11 июля, суббота 20:49
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопросы по ПДн

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от UserNick Посмотреть сообщение
    ........ Предполагаю, что подобное положение дел возникло со времен, когда требований по защиты ПДн не было ........
    Ни скажу, что знаю ситуацию в большом кол-ве банков, но там где работал или там, откуда смог получить информацию, ситуация именно такая.
    И обусловлено это текущей технологией и имеющимся распределением функционала. Например, куда надо звонить клиенту в выходной день, что бы заблокировать свою карту? Если по выходным и праздникам, такие звонки принимает процессор, то именно там должна храниться информация о паспортных данных клиента и его кодовом слове.
    И, кстати, можно вспомнить о хранении там же остатков по карточным счетам и всех настроек по карточным услугам(продуктам) просто для того, что бы в онлайне успевать обрабатывать все транзакции по картам клиента. Т.е. банковская и, возможно, коммерческая тайна хранятся там же, у процессора.
    Последний раз редактировалось saches; 25.09.2016, 15:18.

    Комментарий


    • Сообщение от Tor Посмотреть сообщение
      .... Visa никого не обязывает обрабатывать ПДн, просто обязывает защищать, если вдруг обрабатываете. В связи с тем, что Visa не диктует условий, не определяет целей обработки ПДн и вообще может их не обрабатывать - именно Visa не является оператором ПДн......
      А вот тут, исходя из имеющегося опыта работы в одном из операторов ПС, не согласен, т.к. ситуация там следующая -
      Оператор ПС владеет совокупностью технических спецификаций, которую передает (в том или ином виде, вместе с соответствующими договорами) каждому участнику платежной системы на этапе подключения. В этих спеках детально расписана все информация которая должна циркулировать между членами ПС в зависимости от их роли. Это могут быть банки имитенты, расчетный банки (занимающиеся клирингом), банки экваеры и процессоры. И какого-то варианта, что-то изменить в спеках у таких участников ПС практически нет, т.к. подстраивать информационный обмен под конкретного участника Оператор ПС не будет. Пусть это будет даже самый супер-пупер российский банк. Т.е. технически, это конечно возможно, но такой банк (со своими хотелками) сможет подключиться только тогда, когда выйдет очередная версия системы (с желаемыми изменениями) и эту версию накатят все существующие участники ПС.
      При этом, сам оператор ПС обрабатывает необходимый ему минимум информации, т.к. по большому счету, оператора интересуют только комиссии, которые он получает с участников ПС, а вся остальная совокупность обрабатываемой информации определяется его обязательствами как оператора ПС и не факт, что это касается всех данных физических лиц, которым выдают карточки в банках-эмитентах.

      Т.е. если вспомнить определение оператора ПДн в 152-ФЗ, оператор ПС, это именно то лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку [персональных] данных, а также определяет цели обработки [персональных] данных, состав [персональных] данных, подлежащих обработке, действия (операции), совершаемые с [персональными] данными.

      И, например, у себя в организации, ссылку на оператора ПС я вижу примерно так - имеется перечень ПДн(такая большая таблица), обрабатываемых в разных целях в различном ПО или на бумаге.
      В примечании к конкретным ПДн указано, что данная информация собирается для оказании услуг в соответствии с договором с конкретным оператором ПС и другими участниками ПС, которые и определяют перечень собираемых ПДн и которые необходимы для оказании конкретных услуг клиентам.

      Конечно, любой банк может накрутить какие-то свои хотелки и/или услуги для клиента и, в соответствии с этими хотелками, собирать еще какие-то ПДн.
      И вот тут-то он может (и должен), в соответствии с определением из 152-ФЗ, нести гордое знамя оператора ПДн.

      все imho, конечно
      Последний раз редактировалось saches; 25.09.2016, 17:03.

      Комментарий


      • Сообщение от UserNick Посмотреть сообщение
        .....Вот здесь как раз, считаю, что операторами являются "ВестернЮнион, Контакт и т.п." и именно они должны регулировать порядок обмена данными и нести за это ответственность.
        Сообщение от UserNick Посмотреть сообщение
        ........
        Услугу клиенту по действиям с банковскими картами оказывает банк. ДОГОВОР клиент заключает с банком. Вот первичное условие в соответствии с которым банк является ОПЕРАТОРОМ.
        Все остальное что вы описали имеет место быть, но для выполнения банком условий этого ДОГОВОРА. Сходите за консультацией к своим юристам.


        Позвольте тогда полюбопытствовать, а по какому принципу Вы (или Ваши юристы) определяете является ли оператор ПС оператором ПДн?!
        Неужели по наличию договора между клиентом и банком? Но наличие договора, это ж требование регуляторов и как-то слабо коррелирует с 152-ФЗ.
        Последний раз редактировалось saches; 25.09.2016, 15:12.

        Комментарий


        • saches, Добрый день. Всё прописывается в правилах платёжной системы. В Юнистрим, например, четко прописано какие ПДн в ней обрабатываются и как защищать. А вот в Визе, написана, что при платёжных операциях передачу ПДн не осуществлять. А вот как быть с базой данных? Я сегодня документацию подробно посмотрю. Но мне кажется, что процессинг будет её на нас скидывать. В общем БД на серверах процессинга, они типа доступа в неё не имеют, а наш сотрудник забивает туда данные подключаясь через VPN. Как в такой ситуации всё правильно прописать. Дополнительных ПДн мы не собираем. А в каких документах обычно прописываются собираемые ПДн для ПС? Я стопку договоров пролистал и про ПДн нашел только в "Соглашении по организации обслуживания клиентов" маленькую заметку о том, что ПС обязана обеспечивать конфиденциальность ПДн.
          Последний раз редактировалось PonomarenkoVV; 26.09.2016, 08:11.

          Комментарий


          • Сообщение от UserNick Посмотреть сообщение
            Например, прописав с договоре с контрагентом порядок обмена в котором указано, что актом передачи является другой документ, предоставляемый в электронном виде с электронной подписью.

            PonomarenkoVVСпросите у вашего территориального РКН устроит ли их такой вариант. Ответ просьба озвучить здесь.
            UserNick, Просьбу принял, при возможности отпишусь.

            Комментарий


            • Tor, Тут интересная мысль мне пришла, а каким документом регулируются использование Акт передачи? Вот мы все говори акт передачи..., а что это и где его использовать? (я так понимаю это следует из пункта обеспечения - конфиденциальности? ) Вот с моей точки зрения, если есть договор между организациями, то смысл оформлять акт передачи? тем более если субъект ПДн дал согласие, если другое не предусмотрено законодательством? А вот, если по запросу, то тут уже нужно оформлять акт, единственное, кто сможет проверить сколько раз вы передавали ПДН?
              Последний раз редактировалось PonomarenkoVV; 26.09.2016, 10:39.

              Комментарий


              • Сообщение от saches Посмотреть сообщение
                Позвольте тогда полюбопытствовать, а по какому принципу Вы (или Ваши юристы) определяете является ли оператор ПС оператором ПДн?!
                Неужели по наличию договора между клиентом и банком? Но наличие договора, это ж требование регуляторов и как-то слабо коррелирует с 152-ФЗ.
                Когда оказываются услуги в рамках систем денежных переводов (Contact, WesternUnion и т.п.) банк собственный договор с клиентом не заключает. Он, действует в рамках технологии обработки ПДн которую организовал оператор ПС. Договорные отношения при этом имеют место, но исключительно в рамках правил ПС. Банк при этом не разрабатывает клиентский договор и индивидуальные счета клиентам не открывает.
                Что касается работы с банковскими картами ПС Visa, то здесь клиенту персонально открывается текущий счет и с клиентом заключается договор, разработанный банком. Именно на этот признак я обращал Ваше внимание. Хотя этот признак достаточно косвенный, а в принципе возможна ситуация в которой при наличии клиентского договора все условия обработки ПДн определяются ПС, но я с такими ситуациями не сталкивался.

                Сообщение от saches Посмотреть сообщение
                Ни скажу, что знаю ситуацию в большом кол-ве банков, но там где работал или там, откуда смог получить информацию, ситуация именно такая.
                И обусловлено это текущей технологией и имеющимся распределением функционала. Например, куда надо звонить клиенту в выходной день, что бы заблокировать свою карту? Если по выходным и праздникам, такие звонки принимает процессор, то именно там должна храниться информация о паспортных данных клиента и его кодовом слове.
                И, кстати, можно вспомнить о хранении там же остатков по карточным счетам и всех настроек по карточным услугам(продуктам) просто для того, что бы в онлайне успевать обрабатывать все транзакции по картам клиента. Т.е. банковская и, возможно, коммерческая тайна хранятся там же, у процессора.
                Описанные Вами сопутствующие услуги по обслуживанию клиентов можно реализовать по разному. Если функции контактного центра выполняет процессинг, то ПДн которые Вы описали ему безусловно необходимы. Речь шла о ПДн, которые имеются в банке, например, пол, профессия, адрес клиента, информация которую банк запрашивает у клиента с целью противодействия ПОДиФТ. Вот если эта информация передается процессингу, то нарушение 152-ФЗ имеются.

                Комментарий


                • Сообщение от PonomarenkoVV Посмотреть сообщение
                  ......А вот в Визе, написана, что при платёжных операциях передачу ПДн не осуществлять......
                  А можно ссылочку на документ, где такое написано? И как то это странно звучит, т.к., например, Cardholder Name на моей карте полностью совпадает с именем и фамилией в загран паспорте, и что-то мне подсказывает, что это ПДн, пусть даже обезличенные. А Cardholder Name обрабатывается при транзакциях по полной программе. И если уж статический IP адрес стали причислять к ПДн, то я не удивлюсь, что в очередном судебном разбирательстве будет прямо сказано, что реквизиты карты (PAN, Cardholder Name, CVV2/CVC2 и т.д.) это ПДн.

                  Сообщение от PonomarenkoVV Посмотреть сообщение
                  ...... Но мне кажется, что процессинг будет её на нас скидывать. В общем БД на серверах процессинга, они типа доступа в неё не имеют, а наш сотрудник забивает туда данные подключаясь через VPN....
                  В связи с тем, что формально ваши отношения с процессингом полностью не прописаны, они строятся, образно говоря, по понятиям. ТО, что они не имеют к базе доступа, они, конечно, брешут. База живет на их серверах, они ее админят и сопровождают по полной программе. Ваш сотрудник который к ней конектится, является всего лишь одним из пользователей. Т.е. ПДн, которые туда вами вносятся, далее используются (как мне представляется) для выпуска карточек (в том числе печати пин-конвертов), для оказания различных услуг пользователям (карточки по праздникам кто блокирует?) и т.д. Как конкретно у Вас, надо разбираться исходя из перечня услуг, оказываемых процессингом. Возможно, надо им дать понять, что что-то они недоделывают в части защиты ПДн, например, как они защищают передаваемые через и-нет ПДн, считают ли они себя оператором ПДн, если нет, готовы ли заключать соглашение на передачу и т.д. и т.п. т.е. это зависит от того насколько они осознают и как относятся к требованиям 152-ФЗ. т.к. PCI DSS они скорее всего получили, а 152-ФЗ им, в общем, по барабану ведь вероятность того, что к ним придут с проверкой не высокая. Дополнительно, хорошо бы проверить, уведомил ли процессинг РКН о том, что он является оператором ПДн, а еще лучше было бы узнать, что конкретно он написал (какие ПДн указал) в уведомлении.


                  Сообщение от PonomarenkoVV Посмотреть сообщение
                  ....... А в каких документах обычно прописываются собираемые ПДн для ПС? Я стопку договоров пролистал и про ПДн нашел только в "Соглашении по организации обслуживания клиентов" маленькую заметку о том, что ПС обязана обеспечивать конфиденциальность ПДн.
                  По хорошему, вся информация, которую Ваша организация передает другой должна быть указана в тексте или приложении (спецификации) к договору. Как вариант, это можно выудить из инструкций на переданное Вам ПО. Если инструкций нет, напишите их сами, вставив туда скриншоты с полями для заполнения персональными данными.


                  Отразить у себя в документах, как мне кажется, это можно следующим образом:
                  1. В положении о ПДн указать, что при оказании услуг, связанных с переводом денежных средств через платежные системы, перечень обрабатываемых ПДн определяются операторами ПДн, которыми являются Операторы ПС или организации, оказывающие услуги по подключению к инфраструктуре ПС (например, процессинговые компании).
                  2. В Вашем "Перечне обрабатываемых ПДн", там где указано ПО, используемое для передачи ПДн в процессинг, указать что оператором ПДн являются такие-то ПС, а необходимость обработки именно этих ПДн следует из спецификаций (приложений к договору) или инструкций на ПО, предоставляемых по договору с ПС/процессором и т.д. Т.е. сослаться на какой-то документ из которого видно какие ПДн должны быть переданы.

                  Мне кажется как-то так.
                  Последний раз редактировалось saches; 26.09.2016, 12:08.

                  Комментарий


                  • Сообщение от saches Посмотреть сообщение
                    А можно ссылочку на документ, где такое написано?
                    Документ: Правила платежной системы Виза по осуществлению операций на территории Российской Федерации.
                    Передача операций: Все данные, используемые в рамках проведения Платежного Клиринга и расчетов, не должны содержать персональные данные, определенные законодательством Российской Федерации. - это правила от июля 15 года, стр 97 .

                    По поводу блокировки: На праздники и в выходные автоматом на их службу переводится звонок и по паспортным данным осуществляется какая то операция.
                    И да, они являются оператором и уведомили РКН. Но допник категорически не хотят подписывать, типа Вы не передаёте нам ПДн, а то что крутится на серверах - это все Ваше) в части обработки ПДн.
                    Последний раз редактировалось PonomarenkoVV; 26.09.2016, 13:00.

                    Комментарий


                    • Сообщение от PonomarenkoVV Посмотреть сообщение
                      Документ: Правила платежной системы Виза по осуществлению операций на территории Российской Федерации.
                      Передача операций: Все данные, используемые в рамках проведения Платежного Клиринга и расчетов, не должны содержать персональные данные, определенные законодательством Российской Федерации. - это правила от июля 15 года, стр 97 .
                      Спасибо за наводку, в предыдущей версии правил, такого не было.
                      В данном случае, скорее всего, речь идет о взаиморасчетах между участниками платежной системы (банками), т.е. фактически о комиссиях. И, естественно, Визе не нужно, что бы при этом передавались ПДн.
                      С другой стороны, специально посмотрел комментарии РКН (Приезжевой) и их же проект - сайт http://персональныеданные.дети, в обоих местах, номер банковской карты (и номер счета) определяются как ПДн. Т.е. при любых транзакциях ПДн (PAN + Cardholder Name(при наличии)) передаются.
                      Т.е. и Виза и процессинг просто отмораживаются в части выполнения требований 152-ФЗ.
                      А что конкретно мешает в своей нормативке написать, что оператором ПДн является 3-е лицо?
                      Последний раз редактировалось saches; 26.09.2016, 14:40.

                      Комментарий


                      • Сообщение от saches Посмотреть сообщение
                        Спасибо за наводку, в предыдущей версии правил, такого не было.
                        Специально посмотрел комментарии РКН (Приезжевой) и их же проект - сайт http://персональныеданные.дети, в обоих местах, номер банковской карты (и номер счета) определяются как ПДн. Т.е. и Виза и процессинг просто отмораживаются в части выполнения требований 152-ФЗ.
                        А что конкретно мешает в своей нормативке написать что вы считаете что оператором ПДн является 3-е лицо?
                        Так то ничего не мешает. Но в этом случае, у нас должен быть договор на обработку ПДн третьим лицом! А они от этого отмазываются. Да, вспомнил, Фамилия и Имя передаются маскированные. Таким образом они обезличены.

                        Комментарий


                        • Сообщение от PonomarenkoVV Посмотреть сообщение
                          Так то ничего не мешает. Но в этом случае, у нас должен быть договор на обработку ПДн третьим лицом! А они от этого отмазываются. Да, вспомнил, Фамилия и Имя передаются маскированные. Таким образом они обезличены.
                          Нет, я про обратную ситуацию.
                          Это оператору ПДН надо оформлять поручение (в соответствии с п.3, ст.6, 152-ФЗ) на передачу ПДн и получать согласие у субъекта, с указанием 3-его лица, которому передаются ПДн.
                          А если вы считаете 3-е лицо оператором ПДн и передаете этому оператору ПДн данные некого субъекта (в соответствии с договором), то вам ни договор-поручение с оператором не нужно заключать, ни согласие на передачу ПДн от субъекта получать не нужно.

                          Ни разу не встречался со случаем, что бы маскировали Cardholder Name. В PCI DSS есть требование по маскированию PAN при его отображении либо печати (на чеке, например).
                          Вообще, что бы точно разобраться что, где и в каком виде передается, надо читать спеки ПС и/или документацию на процессинговое ПО.
                          А в общем случае, имя + фамилию и так можно считать обезличенными ПДн без всякого маскирования.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            Отразить у себя в документах, как мне кажется, это можно следующим образом:
                            1. В положении о ПДн указать, что при оказании услуг, связанных с переводом денежных средств через платежные системы, перечень обрабатываемых ПДн определяются операторами ПДн, которыми являются Операторы ПС или организации, оказывающие услуги по подключению к инфраструктуре ПС (например, процессинговые компании).
                            2. В Вашем "Перечне обрабатываемых ПДн", там где указано ПО, используемое для передачи ПДн в процессинг, указать что оператором ПДн являются такие-то ПС, а необходимость обработки именно этих ПДн следует из спецификаций (приложений к договору) или инструкций на ПО, предоставляемых по договору с ПС/процессором и т.д. Т.е. сослаться на какой-то документ из которого видно какие ПДн должны быть переданы.
                            Хорошо бы, но не получится.
                            Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
                            4. .... Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
                            5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

                            Отсюда можно сделать вывод, что перечень ПДн передаваемых кому либо должен быть конкретным и исчерпывающим, и отделаться общей фразой не получится.

                            Комментарий


                            • Сообщение от UserNick Посмотреть сообщение
                              Хорошо бы, но не получится....
                              Абсолютно с Вами согласен! Впрочем как и в уведомлении в РКН.
                              Хотя я не увидел в своем посте, чтоб я что-то писал о согласии.

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                Хотя я не увидел в своем посте, чтоб я что-то писал о согласии.
                                Проблемы связанные с реализацией обсуждаемой идеи глубже.
                                Вы предложили отдать возможность регулировать перечень обрабатываемых ПДн процессингу.
                                Это может вызвать проблемы, если процессинг этим правом воспользуется и захочет обрабатывать другой состав ПДн. Банк должен в случае, если ПДн передаются 3 лицу получить на это согласие клиента, а согласие должно содержать полный перечень ПДн которые будут передаваться.
                                Перечень передаваемых процессингу ПДн должен быть жестко зафиксирован и процессинг должен быть лишен возможности в одностороннем порядке вносить изменения в этот перечень. Все должно быть подконтрольно лицу, ответственному за организацию обработки ПДн чтобы сохранить целостность системы документации по обработке ПДн.
                                Поэтому такая идея, к сожалению, не проходит.

                                Комментарий


                                • Сообщение от UserNick Посмотреть сообщение
                                  ...... Все должно быть подконтрольно лицу, ответственному за организацию обработки ПДн чтобы сохранить целостность системы документации по обработке ПДн.......
                                  Возможно это особенно приятно, осознавать, что всё кругом подконтрольно ответственному за организацию обработки ПДн
                                  Но при этом у банка даже нет права без согласования с МПС выпустить карту со своим дизайном, и наличие в банке договора с клиентом на выпуск карты, регламентируется в т.ч. требованиями МПС. А исходя из наличия договора с клиентом, оператором ПДн, получаемых от клиента для работы с картой, является банк, т.к. в банке есть ответственный за организацию обработки ПДн, и все должно быть ему подконтрольно....
                                  (Хотя сам банк при этом практически ничего не определяет (и не делает), ну может кроме своих комиссий.)
                                  Ну просто железная логика.

                                  ЗЫ: Где-то слышал, что в Германии, должность ответственного за организацию обработки ПДн весьма престижна, т.к. гарантирует всякие преференции по сравнению с прочими смертными...
                                  Последний раз редактировалось saches; 27.09.2016, 15:48.

                                  Комментарий


                                  • Сообщение от saches Посмотреть сообщение
                                    Возможно это особенно приятно, осознавать, что всё кругом подконтрольно ответственному за организацию обработки ПДн

                                    Сообщение от saches Посмотреть сообщение
                                    Но при этом у банка даже нет права без согласования с МПС выпустить карту со своим дизайном, и наличие в банке договора с клиентом на выпуск карты, регламентируется в т.ч. требованиями МПС. А исходя из наличия договора с клиентом, оператором ПДн, получаемых от клиента для работы с картой, является банк, т.к. в банке есть ответственный за организацию обработки ПДн, и все должно быть ему подконтрольно....
                                    (Хотя сам банк при этом практически ничего не определяет (и не делает), ну может кроме своих комиссий.)
                                    Ну просто железная логика.
                                    Не все так плохо Процессы обработки ПДн в МПС жутко статичные и поэтому корректировать их приходится крайне редко. Я писал всего лишь про необходимость жесткого выстраивания отношений с процессингом.
                                    Кстати сегодня была новость про запуск Сбером технологии авторизации при расчетах по картам в розничных магазинах с использованием отпечатков пальцев.
                                    Причем в статье было указано, что привязка идет к картам МПС. Вот это как раз тот редкий случай, когда технология обмена меняется и лицу ответственному за организацию обработки надо поработать

                                    Комментарий


                                    • Сообщение от UserNick Посмотреть сообщение
                                      Кстати сегодня была новость про запуск Сбером технологии авторизации при расчетах по картам в розничных магазинах с использованием отпечатков пальцев.
                                      Да, тема интересная но, как мне кажется, достаточно мутная. Т.к. в нашем законодательстве не определено понятие аналога собственноручной подписи вообще и использования биометрии в частности. Вот решит кто-то, что это я приложил палец в магазине и как с этим бороться? в суд идти? А с чем? С записью системы видеонаблюдения? ну и т.д.

                                      Комментарий


                                      • Сообщение от PonomarenkoVV Посмотреть сообщение
                                        ...... Сейчас разговаривал с местным Роскомнадзором, у них позиция следующая: Всё что присоединяется к ФИО (в данном случае конкретно уточнял про номер карты, даже если она ещё не выдана) является персональными данными. Таким образом договор со сторонней организацией и акты передачи соответственно.....
                                        Представим (если не лень) вот такую ситуацию -
                                        Некий физик написал заявление в банке-эмитенте на получение карты, получил карту, положил на нее немного денег и отправился в соседний банк проверить (например, перед отпуском) работает ли его новая карточка.
                                        Пришел в банк и попытался снять немного денег со своей карты в банкомате этого банка.
                                        При этом, с его карты считалось содержимое дорожек магнитной полосы (или информация из чипа) карты , т.е. как минимум имя владельца, номер карты и срок ее действия (все ПДн), и все это уехало в процессинг банка-эквайера.
                                        Далее, если у банка-эквайера нет межхостового соединения с банком-эмитентом, информация со 2-ой дорожки магнитной полосы(номер и срок действия карты, что тоже ПДн), в качестве содержания авторизационного запроса направилось в операционный центр МПС (который может быть за границей, т.е. это трансграничная передача) и, далее, в процессинг банка-эмитента. Ну и т.д.

                                        Вот было бы интересно узнать мнение РКН, кто же должен получать разрешение у физика и в каком виде на передачу (в т.ч. траснграничную) его ПДн 3-им лицам.
                                        Неужели все эквайеры злобные нарушители 152-ФЗ?

                                        Комментарий


                                        • Сообщение от saches Посмотреть сообщение
                                          Неужели все эквайеры злобные нарушители 152-ФЗ?
                                          Тут всё проще.
                                          Транзакции по карте это всегда договор. Есть оферта мерчанта (или экваера) по оплате товара картой, есть конклюдентные действия физика по акцепту оферты (карту предоставил, причем сам). Тут отдельного согласия не надо (конечно, если обработка выполняется только в целях оплаты товара).

                                          Комментарий


                                          • Сообщение от UserNick Посмотреть сообщение
                                            Кстати сегодня была новость про запуск Сбером технологии авторизации при расчетах по картам в розничных магазинах с использованием отпечатков пальцев.
                                            Причем в статье было указано, что привязка идет к картам МПС. Вот это как раз тот редкий случай, когда технология обмена меняется и лицу ответственному за организацию обработки надо поработать
                                            Сбер запускает это в точках, которые сам и эквайрит. Чтобы так работать клиенту 100% придется сдать отпечатки (и наверняка подписать согласие на ОПДн).

                                            Гораздо интереснее как Сбер будет бороться с фродом.
                                            http://www.kaspersky.ru/about/news/v...cation-systems

                                            Теперь мошенники «учат» считывающие устройства снимать копии биометрических данных. «Лаборатория Касперского» обнаружила на черном рынке уже по крайней мере 12 продавцов, предлагающих скиммеры, умеющие красть данные отпечатков пальцев, и как минимум троих исследователей, которые работают над технологиями, позволяющими взломать системы распознавания рисунка вен на запястье и радужной оболочки глаза

                                            ...

                                            В отличие от паролей или пин-кодов, которые в случае взлома легко сменить, отпечатки пальцев или рисунок радужки глаза изменить невозможно. Соответственно, если биометрические данные один раз окажутся в чужих руках, их дальнейшее использование будет сопряжено с серьезным риском.

                                            Комментарий


                                            • Сообщение от ost Посмотреть сообщение
                                              Тут всё проще.
                                              Транзакции по карте это всегда договор. Есть оферта мерчанта (или экваера) по оплате товара картой, есть конклюдентные действия физика по акцепту оферты (карту предоставил, причем сам). Тут отдельного согласия не надо (конечно, если обработка выполняется только в целях оплаты товара).
                                              Все верно. Только вопрос, есть ли в каждом таком договоре полный набор условий которые должны быть в согласии на обработку ПДн. Поскольку обсуждаем тему защиты ПДн в МПС, то получается, что это тоже проблема банка - банка эквайрера. К тому же вряд ли каждый мерчант самостоятельно разрабатывает оферту. Думаю, что в большинстве случаев используется оферта разработанная банком эквайрером.
                                              Думаю, что и в банковском договоре между банком и клиентом тоже можно отразить эту тонкость, указав, что содержащимися на карте ПДн как в эмбоссированном так и в электронном виде клиент при использовании карты для выполнения банковских операций распоряжается самостоятельно, принимая на себя все возникающие при этом риски.

                                              Комментарий


                                              • Размещаю ссылку на новость о начале обслуживания Сбером карт МПС в рознице с использованием биометрической аутентификации по отпечатку пальцев чтобы обсуждать новость без догадок.
                                                http://www.cnews.ru/news/line/2016-0...eskie_platezhi
                                                Последний раз редактировалось UserNick; 28.09.2016, 11:06.

                                                Комментарий


                                                • Сообщение от UserNick Посмотреть сообщение
                                                  Размещаю ссылку на новость о начале обслуживания Сбером карт МПС в рознице с использованием биометрической аутентификации по отпечатку пальцев чтобы обсуждать новость без догадок.
                                                  http://www.cnews.ru/news/line/2016-0...eskie_platezhi
                                                  Первая мысль, которая у меня появилась после прочтения этой новости - а не проявить ли гражданскую сознательность и не обратиться ли в прокуратуру с вопросом о проверке законности при обработке Азбукой Вкуса законности при обработке биометрических данных. Но потом я вспомнил, что это магазин для тех, кому понты дороже денег, а забесплатно лечить чужую клупость я не нанимался

                                                  Комментарий


                                                  • Участники проекта не хранят биометрические данные клиентов — после сканирования данные преобразуются в уникальный набор числовых кодов, рассказали в компании.
                                                    Подробнее: http://www.cnews.ru/news/line/2016-0...eskie_platezhi
                                                    Ну наконец-то, а я уж думал не напишут. хотя они не первые такие продвинутые

                                                    Комментарий


                                                    • Сообщение от malotavr Посмотреть сообщение
                                                      Первая мысль, которая у меня появилась после прочтения этой новости - а не проявить ли гражданскую сознательность и не обратиться ли в прокуратуру с вопросом о проверке законности при обработке Азбукой Вкуса законности при обработке биометрических данных. Но потом я вспомнил, что это магазин для тех, кому понты дороже денег, а забесплатно лечить чужую клупость я не нанимался
                                                      Мне очень кажется, что нынешняя тяга Сбера Грефа к всяческим передовым технологиям совершенно без анализа сопутствующих проблем в какой-то момент времени приведёт выдающимся результатам (в плане потерь). Понятно, что Сбер сейчас имеет какую-то дикую прибыль, но ведь и убытки там будут не менее дикими.

                                                      Комментарий


                                                      • Сообщение от Useless Посмотреть сообщение
                                                        Мне очень кажется, что нынешняя тяга Сбера Грефа к всяческим передовым технологиям совершенно без анализа сопутствующих проблем в какой-то момент времени приведёт выдающимся результатам (в плане потерь). Понятно, что Сбер сейчас имеет какую-то дикую прибыль, но ведь и убытки там будут не менее дикими.
                                                        Трое математиков и трое физиков собираются ехать на поезде в другой город на конференцию. Они встречаются перед кассой на вокзале. Первой подходит очередь физиков, и они, как все нормальные люди, покупают по билету на человека. Математики же покупают один билет на всех.
                                                        – Как же так? — удивляются физики, — Ведь в поезде контролёр, вас же без билетов оттуда выгонят!
                                                        – Не волнуйтесь, — отвечают математики, — У нас есть МЕТОД.
                                                        Перед отправкой поезда физики рассаживаются по вагонам, но стараются проследить за применением загадочного «метода». Математики же все набиваются в один туалет. Когда контролёр подходит к туалету и стучит, дверь приотворяется, оттуда высовывается рука с билетом. Контролёр забирает билет, и дальше все они без проблем едут в пункт назначения.
                                                        После конференции те же вновь встречаются на вокзале. Физики, воодушевившись примером математиков, покупают один билет. Математики не берут ни одного.
                                                        — А что же вы покажете контролёру?
                                                        — У нас есть МЕТОД.
                                                        В поезде физики набиваются в один туалет, математики — в другой. Незадолго до отправления, один из математиков подходит к туалету, где прячутся физики. Стучит. Высовывается рука с билетом. Математик забирает билет и возвращается к коллегам.

                                                        МОРАЛЬ: Нельзя использовать математические методы, не понимая их!

                                                        Комментарий


                                                        • Сообщение от saches Посмотреть сообщение
                                                          МОРАЛЬ: Нельзя использовать математические методы, не понимая их!
                                                          Не поймите меня правильно , но это в чей огород камень?

                                                          Комментарий


                                                          • Ну, прежде всего, регуляторов и продавцов. Какие же могут быть сомнения.
                                                            Последний раз редактировалось saches; 29.09.2016, 11:54.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Участники проекта не хранят биометрические данные клиентов — после сканирования данные преобразуются в уникальный набор числовых кодов, рассказали в компании.
                                                              Иногда очень сложно отличить наглое вранье от махровой некомпетентности Чуваки или даже не в курсе, что биоМЕТРическими данными, согласно государственным стандартам РФ, называются именно те самые уникальные числовые коды, а вовсе не фотографическое изображение отпечатка пальца, или считают, что не в курсе все остальные..

                                                              Комментарий

                                                              Обработка...
                                                              X