poster
Для стартапів

Как украинские финтех-компании защищают персональные данные своих пользователей

Особенность финтех-компаний - это быстрый рост за счёт анализа и обработки большого количества данных об их пользователях. В то же время, финансовая история, кредитный рейтинг или KYC/AML верификация физических лиц считается персональными данными и требует защиты в соответствии с национальными и международными стандартами.

Так, например, в своём заключении о влиянии AML/KYC законов на защиту персональных данных, европейский регулятор отметил, что верификационная процедура всегда должна соответствовать законам о защите персональных данных.

В Украине сбор и обработка финансовых данных пользователей регулируется Законом Украины "О защите персональных данных". Также, финтех-компаниям нужно учитывать нормы европейского регламента GDPR, если:

  1. Команда, офис, лицензия или банковские счета находятся в одной из стран ЕС;
  2. Проект нацелен на пользователей в Европейском Союзе; или
  3. Проект совершает обработку платежей или данных пользователей от имени других компаний.

В этой статье мы собрали опыт и мнения четырёх ведущих украинских финтех-компаний Украины - Liqpay, UAPay, Portmone.com и Trustee Wallet - о том, как защищать персональные данные пользователей и на что при этом обращать внимание.

Защита персональных данных и безопасность в украинских финтех-компаниях

Один из ключевых принципов защиты персональных данных - это их минимизация (ст. 5 GDPR). Не стоит собирать персональные данные, если в этом нет необходимости. Где без сбора персональных данных не обойтись, их объём нужно сократить до минимума.


Людмила_Кукуету.jpg

"В силу регуляторных требований, приложение Trustee Wallet не обязано и не собирает персональные данные пользователей (ФИО, документы подтверждающие личность, электронная почта и т.д.).

Исходя из этого, приватность наших пользователей абсолютно защищена - невозможно разгласить данные, если ты их не получаешь."

Людмила Кукуету, Юрисконсульт Trustee Wallet


Людмила_Кукуету.jpg

"В силу регуляторных требований, приложение Trustee Wallet не обязано и не собирает персональные данные пользователей (ФИО, документы подтверждающие личность, электронная почта и т.д.).

Исходя из этого, приватность наших пользователей абсолютно защищена - невозможно разгласить данные, если ты их не получаешь."

Людмила Кукуету, Юрисконсульт Trustee Wallet

В разрезе кибербезопасности персональных данных (ст. 32 GDPR), речь идёт о технических и организационных мерах, нацеленных на защиту данных от утечек и мошенничества. В этом вопросе финтех-компаниям могут помочь стандарты финансовой индустрии:

"В первую очередь, я бы хотел отметить соответствие стандартам по работе с банковскими картами PCI DSS. Мы ежегодно успешно проходим ре-сертификацию у независимого авторизированного аудитора, который осуществляет проверку нашей технической пригодности, а также профпригодности сотрудников нашей компании."
UAPay

Важность стандарта PCI DSS подчёркивает и команда платёжной системы Liqpay:

"Для LiqPay актуальны все мероприятия, которые ПриватБанк проводит в отношении защиты приватность и защиты персональных данных.

Помимо прочего, LiqPay имеет сертификат Payment Card Industry Data Security Standard. Сертификат подтверждает полное соответствие системы обработки данных платежных карт банка стандартам безопасности международных платежных систем Mastercard и Visa."
LiqPay

В дополнение стоит отметить, что информационная безопасность - это не одноразовая акция. Для её обеспечения, от компаний требуется постоянный мониторинг и поиск уязвимостей их систем, которые могут привести к утечкам данных.

"Portmone.com ежеквартально сканирует свой ресурс на предмет выявления уязвимостей и проходит ежегодную проверку безопасности независимыми аудиторами в офисе компании."
Portmone.com

Для систематического подхода к требованиям понадобится настройка внутренних процессов компании. В этом может помочь специальное ПО для учёта данных и мер по их защите, а также создание отдельного департамента по защите данных для более зрелых проектов:

"У нас есть своя внутренняя система ПО для координации работы. Сейчас стоит вопрос о внедрении специального ПО, которое позволит более качественно управлять потоками данных и запросами.

В ПриватБанке также есть управление по защите персональных данных, которое состоит из трёх сертифицированных специалистов и занимается в том числе вопросами работы Liqpay. Функцию DPO выполняет руководитель Управления."
LiqPay

Для повышения уровня безопасности, финтех-компании могут создавать специальный anti-fraud департамент, который будет заниматься исключительно мониторингом транзакций. Мониторинг также должен осуществляться в соответствии с требованиями по защите персональных данных:


Алексей_Миропольский.jpg

"Списание средств не произойдет, если со стороны экспертов и программы будет подозрение на мошенничество.

Каждая транзакция проходит фильтр, и система оценивает насколько она подозрительна. Дальше платеж попадает под живой фрод-мониторинг, где проблему изучают сотрудники."

Алексей Миропольский, Коммерческий директор Portmone.com


Алексей_Миропольский.jpg

"Списание средств не произойдет, если со стороны экспертов и программы будет подозрение на мошенничество.

Каждая транзакция проходит фильтр, и система оценивает насколько она подозрительна. Дальше платеж попадает под живой фрод-мониторинг, где проблему изучают сотрудники."

Алексей Миропольский, Коммерческий директор Portmone.com

На что обратить внимание, чтобы убедиться, что финтех-компания защищает данные пользователей

То, в чём сошлись все опрашиваемые представители украинской финтех-индустрии - нужно хорошо изучить сервис перед его подключением:


Ариф_Ахмедзаде.jpg

"При выборе платежного провайдера для своего бизнеса или для личного пользования, важно узнать о нем как можно больше информации.

Выбирать следует среди тех кто хорошо себя зарекомендовал на рынке и имеет реальных клиентов, где можно проверить их работу."

Ариф Ахмедзаде, Директор по продажам UAPAY


Ариф_Ахмедзаде.jpg

"При выборе платежного провайдера для своего бизнеса или для личного пользования, важно узнать о нем как можно больше информации.

Выбирать следует среди тех кто хорошо себя зарекомендовал на рынке и имеет реальных клиентов, где можно проверить их работу."

Ариф Ахмедзаде, Директор по продажам UAPAY

Первоочередный пункт для анализа - это публичная документация:

"Обязательно ознакомьтесь с публичными документами [а именно - Privacy Policy] сервиса, которым собираетесь пользоваться.

Обратите внимание на объем и цели сбора информации, порядок и сроки хранения, наличие у сервиса ответственного за защиту информации лица - Data protection officer."

Рекомендуется оценить и техническую составляющую сервиса - какие технологии используются для защиты от мошенничества, где хранятся данные пользователей и каким образом они защищаются от утечек:

"С технической стороны рекомендуем проверять сайт сервиса на применение технологии 3-D Secure, наличие сертификата о соответствии стандартам PСI DSS, смотреть какие протоколы шифрования используются и на каком сервере хранится информация."

Дополнительную гарантию защиты может предоставить пользование безопасными криптовалютами, которые позволяют проводить транзакции без централизованного посредника:

"При этом, советуем применять некастодиальные сервисы, которые вообще не имеют доступа к данным пользователя. Примером такого продукта и есть Trustee Wallet."
Trustee Wallet

Есть и ряд простых советов, о которых следует помнить уже при использовании сервиса:

Артем_Кобрин_Дмитрий_Корчинский.jpg

"Проверьте находитесь ли вы именно на сайте сервиса, а не на фишинговом сайте, и используйте безопасное соединение. Мы не советуем получать доступ к своим финансам с открытого и публичного Wi-Fi. Никогда и никому не сообщайте одноразовые пароли из СМС, свой пин-код и данные своей карты, в том числе три цифры на обороте."

Артем Кобрин и Дмитрий Корчинский, Специалисты по защите данных ПриватБанк, CIPP/E

Артем_Кобрин_Дмитрий_Корчинский.jpg

"Проверьте находитесь ли вы именно на сайте сервиса, а не на фишинговом сайте, и используйте безопасное соединение. Мы не советуем получать доступ к своим финансам с открытого и публичного Wi-Fi. Никогда и никому не сообщайте одноразовые пароли из СМС, свой пин-код и данные своей карты, в том числе три цифры на обороте."

Артем Кобрин и Дмитрий Корчинский, Специалисты по защите данных ПриватБанк, CIPP/E

Меры личной безопасности касаются и выбора сервиса для одноразового перевода денежных средств - для этого рекомендуется пользоваться только проверенными сервисами:

"Не рекомендуем использовать сервисы, которые вам передают малознакомые люди через мессенджеры, т.к. деньги с карты спишутся, но до адресата не дойдут никак."
UAPay

Вывод

В технологическом секторе можно наблюдать общий тренд усиления мер по информационной безопасности и защите персональных данных. В финтех индустрии защита данных пользователей всегда имела особое значение, но и по сегодняшний день существует ряд проблем, как например, мошенничество, фишинг и утечки данных.

Защита_данных_в_финтек_проектахIllustrations by Freepik Stories

Основной совет по решению подобных проблем для финтех-компании - это делать акцент на мерах по информационной безопасности, пользовательском интерфейсе по управлению своим данными, а также оформлением необходимой документации, которая обезопасит компанию от юридических рисков.

Пользователю сервиса же лучше хорошо изучить сервис перед его использованием, начав с публичной документации. Впрочем, ни один сервис не предоставит 100% защиты, поэтому всегда нужно помнить о простых мерах личной безопасности при проведении финансовых операций.

Контрибьюторы:

Людмила Кукуету, Юрисконсульт Trustee Wallet

Алексей Миропольский, Коммерческий директор Portmone.com

Ариф Ахмедзаде, Директор по продажам UAPAY

Артем Кобрин и Дмитрий Корчинский, Специалисты по защите данных ПриватБанк, CIPP/E

Автор интервью:

Владислав Некрутенко,
юрист в сфере защиты персональных данных (CIPP/E)

Блог Legal Nodes

Персональні дані(GDPR)
Legal Nodes запускає сервіс Data Protection Officer по підписці на Product Hunt

Ми пропонуємо новий продукт з послугами DPO, який щонаймеше у 5 разів ефективніший та дешевший, аніж наймати власного DPO у штат. Підтримайте нашу сторінку "DPO по підписці" на Product Hunt!...

Команда Legal Nodes
КІК
10 тез про податкові ризики 2021 року для українських IT компаній, зареєстрованих за кордоном

Зі вступом закону 466-IX у чинність у зоні податкового ризику опинився ІТ бізнес та стартапи, що мають зареєстровані іноземні компанії. У цій статті ти знайдеш витяг із ключових тез панельної дискусії по цій темі....

Команда Legal Nodes
Для Стартапів
Як стартапу юридично правильно запустити виробництво hardware-продукту?

Зважитися на створення свого бізнесу у сфері hardware може бути складно, розуміючи весь масив майбутньої роботи. У цій статті ти знайдеш юридичний чек-ліст того, про що потрібно подбати при запуску свого hardware виробництва....

Команда Legal Nodes
Персональні дані(GDPR)
Data Protection Officer (DPO) по підписці: як компаніям, що працюють з персональними даними, відповідати вимогам GDPR без проблем

Місячна підписка дозволяє закривати потребу у захисті персональних даних, відповідати вимогам GDPR та легко прогнозувати свої витрати на legal. Концепція "DPO по підписці" дозволяє фаундерам у першу чергу вкладати гроші в розвиток свого продукту...

Команда Legal Nodes
Для Стартапів
Юрисконсульт по підписці: як сучасному стартапу полегшити юридичну рутину

Концепція lawyer-as-a-service (юрист по підписці) дозволяє фаундеру займатися розвитком стартапу, а не юридичною рутиною, забути про дорогі юрфірми, тривалі комунікації з юристами або про необхідність наймати штатного юриста. У цій статті ми зіб...

Команда Legal Nodes
Персональні дані(GDPR)
Cookie Policy: як відстежувати роботу вашого веб-сайту, не порушуючи вимог GDPR? + шаблон Cookie Policy

Ця стаття допоможе розібратися у типових помилках при збиранні файлів cookie та заходах, які потрібні, щоб дотримуватися законів Європейського Союзу про захист даних. В кінці статті ви безкоштовно зможете отримати шаблон Cookie policy для вашого...

Команда Legal Nodes
Для Стартапів
Які юридичні документи необхідно зібрати стартапу, щоб успішно звітувати перед USF (Ukrainian Startup Fund)?

Якщо ваш стартап уже розпочав роботу із USF або лише планує брати участь у грантовій програмі, команда Legal Nodes рада поділитися з Вами кроками та шаблонами юридичних документів для успішної подачі звітності у USF. ...

Команда Legal Nodes
Загальна
Legal Nodes у 2020 році: підсумки

Незважаючи на те, що для багатьох 2020 рік тепер асоціюється лише з пандемією коронавірусу та локдауном, було б помилкою забути все хороше, що сталося у цьому році. Особливо зараз, напередодні Нового Року, коли у повітрі відчувається атмосфера п...

Команда Legal Nodes
Захист Інт. Власності
Як бізнесу захистити інтелектуальну власність: 4 рекомендації від юристів

Команда Legal Nodes вирішила розібратися в тому, які кроки потрібно обов'язково зробити бізнесу для захисту інтелектуальної власності, та підготувала 4 рекомендації підприємцям з урахуванням гучних скандалів у цій сфері...

Команда Legal Nodes