2 июня, вторник 02:30
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • saches
    Участник ответил
    df1
    Насколько я в курсе, ни РКН, никто другой это не проверяет. Поговорите с представителями ЦОДа, как правило, они в курсе требований.
    Был опыт аттестации системы в ЦОДе по требованию одной из госструктур, обошлись просто предоставленными ЦОДом бумажками и описанием их регламентов и мер защиты в части физ охраны, использованию систем СКУД, видеонаблюдения и т.д., и просто запираемых шкафов.

    Прокомментировать:


  • Berckut
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    Коллеги поделитесь опытом размещения ИСПДн в датацентрах. Планируем арендовать стойко-место в датацентре, но нет возможности оградить клеткой, т.к. стойка только одна. Допустимо ли использовать шкаф с замком/скудом, в который доступ будут иметь только сотрудники нашей организации (+ смонтируем над стойкой свое видеонаблюдение)?
    Какие еще требования нужно будет выполнить, нужны ли списки сотрудников датацентра, которые могут находиться в зале, данные их проходной системы?
    - замок типа Соболя
    - опечатанный корпус
    - пункт в договоре, что они обязуются не вскрывать чужой корпус
    - залепить разъёмы перифирии гарантийными наклейками

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от df1 Посмотреть сообщение
    Допустимо ли использовать шкаф с замком/скудом,
    да, все на ваше усмотрение, чтобы доказать, что "чужие" не ходят и не могут.
    Самое простое -получить аттестат на Вашу Систему. стойку (все ИС)

    Прокомментировать:


  • df1
    Участник ответил
    Коллеги поделитесь опытом размещения ИСПДн в датацентрах. Планируем арендовать стойко-место в датацентре, но нет возможности оградить клеткой, т.к. стойка только одна. Допустимо ли использовать шкаф с замком/скудом, в который доступ будут иметь только сотрудники нашей организации (+ смонтируем над стойкой свое видеонаблюдение)?
    Какие еще требования нужно будет выполнить, нужны ли списки сотрудников датацентра, которые могут находиться в зале, данные их проходной системы?

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    Кто-нибудь работал с МТС по их услуге предоставления скорингового балла
    Да, МТС не законно собирает и обрабатывает ПДн клиентов, а потом еще продает информацию банкам.
    До первой проверки РКН, заставят разорвать такой договор, т.к. противоречит 152ФЗ не законная обработка ПДн (в МТС, Банке). В каждом 2м банке такая история..

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Кто-нибудь работал с МТС по их услуге предоставления скорингового балла. Суть такая - безнес хочет заключить договор с МТС на прдоставление их услуги "Рейтинг клиентов". По нему банк может получать скоринговый балл заемщиков, а также новые номера телефонов заемщиков если по старым нет связи. МТС просит включать в наше согласие на обработку текст что-то вроде "Я_____ даю МТС! согласие на обработку ПДн.....таких-то, а также выражаю согласие на передачу таких данных банку_____" То есть МТС хочет чтобы мы собирали согласия за них. Что-то мне кажется что мы не имеем право так делать. Мне утверждают, что так уже работали с другими и всё норм.

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Сообщение от Данко Посмотреть сообщение
    Решили как-то данный вопрос?
    Написали что передача банковской тайны по открытым каналам с хранением на хз каких серверах не допускается. Пока молчат.

    Прокомментировать:


  • Данко
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    Коллеги, кто-нибудь внедрял чат боты для клиентов? Бизнес вдруг ударило в голову сделать сие чудо. Хотят через Whatsapp, Viber, Telegram, Facebook, Вконтакте, Одноклассники и т.п. общаться с клиентом. Причем не только по консультациям по продуктам, но и сообщать ему банковскую тайну - состояние счета например. Ссылаются на статью п.2 857 ГК РФ и ч. 4 ст. 26 ФЗ, что банковскую тайну можно передавать самому клиенту, если каким-то образом удостоверимся что это он. Например смс-подтверждение. Но в этом случае канал же будет не защищен. Да и где эта переписка будет храниться, на каких серверах. Вон же были случаи когда ВК по запросу предоставляли всю информацию по человеку. В моем понимании все эти чат боты в соцсетях не могут обеспечить условие конфиденциальности. Или же если Клиент дает согласие на передачу его данных по открытым каналам, в том числе и с сохранением на серверах сторонних организаций, то мы говорим "ОК, ты сам так решил!" ?
    Решили как-то данный вопрос? Тоже отдел кредитования хочет внедрить инновацию - данные по кредиту через телеграмм бота. Чтоб клиент мог в любой момент узнать остаток по кредиту, сумму и дату платежа, места где можно погасить.
    Передача банковской тайны явная.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    ну как минимум, нарушение пунктов 1 и 2 статьи 5
    так написали же Выше, подвезти под другой закон о терроризме в рамках которого идет "избыточная обработка", если получиться почему бы и нет? А если ЦБ в виде письма это согласует - РКН примет.

    Прокомментировать:


  • junglets
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    А какие тут вообще риски по 152-ФЗ?
    ну как минимум, нарушение пунктов 1 и 2 статьи 5
    неочевидна законность сбора селфи, во первых, во вторых, если мы определяем цель сбора селфи, должны ли мы это обосновывать как то?

    т.е. цель вообще сбора селфи какая, чтобы убедится, что фото в паспорте и человек - одно лицо (чтобы избежать подклейки чужих фото на скан и тд)

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    Цель и основание какие обрабатывать фото с паспортом?
    Мне кажется та же цель, что и скан паспорта по 115-ФЗ (499-П + внутренний документ банка, предусомтренный 499-П). Просто дополнительно к маленькой фотке (в паспорте) еще и актуальная фотка (текущая - обновление сведений о террористе..). В общем законом о терроризме у нас все можно обосновать (ну или хотя бы попытаться обосновать - а если не получится, то уже исходить из документальной позиции РКН, которую еще и в ЦБ можно будет адресовать).

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    А какие тут вообще риски по 152-ФЗ?
    Цель и основание какие обрабатывать фото с паспортом? Избыточность данных -> доп согласие на обработку.
    + риск обосновать РКН, что это не биометрия, т.к. вероятно цель как раз провести идентификацию клиента и паспорта без личного присутствия (:

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    У Тинькофа был похожий опыт и он прошел проверку РКН (но селфи делает их курьер на свой гаджет)
    Это не просто курьер, а сотрудник Банка (ну мб по совместительству). Если это не сотрудник Банка, что это нарушение правил открытия счета по 115-ФЗ и отзыв лицензии ЦБ.

    Сообщение от junglets Посмотреть сообщение
    "легализации" получения селфи с паспортом в своих организациях
    А какие тут вообще риски по 152-ФЗ?

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от junglets Посмотреть сообщение
    у кого какой опыт был по "легализации" получения селфи с паспортом в своих организациях?
    У Тинькофа был похожий опыт и он прошел проверку РКН (но селфи делает их курьер на свой гаджет), возможно еще у какого дистанционного банка.
    В "тупую" получение такого фото клиента генерит больше проблем, чем полюсов и ее подделать можно (но есть СПО, которое позволяет отследить изменение фото, страховые ими активно пользуются для борьбы с мошенниками по АВТО - ДТП).

    Прокомментировать:


  • junglets
    Участник ответил
    коллеги, такой вопрос
    у кого какой опыт был по "легализации" получения селфи с паспортом в своих организациях?

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Ему просто отказали в тот же день
    Неплохо отстреливаются.

    Прокомментировать:


  • Александр Четвертый
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    По поводу рекламы надо жаловаться в ФАС и ссылаться на закон о рекламе. Во-первых это будет реально по теме борьбы с рекламой, а во-вторых там штраф пол-ляма.
    Я тоже так думал - у меня знакомый пожаловался несколько месяцев назад через сайт ФАС на рекламу банка из СМС. Ему просто отказали в тот же день - вот с таким комментарием:

    Сообщаем Вам статус обращения: Отказано в регистрации
    Примечание к статусу:

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Cpx Посмотреть сообщение
    в тему жалоб на банки(:
    По поводу рекламы надо жаловаться в ФАС и ссылаться на закон о рекламе. Во-первых это будет реально по теме борьбы с рекламой, а во-вторых там штраф пол-ляма.
    Вторая по массовости категория жалобщиков это должники, деньги взяли и не возвращают пишут жалобы, что банк "незаконно" передал их ПДн коллекторам. Этих в пень.
    Если вышеперечисленных отсеять, то останутся реальные утечки (будет не более 1%) с которыми и надо работать.

    Прокомментировать:


  • Cpx
    Участник ответил
    в тему жалоб на банки(:
    https://bankir.ru/publikacii/2019071...nkov-10009764/

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    как теперь в согласии это вставить
    А зачем вообще вы хотите аудитору передавать ПДн клиентов? Аудитор этого обычно не требует, его устраивают обезличенные данные, не передавайте им ПДн, всего делов-то.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    мне вот скинули договор с аудитором и там вот что
    Всё логично, там прямо написано, что вы обязуетесь не предоставлять аудитору ПДн.

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Сообщение от saches Посмотреть сообщение
    У PWC же вроде в договоре прописано, что в случае, если вы им передаете ПДн, то должны получить с субъектов согласие на передачу.
    Да, прописано. Уже увидел. Вот думаем как теперь в согласии это вставить, чтобы клиентов не напугать.

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    А зачем им передавать? Они сами активно отбояриваются от этого, ну кроме ЦБ, конечно.
    Ну я хз зачем, но мне вот скинули договор с аудитором и там вот что:

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    Передача ПДн в рамках аудиторской проверки
    А зачем им передавать? Они сами активно отбояриваются от этого, ну кроме ЦБ, конечно.

    Прокомментировать:


  • saches
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    ....... а какие-нибудь PwC например.
    У PWC же вроде в договоре прописано, что в случае, если вы им передаете ПДн, то должны получить с субъектов согласие на передачу.

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    А еще такой вопрос. Передача ПДн в рамках аудиторской проверки попадает под обработку ПДн на основе ФЗ об аудиторской деятельности? Но если аудиторы не из ЦБ, а какие-нибудь PwC например.

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?
    Никак. У нас жесткий аутсорсинг прям. Там даже учетки для пользователей их админы нам создают. Так что мы в согласии прописываем их.
    Хотя конечно они отмазываются и не соглашаются с тем, что они обрабатывают ПДн ))) Ну, кто с ЦФТ работает тот знает.

    + конечно согласие на рекламную рассылку. Еще у нас хотят делать чат-боты с клиентами, там тоже надо будет согласие.

    Прокомментировать:


  • Cpx
    Участник ответил
    Сообщение от ost Посмотреть сообщение
    А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?
    Так в облаке же АБС (аля SAAS), по другому только в договор вписать эту самую SAAS с реквизитами ЦФТ.

    Прокомментировать:


  • ost
    Участник ответил
    Сообщение от Sat_Kelman Посмотреть сообщение
    У нас АБС от ЦФТ, так что основная задача согласия - передача ПДн третьим лицам.
    А что с ЦФТ по другому никак нельзя, обязательно передача третьим лицам?

    Прокомментировать:


  • Sat_Kelman
    Участник ответил
    Сообщение от Александр Четвертый Посмотреть сообщение
    Зачем вообще нужно согласие вкладчика на обработку? Вы какие-то данные необычные требуете предоставить? Даже у заемщиков не все банки берут согласие, обосновывая это условием "в целях заключения договора".
    У нас АБС от ЦФТ, так что основная задача согласия - передача ПДн третьим лицам.

    Прокомментировать:

Обработка...
X