PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Регулятор потребовал от банков лучше хранить данные клиентов

Центробанк обязал участников рынка ужесточить порядок хранения и уничтожения документов, содержащих персональные данные клиентов

Центробанк разослал банкам письма (есть в распоряжении «Известий»), обязывающие их усилить порядок хранения и уничтожения документов, содержащих персональные данные клиентов. Несоблюдение этого требования повлечет проверку регулятора.

Банки должны усилить контроль за соблюдением законодательства о персональных данных. В частности — актуализировать документы, определяющие порядок хранения и уничтожения персональных данных клиентов на бумажных носителях (речь идет прежде всего о кредитных договорах). Еще одно требование — принять и усовершенствовать внутренние положения, предусматривающие персональную ответственность сотрудников банков, осуществляющих обработку данных клиентов и сохранение конфиденциальности информации в ходе обслуживания граждан. Также банки обязаны пересмотреть условия, обеспечивающие сохранность материальных носителей персональных данных, исключающие несанкционированный доступ к ним с момента создания документов до их уничтожения. Об этом говорится в письме за подписью первого зампреда Центробанка Алексея Симановского, направленном в коммерческие кредитные организации.

— Факты ненадлежащего хранения и уничтожения банками документов, содержащих персональные данные граждан, свидетельствуют о необходимости усиления кредитными организациями контроля за рисками, возникающими при обработке, хранении и уничтожении информации о клиентах, — отмечает Симановский.

Он указывает, что ЦБ рекомендовал своим территориальным управлениям оценивать качество управления в кредитных организациях в том числе и по тому, как они исполняют данные требования. Если банк не актуализирует внутренние документы, это будет являться негативным фактором при оценке.

Беспокойство регулятора объяснимо — даже крупнейшие банки допускали утечку персональных данных клиентов. Фигурантом одного из недавних громких случаев стал Сбербанк — в середине января в Ижевске на свалке были обнаружены внутренние документы кредитной организации. В их числе была внутренняя переписка банка, а также заявления-анкеты заемщиков с их персональными данными.

По данным Zecurion Analytics (крупнейший российский разработчик DLP-систем для защиты от утечек информации), в 2013 году ущерб от утечек информации в мире достиг $25 млрд (на Россию приходится около 5%). Компания прогнозирует увеличение числа таких инцидентов в банковской сфере.

— Безусловно, банки должны обеспечивать не только конфиденциальность электронных персональных данных, но и данных на бумажных носителях, — комментирует начальник Управления сопровождения бизнеса и хранения документации Банка Хоум Кредит Наталья Пушилина. — Банк Хоум Кредит обеспечивает хранение документов клиентов в специализированных хранилищах с многоуровневой системой доступа, а уничтожение документов осуществляется на специализированном оборудовании в присутствии банковских работников.

В остальных кредитных организациях предпочли не раскрывать, как именно хранятся и уничтожаются документы с персональными данными клиентов. Однако собеседники отмечают, что ЦБ не преувеличивает масштаб проблемы.

По словам директора по розничным рискам Промсвязьбанка Евгения Иванова, проблема небрежного отношения с бумажными носителями, содержащими персональные данные, существует во многих кредитных организациях.

— Четкий порядок обращения с данным видом носителей, а также усиление ответственности на местах позволит во многом минимизировать риски утечек подобного рода, — считает Иванов. — Однако также очевидно, что никакие разумные с точки зрения затрат меры не позволят полностью избежать таких утечек, поскольку, с одной стороны, современные технические средства позволяют легко получать электронные копии бумажных носителей, а с другой стороны, логистика кредитной документации происходит через объекты с разным уровнем возможного контроля.


В то же время собеседники отмечают, что крупные игроки уже готовы к новым требованиям.

По словам директора департамента розничного бизнеса СБ Банка Германа Белоуса, усиление мер и ответственности вряд ли будут сильно обременительным для кредитных организаций.

— С 2006 года, с момента внедрения закона «О персональных данных», банками, в частности, уже очень многое в этой сфере реализовано, — говорит Белоус. — Приобретено необходимое оборудование, введены новые системы хранения данных и доступа к ним, разработаны внутренние нормативные документы, в целом значительно усилен контроль. В общем, хранение и уничтожение документов на бумажных носителях — давно уже отработанная технология, и если она исполняется в полной мере, то сбоев не бывает. Но нужно понимать, что полностью устранить проблему утечки персональных данных, думаю, невозможно в принципе. Во-первых, всегда есть и будет так называемый человеческий фактор. Во-вторых, мошенниками регулярно обнаруживаются программные лазейки для взлома систем защиты.

Российское законодательство не содержит конкретных советов, как правильно обеспечивать сохранность персональных данных, обрабатываемых банками без использования средств автоматизации.

— Существует только общее требование постановления правительства России № 687 к наличию у оператора персональных перечня мер, необходимых для обеспечения сохранности материальных носителей персональных данных, и исключающих несанкционированный доступ к таким носителям, — говорит руководитель практики инвестиционного консультирования ФБК Роман Кенигсберг. — При отсутствии четких требований повышается неопределенность в их интерпретации регулятором, и это единственный минус данной инициативы. Защита персональных данных клиентов — это такое же обязательное условие банковского бизнеса, как необходимость контролировать доступ в кассовое хранилище.

Что касается ответственности и наказаний — нет лучших стимулов, чем экономические, указывает директор департамента управления информационной безопасностью Бинбанка Искандер Конеев.

Тем не менее эксперты на условиях анонимности уверяют «Известия», что только штрафами процесс не ограничится.

— Непредоставление отчетности повлечет проверки регулятора, которые могут иметь самые разные последствия, — считают они. — ЦБ может обратить внимание на другие сферы деятельности игрока, в том числе уличить его в нарушении богатого на санкции «антиотмывочного» законодательства.

Источник: izvestia.ru

банки | законодательство
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры