суббота, 3 октября 2015 г.

Ответы Роскомнадзора на вопросы о персональных данных

Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Ответ: Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" данная функция возложена на Роскомнадзор.

Вопрос: Кто может являться оператором персональных данных?
Ответ: В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.

Вопрос: В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?
Ответ: В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" обеспечения конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.

Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Ответ: Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" согласия субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
(п. 1.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Вопрос: Кто должен запрашивать согласие работников предприятия на обработку персональных данных при их передаче для обработки другому оператору?
Ответ: Получить согласие работника на передачу его персональных данных для обработки другому оператору должна администрация предприятия, на котором работает субъект персональных данных.

Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
Ответ: В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети "Интернет".
Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.

Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефоны указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети "Интернет".

Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона "О персональных данных"?
Ответ: Ст. 24 Федерального закона "О персональных данных" определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Административная ответственность за нарушение настоящего Федерального закона наступает за:
- неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
- нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ);
- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);
- непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ).
Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.

Вопрос: Вправе ли кредитная организация обрабатывать персональные данные физических лиц, получивших отказ в предоставлении кредита? Возможно ли хранить формы анкет-заявок на получение кредита в формате цифровых копий?
Ответ: Персональные данные субъектов персональных данных, полученные кредитной организацией при рассмотрении заявок на получение кредита, в случае отрицательного решения кредитной организации подлежат уничтожению в срок, не превышающий трех рабочих дней с даты принятия соответствующего решения.
Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети "Интернет" критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных, является файл электронной цифровой подписи.
Кроме того, предложение оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.
Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.

Вопрос: Вправе ли оператор запрашивать сведения о судимости?
Ответ: В соответствии с ч. 3 ст. 10 Федерального закона "О персональных данных" обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Вопрос: Какие иностранные государства обеспечивают адекватную защиту персональных данных?
Ответ: До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее - Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.
Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS N 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.
Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Вопрос: Распространяются ли требования Федерального закона "О персональных данных" на юридическое лицо иностранного государства?
Ответ: Требования Федерального закона "О персональных данных" распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.

Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
Ответ: Согласно пункту 9 статьи 3 Федерального закона "О персональных данных" информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В случае соответствия веб-сайта указанным требованиям он является информационной системой.

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" операторами?
Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе "Стандарты, рекомендации и концепции" Портала "Персональные данные":
- стандарты и рекомендации в области стандартизации Банка России - http://www.cbr.ru/credit/Gubzi_docs/;
- концепция защиты персональных данных в информационных системах персональных данных оператора связи - http://minkomsvjaz.ru/3495/8317/8319/8322/;

- методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости - http://www.minzdravsoc.ru/docs/mzsr/informatics/5, http://www.minzdravsoc.ru/docs/mzsr/informatics/4.

пятница, 1 мая 2015 г.

Параноидальная безопасность

ЧАСТЬ 1. Информационная безопасность.
Недавно обходя владения банкосферы, я обратил внимание на очередную бесплатную карту, сулящую 15% годовых на остаток. Привезли мне её не быстро, но потом, листая информационные бумажки, я наткнулся на фразу «Максимальное в РФ количество элементов безопасности». Значит, мимо я уже никак пройти не смог, пришлось самому взять посмотреть, как это выглядит на практике. Итак, поехали:
1. При входе в ИБ слева текст, что надо использовать безопасный режим браузера, что надо проверить URL и SSL, что нельзя никому показывать CVV. Трудности начинаются сразу. При вводе логина символы не отображаются даже на мгновение, поэтому, никогда не знаешь, что вводишь. Метод Copy/Paste не работает. Далее идет captcha, ну и рекомендация всё вводить с виртуальной клавиатуры.

2. Далее надо создать платежный пароль. Само понятие платежный пароль пошло от сервисов типа Яндекс.Деньги / Деньги@Mail.Ru, т.к. в них пароль на почту и пароль в ЭПС один и тот же. Трудность в том, что дважды вводить платежный пароль предлагается исключительно с виртуальной клавиатуры. Опять присутствует captcha.

3. Теперь ваш платежный пароль надо подписать. Для этого его нужно указать еще раз и ввести код из SMS. Конечно же, используя виртуальную клавиатуру.

4. Теперь вам cгенерируется виртуальная скретч-карта, которую предлагается, как угодно сохранить, чтобы в последствии подтверждать этими кодами свои платежи.

5. Разумеется, ведется логирование былых событий. А вот зачем передавать банку фотографии я понять не смог.

6. Можно забавно поиграться в химика, пока будете устанавливать связи между финансовыми сущностями.

7. В разделе безопасность есть много чего интересно, среди них подробная памятка о том, что такое хорошо и что такое плохо.

8.Там же можно включить и придумать суффикс для сгенерированного банком логина на вход.

9. Интерактивная Матрица безопасности. Напоминает она кому-нибудь модель угроз безопасности.

Продолжение этой матрицы. Тут вам уже геоблокировки, IP-блокировки, защита шаблонов платежей.

10. Ну, какой же банк без сейфа. Сейчас это модная тенденция, она появляется то тут, то там. Любые счета можно засунуть в сейф, которых тоже может быть несколько.

11. Можно сделать виртуальные карты для реальных платежей в рублях, долларах и евро. CVV-код приходит в SMS. Счета в Китайских юанях есть, а виртуалок почему-то нет.

12. А дальше начинаются поистине уникальные возможности. Я еще зимой ванговал, что хорошо бы, чтобы в ИБ можно было переводить деньги методом Drag&Drop как между счетами в пределах одного банка, так и между банками. Для этого, очевидно, все ИБ должны соответствовать общему стандарту. И вот первая реализация – стало возможно мышкой перетаскивать деньги со счета на счет в пределах этого банка! Подождем, когда подобное появится у других банков.

13. А вот если пройти вот этот Квест…,

то откроется возможность для выставления своих счетов на всеобщее обозрение. Можно транслировать свой виджет со счетом в Одноклассники или ВКонтакте, и пусть весь мир знает, какой вы крутой. Любой сможет смотреть баланс, а клиент даже делать выписку. Приватности и банковской тайне приходит конец.



Конечно, некоторую паранойю можно отключить, но осадок-то, как говорится, остался. Еще отдельными фразами:
·         Ежедневно в 00:00 клиента принудительно выкидывает из ИБ. Памятка говорит, что если кому надо, пусть зайдет еще раз.
·         За 2000 руб. клиенту выдается USB-Рутокен для еще более защищенной работы в ИБ.
Кстати, во славу отмены зарплатного рабства в комплекте идет уже напечатанное от имени клиента Заявление за перечисление зарплаты в этот банк.
Что бы еще добавить в ИБ, что б уж было наверняка? Может усложнить captcha?


Идем далее. На сайте банка заявлено, что у них есть сертификат PCI DSS. Так как банк использует процессинг Мультикарта, что входит в группу компаний ВТБ, собственный полноценный сертификат банк иметь не обязан. Редко какой банк в этом случае заморачивается вообще на этот счет, т.к. считает, что нет процессинга – нет проблемы. Однако банк пошел дальше, и получил положительный AVS-скан, что достаточно для торгово-сервисного предприятия (мерчанта). Если они это делают ежеквартально, то это только приветствуется.
Теперь общее замечание. Когда смотришь довольно сложный программный продукт, возникает вопрос, насколько безопасен исходный программный код. Делал ли банк анализ программного кода ИБ и заодно МБ? Хорошо бы получить на эти вопросы ответы. Если «да», то ответом могло бы быть заключение известного, независимого консалтера. Но так всё продается и всё покупается, общественность поверит только если показать:
·         договор на оказание услуг по анализу программного кода (должен быть автоматический и ручной анализ);
·         банковский перевод денег за оказание этих услуг (банк же сам придумал способ, как выставлять любые счета напоказ);
·         результирующую часть отчета о проверке исходного кода ИБ и МБ.

Вывод раз:
Лично моё мнение заключается в том, что такой показательно параноидальный уровень безопасности это явный перебор. Мне расхотелось пользоваться ИБ еще на этапе первичных регистраций, настроек и проверок.


ЧАСТЬ 2. Финансовая безопасность.
Теперь перехожу к финансовым особенностям тарифов, а говоря проще к недостаткам с точки зрения продвинутого клиента:
Казалось бы, как хорошо, что можно выбрать либо проценты на остаток, либо кешбек на покупки, либо и то и другое за 150 руб. в месяц, однако читаем внимательно условия и тарифы.
Проценты на остаток. Начисление процентов производится ежемесячно на сумму среднемесячного остатка по карточному счету при условии, что размер среднемесячного остатка, порядок расчета которого установлен ниже, составляет не менее 30000 рублей, а так же при условии осуществления нижеуказанных операций по Карточному счету. Для расчета среднемесячного остатка по Карточному счету остатки денежных средств каждый календарный день расчетного месяца суммируются и результат суммирования делится на количество календарных дней в расчетном месяце. При расчете среднемесячного остатка учитываются остатки денежных средств на Карточном счете не превышающие 300000 рублей. Проценты выплачиваются при наличии операций покупки в торгово-сервисных предприятиях на сумму не менее 10000 рублей за расчетный месяц.
Кешбек за покупки. CashBack по операциям покупки с использованием карты в сумме до 50000 рублей ежемесячно составляет 0,5% от суммы покупок. В сумме от 50000 до 100000 рублей ежемесячно - 1% от суммы покупок. В сумме более 100000 рублей ежемесячно  - 1,5% от суммы покупок.
Там много разных исключений, среди которых явно выделяется: Начисление CashBack не производится по операциям в супермаркетах Перекресток, Пятерочка, Атак, Ашан, Метро, Магнит, Карусель, Лента. (МСС 5411).  А почему про Дикси, Викторию, O’КЕЙ, Магнолию забыли?
И еще: При совершении более 2-х операций в одном ТСП в течение одного календарного дня, CashBack за третью и последующие операции, совершенные в течение этого же календарного дня в данном ТСП, не выплачивается.
Почти всё из процитированного выше написано в тарифах в виде сносок и микроскопическим шрифтом. Имхо стандартный расчет на невнимательных клиентов.
Ну и пару других замечаний:

  •  Межбанк через ИБ – 35 руб. за каждый платеж,
  • но есть прикольная услуга «Платеж по ФОТО» - 100 руб.
  • Валютный перевод 35 долларов или 35 евро за каждый платеж.
  • Снятие денег в банкоматах ВТБ24 0,5% (мин 50 руб.), в других банкоматах – 100 руб.

Вывод два:
Лично моё мнение заключается в том, что с точки зрения клиента данным банковским продуктом пользоваться абсолютно нецелесообразно. Теперь понимаешь, как смешно звучит фраза про эту карту из их Памятки «Бесплатная сейчас и навсегда, мы не берем с Вас деньги, мы платим Вам!».
PS1. Вчера 30 апреля 2015 г. ЦБ в третий раз за год снизил ключевую ставку на 1.5% - c 14% до 12.5% годовых. Это решение регулятор аргументировал ослаблением инфляционных рисков при сохранении рисков существенного охлаждения экономики.
PS2. Это решение уже дало о себе знать на финансовом рынке. Например, становившаяся популярной «Рыбка» стала не по 15, а по 14. Думаю, что другие банки после праздников будут поступать аналогичным образом один за другим. Также думаю, что ориентированный на клиентов процент по картам-копилкам сейчас находится в районе 14-16. Тем, кто считает, что это много, скажу, что профессиональный трейдер на финансовом рынке часто делает 5-10% в месяц.


понедельник, 20 апреля 2015 г.

Про РИБку

В последнее время существенно ухудшились условия банка ТКС, а именно:
- процент на остаток стал 12%;
- и чтобы он не опускался до 4%, нужно делать раз в месяц любую покупку;
- уменьшилась до 1% компенсация за пополнение вклада;
- увеличена минимальная сумма вклада до 50т;
- анонсированы динамические лимиты на пополнение и снятие!
Короче, всё то, что начало отворачивать клиентов от черной карты свершилось. Конечно, некоторые пытаются сейчас шутить, что не важны условия, лишь бы банк работал. Я не разделяю эту точку зрения, т.к. она пассивная.
Теперь про РИБку. Мне понравилось позиционирование накопительной карты. Даже сделана специальная страница на тему «Как увеличить свою зарплату», где упомянуто про отмену «зарплатного рабства».

Вначале достоинства:
- 15% годовых на остаток от 30т до 700т;
- бесплатные пополнения методом c2c;
- бесплатные снятия в любом банкомате ВТБ24, которых сейчас ну очень много (РИБ использует процессинг Мультикарта, который входит в группу компаний ВТБ).
На этом достоинства заканчиваются. Перехожу к недостаткам:
1. Используется внешний сервис переводов best2pay. Это означает, что если деньги зависнут, искать их можно долго. Ищем на сайте best2pay сертификат PCI DSS и находим его. Сертификат немного просроченный – это нормально. Но он  выписан не на ООО «Бест2пей», а на совершенно другую компанию, причем английскую и с другим названием.  Не исключаю, что к ним он отношения не имеет.
2. Для пополнения предлагается отправлять деньги на транзитный счет с указанием в назначении платежа ФИО и номера банковской карты. Сейчас этим грешат многие банки, даже имеющие собственный сертификат PCI DSS. Лучше указывать номер договора.
По идее тут должно помочь общее Указание ЦБ о недопустимости указания карточных данных в поле Назначение платежа. Сейчас же транзитные счета парсятся, после чего роботы раскидывают деньги по счетам назначения.
3. Интернет-банк у них находится в стадии развития, поэтому функционал жутко ограничен. Пока нельзя даже сделать исходящий межбанковский перевод, настроить лимиты..
Подсказываю, какие самые основные лимиты:
Тип/Период
Сутки
Месяц
Операции в торгово-сервисных предприятиях


Операции в Интернет-банке


Операции через сеть Интернет (без присутствия карты)


Снятие наличных в банкомате



4. Драконовско-платный межбанк 0.5% (min 30р max 1000р). Хотя есть ряд популярных банков с ценой 0р или 10р.
5. Желательно иметь блокировку/разблокировку карты в Интернет-банке.

Таким образом, вероятно, можно сделать следующий вывод: если им чуть-чуть подкрутить тарифы, технически допилить интернет-банк и расширить географию (сейчас это только Москва и Пермь), то можно немного подвинуть того, с чего начиналась моя статья.

PS. Также я сразу же написал обращение в РИБ, в котором тезисно перечислил основные беспокойства и дал ссылку на настоящую статью. Сегодня мне пришел ответ. Я считаю, что его следует выложить здесь на блоге. Сразу видна клиентоориентированность банка, в отличии от некоторых.

PS. Эти же и другие статьи о банковских картах находятся на моем основном сайте.

вторник, 7 апреля 2015 г.

Безопасность переговоров

Мой знакомый регулярно ведет переговоры в целью поиска инвестиций через Интернет. Как с физическими, так и с юридическими лицами. Зная, что он читает мой блог, позволю здесь для него написать несколько предложений. Думаю, что это будет полезно и окружающим.
Руководящий здесь принцип защиты — ваша деятельность не интересует ИХ. А все остальные всё равно не смогут получить доступ. Если вы считаете, что ОНИ заинтересуются вами, то вам поможет только телепатический канал связи. Следовательно, информацию нужно защищать не от дальних, а от ближних. Например, кого интересует зарплата сотрудников моего отдела? Думаю, только таких же сотрудников моего отдела и всех соседних отделов. Другим компаниям это будет уже не так интересно, а только как справочная информация. Но наши зарплаты никак не интересует ни В.В. Путина, ни Б. Обаму. Поэтому от раскрытия ИМ зарплат даже не нужно беспокоиться. Далее просто тезисами, которые и так понятны:

  1. Все переговоры ведем в скайпе или по мобильному телефону. Но не в аськах, одноклассниках, блогах и форумах.
  2. Все письма с конфиденциальной информацией пересылаем в пределах Gmail, так как это иностранный почтовик с шифрованием канала связи. Почтовики Яндекс или Мейлру по понятным причинам для этого не используем. Я правда не уверен, что в РФ нет гугловских серверов, но думаю, что договорится с Google гораздо труднее, чем с российскими компаниями.
  3. Если надо переслать письмо куда-то в сторону, используем архивы с длинным паролем на них. Здесь помним, что алгоритмы шифрования в архиваторах и в закрытых каналах для банковских транзакций одни и те же. Распространенный пример алгоритма AES-256.
  4. Если надо переслать скан документа для идентификации, например, паспорт, то делаем в графическом редакторе подпись «Только для Иванова Ивана Ивановича» или «Только для компании Рога и Копыта». Лучше всего использовать цвет шрифта аналогичный цвету шрифта пересылаемого документа. Для прикола можно использовать радугу, если найдете такой шрифт.
  5. Если надо переслать бумажные документы, то лучше не использовать почту России, а лучше немного разориться на DHL, но быть уверенным, что корреспонденцию точно доставят из точки А в точку Б. Вот цены за обычный конверт формата А4: Москва-Новосибирск ~1500 руб, Москва-Владивосток ~1700 руб. Не думаю, что это очень накладно.
  6. Про финансовую безопасность я сейчас рассуждать не буду, для этого нужен отдельный ликбез, т. к. без этого многие выводы будут просто противоречить друг другу.

среда, 1 апреля 2015 г.

Внимание: вода!


Я работаю в одном топовом федеральном банке, и сегодня у нас произошел редкий случай. Сотрудница, выходя с работы, выносила в руках бутылку с водой. Мимо охраны она спокойно пройти не смогла, т. к. у нас запрещено выносить воду, и поэтому её задержали. Поясняю почему.
В соответствии с внутренними политиками ИБ банка, вода у нас относится к конфиденциальной информации, а именно к коммерческой тайне. Это сделано не случайно. В переговорных комнатах у нас стоят кулеры с водой. В коридорах и у лифтов у нас кулеров нет. Когда переговорные комнаты свободны сотрудники могут наполнять чайники или чашки водой и пить в своих кабинетах или опенспейсах чай. Но всё дело в том, что в переговорных комнатах ежедневно проходят конфиденциальные переговоры, и поэтому вода заряжается конфиденциальной информацией. Если вы до сих пор не верите в это, рекомендую погуглить данную тему в инете. Все сотрудники при приеме на работу, а потом и ежегодно проходят инструктажи по техникам работы с конфиденциальной информацией. Далее все обязательно подписывают своей личной электронной подписью на корпоративном портале публичное NDA. Так было и с той сотрудницей в прошлом году при приёме на работу. Хорошо, что у нас во всех переговорках установлены камеры видеонаблюдения и ведется запись всех без исключения переговоров. Следовательно, будет не сложно восстановить, чуть было не похищенную информацию. В любом случае у нас зафиксировался инцидент ИБ и мне пришлось задержаться на работе, чтобы его правильно оформить. Завтра буду инициировать расследование.
Даже страшно подумать, что было бы, если в банке не был бы введен режим коммерческой тайны!

Короче, комрады с 1 апреля.