: ни разу не встречал процессинговые центры, оказывающие услуги связи, обычно выделенные каналы связи предоставляют провайдеры
                                      Не вводите в заблуждение.
                                      Услугу клиенту по банковским картам оказывает банк. Банку клиент предоставляет ПДн. Для оказания услуг банк присоединяется к правилам платежной системы.
                                      Если банк самостоятельно не занимается изготовлением карт, то он заключает договор с исполнителем. По этому договору исполнителю банк предоставляет ПДн.
                                      Аналогично строятся отношения с процессинговым центром.

                                      Комментарий


                                      • Сообщение от PonomarenkoVV Посмотреть сообщение
                                        UserNick, Лучше подстраховаться и взять согласие до заключения договора и спать спокойно))
                                        Думаю, что не лучше. Условия согласия указанные в заявке на выпуск карты, если появится такая необходимость, вы изменить не сможете.
                                        Лучше условия обработки описать в договоре присоединения, который размещается на сайте банка. В условиях договора указывается, что заполняя заявку на выпуск банковской карты клиент присоединяется к условиям договора, а также закрепляется право банка в одностороннем порядке вносить изменения в договор. Если появляется необходимость изменить технологию обработки, то вносятся изменения в договор.

                                        Комментарий


                                        • Предложение интересное, спасибо.

                                          Комментарий


                                          • Сообщение от PonomarenkoVV Посмотреть сообщение
                                            1. Оператором является Visa, но согласно правилам пл. системы, она поручает нам обрабатывать ПДн согласно действующ. законодательству.
                                            А почему оператором является Виза? Это согласно какому законодательству она обязывает что-то обрабатывать? Визе вообще фиолетово на все эти ФИО, можете клиенту неперсонифицированную карту выдать. По правилам МПС, обязательными для карты являются только номер карты и срок действия. И всё. Остальное - навороты, хотелки, плюшки и т.п., но не требования. И уже тем более, не законодательно закреплённые.
                                            Кроме того, у Визы с клиентом вообще никаких отношений нет. Клиент даже не владелец этой пластиковой карты, а всего лишь держатель. Владелец - банк.
                                            Клиент пришёл в банк и заключил с банком договор на открытие счёта, при этом банк проводит полную идентификацию клиента и собирает все перс.данные, включая паспортные. И более того, даже обязан хранить их в соответствии с требованиями законодательства РФ, И с этого момента именно банк становится оператором ПДн.
                                            Все деньги клиента хранятся на счёте, а не на этом кусочке пластика. Это почти такой же счёт, как и депозит, просто для удобства к нему приделали такую штуку, как карта. Не вижу причин, почему из-за этого должен измениться оператор ПДн.
                                            Что касается согласий на передачу персональных данных:
                                            Передача ПДн это одна из форм обработки ПДн. Если обработка ПДн (и передача тоже) осуществляется для выполнения договора, одной из сторон которой является субъект ПДн, то согласием можно не заморачиваться. Хотя очень часто, как у нас принято на всякий случай, согласия всё же берут ))
                                            И про то, что банк требует от процессинга каких-то актов передачи ПДн... Вот банк, когда платежи с ПДн через ЦБ отправляет, прям с ЦБ требует акт передачи ПДн? А когда в ГИС ГМП информацию про штрафы к примеру (где гораздо больше ПДн) подаёте - тоже акты составляете?

                                            Комментарий


                                            • (заранее прошу прощения, т.к. пришлось отвлекаться по ходу написания сообщения по работе и, в результате, сообщение несколько трансформировалось по результату окончательной правки)

                                              Как-то все очень сумбурно обсуждается, я бы предложил остановиться на следующих моментах:

                                              1. Что касается защиты информации, связанной с платежными картами МПС -
                                              В обсуждаемом вопросе, банк попадает под требования по защите информации исходя из :

                                              а). требований PCI DSS защищать ACCOUNT DATA (куда входит имя держателя, например "VASIA PUPKIN", при условии обработки вместе с PAN).

                                              б). опубликованных правил ПС VISA с требованиями по защите данных (в т.ч. ПДн) в соответствии с 382-П, PCI DSS и прочего действующего законодательства;
                                              (привожу в несколько упрощенном изложении) -
                                              "...ОПС обязан осуществлять контроль за соблюдением Правил ПС в части защиты информации участниками ПС и привлекаемыми ими третьими лицами.
                                              Требования к обеспечению защиты информации применяются для обеспечения защиты следующей информации:........информации ограниченного доступа,
                                              в том числе ПДн" и т.д. и т.п.

                                              в). требований "Процессинга", т.к. он "впаривает" некие железочки по организации VPN (интересно с каким шифрованием, уж не по ГОСТу ли?).

                                              Причем, хотелось бы отметить, что у такого процессинга может быть несколько десятков или сотен "процессируемых" банков.

                                              MHO, конечно, но что бы банку, при подключении к Процессингу считать себя Оператором ПДн, т.е. стороной что-то определяющей при обработке и передаче ПДн клиентов для выпуска и процессирования карточек, нужно быть самому себе злобным буратином.



                                              2. Является ли банк, работающий с одной из МПС, участником ПС в контексте 161-ФЗ.

                                              Насколько я понимаю, с момента регистрации конкретной МПС в качестве Оператора ПС (например ВИЗА или Мастеркард), банк должен был подписать некую Оферту или Cоглашение о присоединении с оператором соответствующей платежной системы. И, в дальнейшем, при организации любых процедур по выдаче пластиковых карт той или иной платежной системы, банк должен руководствоваться правилами соответствующей ПС, включая требованиями по защите информации.

                                              Т.е., если банк выдает карту VISA, требования к совокупности данных, их обработке и защите регламентируются ОПС "ВИЗА".
                                              Если карту MASTERCARD, читаем правила от оператора "Мастеркард" и т.д.
                                              Как это реализовано у Вас, это дело вашего Банка, при условии что это не противоречит правилам платежных систем и действующего законодательства.

                                              Можно конечно подъехать к Процессингу с вопросом, не хочет ли он признаться, что именно он является Оператором по обработке ПДн и заодно организовать канал с ГОСТовой криптографией. Но, что-то мне подсказывает, что Процессинг соскочет с этой темы.


                                              3. Возвращаясь к вопросу взятия согласия, я бы его не брал, сославшись на п.5. ст. 6. 152-ФЗ, хотя бы из-за того, что бы не заниматься этим каждый раз при смене процессинга.

                                              4. Все конечно IMHO
                                              Последний раз редактировалось saches; 23.09.2016, 14:19.

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                В обсуждаемом вопросе, банк попадает под требования по защите информации исходя из :

                                                1. требований PCI DSS защищать PAN, куда входит имя держателя, например "VASIA PUPKIN"

                                                2. опубликованных правил ПС VISA с требованиями по защите данных (в т.ч. ПДн) в соответствии с 382-П, PCI DSS и прочего действующего законодательства;
                                                (привожу в несколько упрощенном изложении) -
                                                "...ОПС обязан осуществлять контроль за соблюдением Правил ПС в части защиты информации участниками ПС и привлекаемыми ими третьими лицами.
                                                Требования к обеспечению защиты информации применяются для обеспечения защиты следующей информации:........информации ограниченного доступа,
                                                в том числе ПДн" и т.д. и т.п.

                                                3. требований "Процессинга", т.к. он "впаривает" некие железочки по организации VPN (интересно с каким шифрованием, уж не по ГОСТу ли?) , и у которого может быть несколько десятков таких банков, пользующихся его услугами.

                                                и что, предлагается каждому такому банку считать себя оператором ПДн, что-то определяющему при передаче ПДн клиентов для выпуска и процессирования карточек?
                                                IMHO, конечно, но для этого нужно быть самому себе злобным буратином.
                                                Давайте еще раз
                                                Услугу клиенту по действиям с банковскими картами оказывает банк. ДОГОВОР клиент заключает с банком. Вот первичное условие в соответствии с которым банк является ОПЕРАТОРОМ.
                                                Все остальное что вы описали имеет место быть, но для выполнения банком условий этого ДОГОВОРА. Сходите за консультацией к своим юристам.

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Сходите за консультацией к своим юристам.
                                                  непременно обсужу с ними эту тему

                                                  Комментарий


                                                  • Так, вопросы обработки ПДн - отдельно, вопросы защиты информации - отдельно. Вопрос был именно про обработку ПДн. И никто не спорит, что информацию нужно защищать.Особенно в том ПО, что для связи с процессингом, там безумные вещи можно творить.
                                                    Сообщение от saches Посмотреть сообщение
                                                    1. требований PCI DSS защищать PAN, куда входит имя держателя, например "VASIA PUPKIN"
                                                    В PAN не входит и никогда не входило имя держателя, это понятно и из расшифровки аббревиатуры, и из тех же PCI DSS, на которые Вы ссылаетесь, т.к. PCI DSS в списке Account Data отдельно выделяет Primary Account Number (PAN) и отдельно Cardholder Name. И даже требования по защите предъявляет разные. PAN это исключительно номер карты, который персональными данными не является.

                                                    Сообщение от saches Посмотреть сообщение
                                                    2. опубликованных правил ПС VISA с требованиями по защите данных (в т.ч. ПДн) в соответствии с 382-П, PCI DSS и прочего действующего законодательства;
                                                    (привожу в несколько упрощенном изложении) -
                                                    "...ОПС обязан осуществлять контроль за соблюдением Правил ПС в части защиты информации участниками ПС и привлекаемыми ими третьими лицами.
                                                    Требования к обеспечению защиты информации применяются для обеспечения защиты следующей информации:........информации ограниченного доступа,
                                                    в том числе ПДн" и т.д. и т.п.
                                                    Не, Вы не упрощайте. Читаем дальше правила Visa, где написано "in case such data is used in funds transfers within the payment system" (в случае, если такие данные обрабатываются при осуществлении переводов денежных средств в рамках платежной системы). Visa никого не обязывает обрабатывать ПДн, просто обязывает защищать, если вдруг обрабатываете. В связи с тем, что Visa не диктует условий, не определяет целей обработки ПДн и вообще может их не обрабатывать - именно Visa не является оператором ПДн.
                                                    Сообщение от saches Посмотреть сообщение
                                                    3. требований "Процессинга", т.к. он "впаривает" некие железочки по организации VPN (интересно с каким шифрованием, уж не по ГОСТу ли?) , и у которого может быть несколько десятков таких банков, пользующихся его услугами.
                                                    и что, предлагается каждому такому банку считать себя оператором ПДн, что-то определяющему при передаче ПДн клиентов для выпуска и процессирования карточек?
                                                    IMHO, конечно, но для этого нужно быть самому себе злобным буратином.
                                                    Что касается некой базы данных у процессингового центра... А зачем заморачиться на эту тему вообще, особенно в свете работы с ПДн? Процессинг админит эту базу, они точно знают, что в той базе хранится (может там все ПДн в обезличенном виде или в виде Cardholder Name или вообще ПДн нет). Есть договор с клиентом о выпуске ему пластиковой карты. Для выполнения этого договора банк заключил договор с процессингом (где наверно прописал все заморочки по поводу ПДн) и в рамках этих двух договоров, с клиентом и процессингом, передаёт данные. Главное, убедиться, что база действительно у них в процессинге, а не в банке. Возможно, процессинг обрабатывает только транзакции, а все данные хранятся в банке.
                                                    Кстати, ЦБ тоже ""впаривает" некие железочки по организации VPN", и таки да, таки по ГОСТу, но о желающих назначить ЦБ оператором ПДн клиентов коммерческого банка мне слышать не доводилось. Даже актов передачи ПДн не требуют почему-то

                                                    Комментарий


                                                    • Все заморочки скрываются в мелочах! На следующей неделе изучу досконально тему с БД. Сейчас разговаривал с местным Роскомнадзором, у них позиция следующая: Всё что присоединяется к ФИО (в данном случае конкретно уточнял про номер карты, даже если она ещё не выдана) является персональными данными. Таким образом договор со сторонней организацией и акты передачи соответственно.

                                                      Комментарий


                                                      • PonomarenkoVV, вот отправляете Вы, к примеру, перевод по ВестернЮнион, Контакту и т.п. Передаёте чьи-то ФИО и номер телефона. Вы на каждый перевод акт передачи оформляете? Когда в ГИС ГМП информацию ФИО+адрес передаёте - с кем акт передачи оформляете? В налоговую вообще сообщаете ФИО+ИНН+№ счета - с ними тоже акт передачи?

                                                        Комментарий


                                                        • Сообщение от Tor Посмотреть сообщение
                                                          В PAN не входит и никогда не входило имя держателя....
                                                          Да, спасибо, что поправили! Есс-но, речь шла об Account Data, куда входит в т.ч. Cardholder Name (которое вполне тянет на ПДн) и которое так-же присутствует на магнитной полосе и чипе.

                                                          Что касается содержимого баз данных процессинговых центров - как правило, там хранится практически вся информация, присутствующая в карточном бэк-офисе банка. Включая паспортные данные клиента, кодовое слово и т.д.

                                                          Комментарий


                                                          • Сообщение от Tor Посмотреть сообщение
                                                            Когда в ГИС ГМП информацию ФИО+адрес передаёте - с кем акт передачи оформляете? В налоговую вообще сообщаете ФИО+ИНН+№ счета - с ними тоже акт передачи?
                                                            Примеры Вы приводите не корректные, они связаны с обработкой ПДн во исполнение федеральных законов и для них порядок особый.

                                                            Но с идеей, которую Вы пытаетесь аргументировать, я полностью согласен. Оформления актов надо пробовать избегать. Например, прописав с договоре с контрагентом порядок обмена в котором указано, что актом передачи является другой документ, предоставляемый в электронном виде с электронной подписью.

                                                            PonomarenkoVVСпросите у вашего территориального РКН устроит ли их такой вариант. Ответ просьба озвучить здесь.

                                                            Сообщение от Tor Посмотреть сообщение
                                                            вот отправляете Вы, к примеру, перевод по ВестернЮнион, Контакту и т.п. Передаёте чьи-то ФИО и номер телефона. Вы на каждый перевод акт передачи оформляете?
                                                            Вот здесь как раз, считаю, что операторами являются "ВестернЮнион, Контакт и т.п." и именно они должны регулировать порядок обмена данными и нести за это ответственность.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Что касается содержимого баз данных процессинговых центров - как правило, там хранится практически вся информация, присутствующая в карточном бэк-офисе банка. Включая паспортные данные клиента, кодовое слово и т.д.
                                                              А вот это очень интересная тема для обсуждения. Не готов обобщать относительно многих процессинговых центров так, как это делаете Вы, но с аналогичной ситуацией сталкивался. Предполагаю, что подобное положение дел возникло со времен, когда требований по защиты ПДн не было и тянется до сих пор, при этом является нарушением 152-ФЗ т.к. состав обрабатываемых ПДн избыточен.

                                                              Комментарий

                                                              Обработка...
                                                              X