Защита персональных данных в банке

Принципы защиты ПДн в банке

Банки обеспечивают защиту персональных данных (ПДн) клиентов комплексно, принимая технические и организационные меры.

С технической стороны используются сертифицированные криптографические средства для шифрования данных и защиты каналов связи, проводится сегментация сетей. Внедряются средства предотвращения утечек данных (DLP), межсетевые экраны и механизмы защиты от несанкционированного доступа. Для мониторинга проблем применяются SIEM и SOC. Доступ к данным ограничен: действует принцип минимального доступа, многофакторная аутентификация и контроль за действиями администраторов.

С организационной точки зрения защита обеспечивается с помощью внутренних политик безопасности, обучения сотрудников, регулярных проверок и контроля за подрядчиками. Банк классифицирует данные по уровням конфиденциальности, назначает ответственных за обработку ПДн и разрабатывает процедуры для реагирования на проблемы.

Таким образом, выделяют 3 уровня защиты ПДн клиентов:

1. Нормативный уровень — соблюдение требований законодательной базы.
2. Технический уровень — шифрование данных, контроль доступа и мониторинг.
3. Организационный уровень — разработка регламентов, обучение сотрудников и контроль за соблюдением процедур.

Законодательная база

Перечень персональных данных и порядок их обработки регламентируются 152-ФЗ от 27 июля 2006 года. Закон детально описывает принципы конфиденциальности, требования к хранению и обработке информации, а также меры по обеспечению её безопасности.

Законом предусмотрена правовые последствия за неисполнение требований. К нарушениям относятся:

• неправильная обработка персональных данных;
• неисполнение требований конфиденциальности;
• запрос данных, которые не касаются целей, указанных клиентом;
• отсутствие подписанного соглашения о передаче персональных данных.

Закон не содержит требований к перечню нормативных актов отдельных банков. Организации сами создают и применяют политику обработки информации, в которой прописаны положения об охране ПДн, о сотрудниках и клиентах.

В законодательную базу также входят:

1. Приказ Роскомнадзора №274.
2. Приказ ФСБ №378.
3. Приказ ФСТЭК РФ №21.
4. Постановление Правительства России №1119.

Какую информацию запрашивают банки

Клиенты сообщают в банки:

1. Данные паспорта, в том числе, место регистрации.
2. Место жительства.
3. Семейный статус.
4. Данные о рабочем месте и заработной плате.
5. Уровень образования.
6. Номер телефона и контакты знакомых.

Что из этого перечня понадобится, зависит от цели обращения клиента в банк. Развернутые данные должны предоставлять клиенты, которые нуждаются в кредите. Они заполняют полную анкету, прикладывают сведения о подтверждении дохода, фотографируются. Иногда нужны данные поручителей и контакты других людей, которые помогут, при необходимости, связаться с заемщиком.

Банк обязан получить подписанное согласие на обработку персональных данных от клиента. Оно дает организации право использовать полученную информацию по закону и защищает ПДн клиента. В документе указаны операции, которые банк может проводить с этими данными. Пункт согласия предусматривает, что банк обязан соблюдать конфиденциальность информации.

Как используются полученные данные

Банки используют личные данные клиентов для предоставления финансовых услуг и выполнения своих обязательств по закону. Способы использования данных включают:

1. Проверка личности клиента при открытии счетов, выдаче карт и кредитов.
2. Оценка кредитоспособности — анализ финансового состояния и кредитной репутации через бюро кредитных историй (НБКИ).
3. Проведение операций — выполнение платежей, начисление процентов и управление вкладами.
4. Связь с клиентом — уведомления о движении средств, подтверждение операций и информация о продуктах (с согласия клиента).
5. Защита данных — выявление мошенничества и предотвращение несанкционированного доступа.

Срок хранения данных определяется внутренними правилами банка и законодательством. Как правило, информацию не удаляют до 5 лет после окончании обязательств клиента. При закрытии счета или расторжении договора клиент может запросить удаление данных, если у него нет долговых и иных обязательств перед банком.

Требования по защите ПДн в банке

Защита ПДн обеспечивается, согласно законодательству РФ. Операторы должны использовать организационные и технические меры в комплексе, чтобы предотвратить несанкционированный доступ, утечку и искажение данных. Требования:

1. Законность обработки ПДн — собирать и использовать информацию можно только на правовых основаниях и согласия физлица.
2. Цели обработки — ПДн допустимо использовать только в указанных целях и в течение конкретного срока.
3. Предоставление доступа только уполномоченным лицам, которые прошли инструктаж по защите ПДн.

К организационным мерам относятся:

1. Моделирование угроз и анализ рисков — поиск проблем и выявление уровня защиты ИСПДн.
2. Контроль и аудит — своевременные проверки выполнения требований, аттестация систем и обновление способов защиты.
3. Учёт и отчётность — ведение документов, сообщение Роскомнадзору о начале обработки и подготовка к проверкам.

Техническая защита — использование сертифицированных средств, антивирусных программ, межсетевых экранов, шифрования и резервного копирования.

Кому могут передавать сведения

При согласии на передачу данных третьим лицам, банки вправе сообщать их другим компаниям или физическим лицам. Среди них:

• курьеры;
• страховые организации;
• БКИ;
• партнеры финансовых организаций.

В соответствии с требованиями ФЗ-152, для каждого физ. лица нужно запрашивать отдельное согласие с указанием времени обработки без автопродления периода. Обработка проводится только с конкретной целью, например, для участия в бонусных программах или выдачи кредита.

Законом предусмотрены случаи, когда персональные данные клиента могут быть переданы без согласия клиента, например, по запросу судебных приставов или суда.

Как осуществляется защита ПДн при передаче третьим лицам

Чтобы обеспечить безопасность клиента:

1. Передача ПДн осуществляется только с явного согласия пользователя (кроме исключительных случаев указанных в ФЗ-152).
2. Использование сертифицированных средств защиты информации (СЗИ) при передаче данных обеспечивает их защиту от несанкционированного доступа.
3. Перед передачей ПДн третьим лицам проводится оценка рисков, чтобы выявить угрозы и определить меры по их минимизации.
4. С третьими лицами заключается договор, в котором содержатся положения о защите данных, обязательствах и условиях обработки.
5. Банки осуществляют мониторинг действий третьих лиц по обработке ПДн – это помогает обеспечить соблюдение договорных обязательств и выявить нарушения.

Мифы

Распространено мнение, что российские банки неправильно хранят ПДн и не защищают граждан при операциях в интернете, о чем неоднократно рассказывали клиенты УИБ. На практике, защита персональных данных в банковской системе выстроена грамотно.

Миф 1: Сотруднику банка легко нелегально распространить чужие данные.

На самом деле, банки внедряют строгие меры безопасности и контроля доступа к данным. Только уполномоченные сотрудники могут видеть и обрабатывать информацию клиентов.

Кроме того, банки и кредитные организации используют шифрование и мониторинг действий сотрудников, что снижает риски несанкционированного доступа и распространения данных.

Миф 2: Официальные сотрудники банков работают честно, но хакеры воруют данные.

Хакеры — представляют угрозу для безопасности данных, важно понимать, что большинство утечек информации происходит не только из-за внешних атак. Внутренние угрозы, как правило, связаны с недостаточной осведомленностью сотрудников о правилах безопасности или нарушением регламентов.

Банки обучают сотрудников правилам защиты данных и реагирования на инциденты. Хакеры применяют всё более сложные методы атак на системы, что усложняет защиту информации. Для защиты данных необходим интегрированный подход, объединяющий внутренние меры и меры против внешних угроз.

Миф 3: На черном рынке много клиентских баз российских банков.

На практике, хотя утечки данных происходят, полноценные базы клиентов банков редко попадают в открытый доступ. Как правило, злоумышленники получают доступ к фрагментам информации или используют данные в рамках конкретных атак (например, фишинга).

Кроме того, российские банки ведут работу по совершенствованию систем безопасности и обмена информацией с правоохранительными органами, что затрудняет продажу украденных данных на черном рынке. Таким образом, хотя риск утечек сохраняется, угроза наличия обширных клиентских баз на черном рынке преувеличена.

Отзыв согласия на обработку

Согласно 152-ФЗ, клиент имеет право в любое время отозвать согласие на обработку ПДн, уменьшить объем предоставляемых данных или отказаться от получения рекламных сообщений. Для этого в каждом банке предусмотрена соответствующая форма заявления. Спустя 1 месяц после его подачи личные данные клиента убирают из базы и информируют об этом.

Но, в ряде случаев банк вправе хранить информацию о клиенте даже после отзыва согласия:

• действует договор с финансовым учреждением об открытии счета, вклада, кредита;
• информация нужна для взыскания задолженности через суд;
• данные требуются для процедуры легализации заработка, согласно 115-ФЗ;
• по иным причинам, указанным в статье 6 ФЗ № 152.

Если у клиента есть незакрытые банковские счета или карты, без обработки ПДн финансовое учреждение не может исполнять договор.

Зачем нужна биометрия и нужно ли ее предоставлять

Клиент сам принимает решение, подавать ли в банк биометрические данные. Финансовые организации не требуют этого. Но банк вправе потребовать сделать моментальное фото в офисе при открытии счёта, выдаче карты или оформления займа.

Это обязательное условий идентификации клиента, установленное Центробанком. Снимок будет храниться в системе банка, а передавать его другим организациям или в ЕБС (Единую биометрическую систему) не будут.

Банки собирают биометрические данные (фотографии, образцы голоса или отпечатки) в двух случаях:

1. Чтобы идентифицировать клиента и передать сведения в Единую биометрическую систему (ЕБС). Биометрия предоставляет гражданам возможность стать клиентами банков без посещения офиса, используя удалённую идентификацию.
2. Чтобы повысить безопасность, удобство и скорость обслуживания.Банки должны предоставить клиентам возможность сдать биометрию для передачи в ЕБС. Для этого у человека возьмут отдельное согласие.

Подделать биометрические данные сложно. Такая идентификация клиента позволяет банкам гарантировать защиту денег и избежать мошенничества с ними. Это также повышает удобство: не требуется использовать паспорт или карту для проверки личности при звонке в колл-центр или посещении офиса банка.

Чек-лист безопасной обработки данных

Перед обращением в банк нужно убедиться, что обработка и хранение ПДн выполнены корректно. Для этого выделяют критерии:

1. Банк запрашивает согласие на сбор данных и не требует от клиента лишнюю информацию.
2. Организация получает и хранит данные только для конкретных целей и в течение установленного срока. Это прописано в согласии.
3. У банка есть политика обработки информации.
4. Организация запрашивает согласие на использование данных отдельно для каждого человека или называет четкий список третьих лиц, указывая цели и сроки обработки информации о каждом из них.
5. Клиент вправе отозвать согласие.

Как УИБ обеспечивает защиту персональных данных в банковской сфере

Компания проводит:

1. Аудит безопасности – анализ текущих систем защиты и поиск проблем.
2. Разработка политик безопасности – создание четких правил и процедур для обработки данных.
3. Технологические решения – внедрение сертифицированных средств защиты информации.
4. Обучение персонала по вопросам безопасности данных.
5. Мониторинг – постоянный контроль за безопасностью и оперативное реагирование на инциденты.

Мы предоставляем комплексное сопровождение проекта клиента. Ответим на все вопросы и поможем защитить ПДн:

Телефон: 8 (800) 707-94-97

Email: sales@uibcom.ru.