Как украинские финтех-компании защищают персональные данные своих пользователей
Команда Legal Nodes
05.08.20
інформація
Особенность финтех-компаний - это быстрый рост за счёт анализа и обработки большого количества данных об их пользователях. В то же время, финансовая история, кредитный рейтинг или KYC/AML верификация физических лиц считается персональными данными и требует защиты в соответствии с национальными и международными стандартами.
Так, например, в своём заключении о влиянии AML/KYC законов на защиту персональных данных, европейский регулятор отметил, что верификационная процедура всегда должна соответствовать законам о защите персональных данных.
В Украине сбор и обработка финансовых данных пользователей регулируется Законом Украины "О защите персональных данных". Также, финтех-компаниям нужно учитывать нормы европейского регламента GDPR, если:
- Команда, офис, лицензия или банковские счета находятся в одной из стран ЕС;
- Проект нацелен на пользователей в Европейском Союзе; или
- Проект совершает обработку платежей или данных пользователей от имени других компаний.
В этой статье мы собрали опыт и мнения четырёх ведущих украинских финтех-компаний Украины - Liqpay, UAPay, Portmone.com и Trustee Wallet - о том, как защищать персональные данные пользователей и на что при этом обращать внимание.
Защита персональных данных и безопасность в украинских финтех-компаниях
Один из ключевых принципов защиты персональных данных - это их минимизация (ст. 5 GDPR). Не стоит собирать персональные данные, если в этом нет необходимости. Где без сбора персональных данных не обойтись, их объём нужно сократить до минимума.
В разрезе кибербезопасности персональных данных (ст. 32 GDPR), речь идёт о технических и организационных мерах, нацеленных на защиту данных от утечек и мошенничества. В этом вопросе финтех-компаниям могут помочь стандарты финансовой индустрии:
"В первую очередь, я бы хотел отметить соответствие стандартам по работе с банковскими картами PCI DSS. Мы ежегодно успешно проходим ре-сертификацию у независимого авторизированного аудитора, который осуществляет проверку нашей технической пригодности, а также профпригодности сотрудников нашей компании."
UAPay
Важность стандарта PCI DSS подчёркивает и команда платёжной системы Liqpay:
"Для LiqPay актуальны все мероприятия, которые ПриватБанк проводит в отношении защиты приватность и защиты персональных данных.
Помимо прочего, LiqPay имеет сертификат Payment Card Industry Data Security Standard. Сертификат подтверждает полное соответствие системы обработки данных платежных карт банка стандартам безопасности международных платежных систем Mastercard и Visa."
LiqPay
В дополнение стоит отметить, что информационная безопасность - это не одноразовая акция. Для её обеспечения, от компаний требуется постоянный мониторинг и поиск уязвимостей их систем, которые могут привести к утечкам данных.
"Portmone.com ежеквартально сканирует свой ресурс на предмет выявления уязвимостей и проходит ежегодную проверку безопасности независимыми аудиторами в офисе компании."
Portmone.com
Для систематического подхода к требованиям понадобится настройка внутренних процессов компании. В этом может помочь специальное ПО для учёта данных и мер по их защите, а также создание отдельного департамента по защите данных для более зрелых проектов:
"У нас есть своя внутренняя система ПО для координации работы. Сейчас стоит вопрос о внедрении специального ПО, которое позволит более качественно управлять потоками данных и запросами.
В ПриватБанке также есть управление по защите персональных данных, которое состоит из трёх сертифицированных специалистов и занимается в том числе вопросами работы Liqpay. Функцию DPO выполняет руководитель Управления."
LiqPay
Для повышения уровня безопасности, финтех-компании могут создавать специальный anti-fraud департамент, который будет заниматься исключительно мониторингом транзакций. Мониторинг также должен осуществляться в соответствии с требованиями по защите персональных данных:
На что обратить внимание, чтобы убедиться, что финтех-компания защищает данные пользователей
То, в чём сошлись все опрашиваемые представители украинской финтех-индустрии - нужно хорошо изучить сервис перед его подключением:
Первоочередный пункт для анализа - это публичная документация:
"Обязательно ознакомьтесь с публичными документами [а именно - Privacy Policy] сервиса, которым собираетесь пользоваться.
Обратите внимание на объем и цели сбора информации, порядок и сроки хранения, наличие у сервиса ответственного за защиту информации лица - Data protection officer."
Рекомендуется оценить и техническую составляющую сервиса - какие технологии используются для защиты от мошенничества, где хранятся данные пользователей и каким образом они защищаются от утечек:
"С технической стороны рекомендуем проверять сайт сервиса на применение технологии 3-D Secure, наличие сертификата о соответствии стандартам PСI DSS, смотреть какие протоколы шифрования используются и на каком сервере хранится информация."
Дополнительную гарантию защиты может предоставить пользование безопасными криптовалютами, которые позволяют проводить транзакции без централизованного посредника:
"При этом, советуем применять некастодиальные сервисы, которые вообще не имеют доступа к данным пользователя. Примером такого продукта и есть Trustee Wallet."
Trustee Wallet
Есть и ряд простых советов, о которых следует помнить уже при использовании сервиса:
Меры личной безопасности касаются и выбора сервиса для одноразового перевода денежных средств - для этого рекомендуется пользоваться только проверенными сервисами:
"Не рекомендуем использовать сервисы, которые вам передают малознакомые люди через мессенджеры, т.к. деньги с карты спишутся, но до адресата не дойдут никак."
UAPay
Вывод
В технологическом секторе можно наблюдать общий тренд усиления мер по информационной безопасности и защите персональных данных. В финтех индустрии защита данных пользователей всегда имела особое значение, но и по сегодняшний день существует ряд проблем, как например, мошенничество, фишинг и утечки данных.
Illustrations by Freepik Stories
Основной совет по решению подобных проблем для финтех-компании - это делать акцент на мерах по информационной безопасности, пользовательском интерфейсе по управлению своим данными, а также оформлением необходимой документации, которая обезопасит компанию от юридических рисков.
Пользователю сервиса же лучше хорошо изучить сервис перед его использованием, начав с публичной документации. Впрочем, ни один сервис не предоставит 100% защиты, поэтому всегда нужно помнить о простых мерах личной безопасности при проведении финансовых операций.
Контрибьюторы:
Людмила Кукуету, Юрисконсульт Trustee Wallet
Алексей Миропольский, Коммерческий директор Portmone.com
Ариф Ахмедзаде, Директор по продажам UAPAY
Артем Кобрин и Дмитрий Корчинский, Специалисты по защите данных ПриватБанк, CIPP/E
Автор интервью:
Владислав Некрутенко,
юрист в сфере защиты персональных данных (CIPP/E)