Как украинские финтех-компании защищают персональные данные своих пользователей

Особенность финтех-компаний - это быстрый рост за счёт анализа и обработки большого количества данных об их пользователях. В то же время, финансовая история, кредитный рейтинг или KYC/AML верификация физических лиц считается персональными данными и требует защиты в соответствии с национальными и международными стандартами.

Так, например, в своём заключении о влиянии AML/KYC законов на защиту персональных данных, европейский регулятор отметил, что верификационная процедура всегда должна соответствовать законам о защите персональных данных.

В Украине сбор и обработка финансовых данных пользователей регулируется Законом Украины "О защите персональных данных". Также, финтех-компаниям нужно учитывать нормы европейского регламента GDPR, если:

1. Команда, офис, лицензия или банковские счета находятся в одной из стран ЕС;
2. Проект нацелен на пользователей в Европейском Союзе; или
3. Проект совершает обработку платежей или данных пользователей от имени других компаний.

В этой статье мы собрали опыт и мнения четырёх ведущих украинских финтех-компаний Украины - Liqpay, UAPay, Portmone.com и Trustee Wallet - о том, как защищать персональные данные пользователей и на что при этом обращать внимание.

Защита персональных данных и безопасность в украинских финтех-компаниях

Один из ключевых принципов защиты персональных данных - это их минимизация (ст. 5 GDPR). Не стоит собирать персональные данные, если в этом нет необходимости. Где без сбора персональных данных не обойтись, их объём нужно сократить до минимума.

В разрезе кибербезопасности персональных данных (ст. 32 GDPR), речь идёт о технических и организационных мерах, нацеленных на защиту данных от утечек и мошенничества. В этом вопросе финтех-компаниям могут помочь стандарты финансовой индустрии:

"В первую очередь, я бы хотел отметить соответствие стандартам по работе с банковскими картами PCI DSS. Мы ежегодно успешно проходим ре-сертификацию у независимого авторизированного аудитора, который осуществляет проверку нашей технической пригодности, а также профпригодности сотрудников нашей компании."
UAPay

Важность стандарта PCI DSS подчёркивает и команда платёжной системы Liqpay:

"Для LiqPay актуальны все мероприятия, которые ПриватБанк проводит в отношении защиты приватность и защиты персональных данных.

Помимо прочего, LiqPay имеет сертификат Payment Card Industry Data Security Standard. Сертификат подтверждает полное соответствие системы обработки данных платежных карт банка стандартам безопасности международных платежных систем Mastercard и Visa."
LiqPay

В дополнение стоит отметить, что информационная безопасность - это не одноразовая акция. Для её обеспечения, от компаний требуется постоянный мониторинг и поиск уязвимостей их систем, которые могут привести к утечкам данных.

"Portmone.com ежеквартально сканирует свой ресурс на предмет выявления уязвимостей и проходит ежегодную проверку безопасности независимыми аудиторами в офисе компании."
Portmone.com

Для систематического подхода к требованиям понадобится настройка внутренних процессов компании. В этом может помочь специальное ПО для учёта данных и мер по их защите, а также создание отдельного департамента по защите данных для более зрелых проектов:

"У нас есть своя внутренняя система ПО для координации работы. Сейчас стоит вопрос о внедрении специального ПО, которое позволит более качественно управлять потоками данных и запросами.

В ПриватБанке также есть управление по защите персональных данных, которое состоит из трёх сертифицированных специалистов и занимается в том числе вопросами работы Liqpay. Функцию DPO выполняет руководитель Управления."
LiqPay

Для повышения уровня безопасности, финтех-компании могут создавать специальный anti-fraud департамент, который будет заниматься исключительно мониторингом транзакций. Мониторинг также должен осуществляться в соответствии с требованиями по защите персональных данных:

На что обратить внимание, чтобы убедиться, что финтех-компания защищает данные пользователей

То, в чём сошлись все опрашиваемые представители украинской финтех-индустрии - нужно хорошо изучить сервис перед его подключением:

Первоочередный пункт для анализа - это публичная документация:

"Обязательно ознакомьтесь с публичными документами [а именно - Privacy Policy] сервиса, которым собираетесь пользоваться.

Обратите внимание на объем и цели сбора информации, порядок и сроки хранения, наличие у сервиса ответственного за защиту информации лица - Data protection officer."

Рекомендуется оценить и техническую составляющую сервиса - какие технологии используются для защиты от мошенничества, где хранятся данные пользователей и каким образом они защищаются от утечек:

"С технической стороны рекомендуем проверять сайт сервиса на применение технологии 3-D Secure, наличие сертификата о соответствии стандартам PСI DSS, смотреть какие протоколы шифрования используются и на каком сервере хранится информация."

Дополнительную гарантию защиты может предоставить пользование безопасными криптовалютами, которые позволяют проводить транзакции без централизованного посредника:

"При этом, советуем применять некастодиальные сервисы, которые вообще не имеют доступа к данным пользователя. Примером такого продукта и есть Trustee Wallet."
Trustee Wallet

Есть и ряд простых советов, о которых следует помнить уже при использовании сервиса:

Меры личной безопасности касаются и выбора сервиса для одноразового перевода денежных средств - для этого рекомендуется пользоваться только проверенными сервисами:

"Не рекомендуем использовать сервисы, которые вам передают малознакомые люди через мессенджеры, т.к. деньги с карты спишутся, но до адресата не дойдут никак."
UAPay

Вывод

В технологическом секторе можно наблюдать общий тренд усиления мер по информационной безопасности и защите персональных данных. В финтех индустрии защита данных пользователей всегда имела особое значение, но и по сегодняшний день существует ряд проблем, как например, мошенничество, фишинг и утечки данных.

Illustrations by Freepik Stories

Основной совет по решению подобных проблем для финтех-компании - это делать акцент на мерах по информационной безопасности, пользовательском интерфейсе по управлению своим данными, а также оформлением необходимой документации, которая обезопасит компанию от юридических рисков.

Пользователю сервиса же лучше хорошо изучить сервис перед его использованием, начав с публичной документации. Впрочем, ни один сервис не предоставит 100% защиты, поэтому всегда нужно помнить о простых мерах личной безопасности при проведении финансовых операций.

Контрибьюторы:

Людмила Кукуету, Юрисконсульт Trustee Wallet

Алексей Миропольский, Коммерческий директор Portmone.com

Ариф Ахмедзаде, Директор по продажам UAPAY

Артем Кобрин и Дмитрий Корчинский, Специалисты по защите данных ПриватБанк, CIPP/E

Автор интервью:

Владислав Некрутенко,
юрист в сфере защиты персональных данных (CIPP/E)