Компании должны быть сами заинтересованы защитить данные свои и клиента

Вопрос защиты данных является одним из самых важных на любом предприятии. С принятием закона «О защите персональных данных» этот вопрос стал еще более острым для бизнеса. Сегодня он активно обсуждается чиновниками, юристами и участниками рынка. Свой взгляд на проблему защиты данных высказал председатель совета Федерации работодателей города Киева, глава корпорации «Ukrainian Business Group» (UBG) Руслан Демчак. - В UBG входит процессинговий центр «Украинская Финансовая Сеть», специализирующийся на процессинге платежных карт международных платежных систем VISA, MasterCard, American Express. Каким образом вы осуществляете защиту информации? - Конечно же, процессинговый центр требует защиты данных, без которой просто не может существовать. У нас защита основывается на международных стандартах, поскольку процессинговый центр является третьим лицом (Third Party Processor, ТРР – ред.) в международной платёжной системе Visa International, а также Member Service Provider в международной платежной системе MasterCard. В данном случае такие платежные системы как Visa и MasterCard выставляют свои требования. Это не только защита помещения и самого сервера, но также системы передачи данных, кодирование при передаче и приеме информации. Процессинговый центр - одна из первых украинских компаний, сертифицированных в соответствии со стандартами защиты информации PCI DSS в индустрии платежных карт. - Должна ли существовать такая сертификация для украинских ІТ-компаний? - Я считаю, что для ІТ-бизнеса, особенно в отношении платежных систем, обязательным условием должна быть сертификация систем защиты данных. Сейчас очень популярны интернет-платежные системы, ІТ-платежные системы, которые, к сожалению, не защищают персональные данные. И здесь приходится уже самим банкам отслеживать операции и многие из них блокировать. По статистике порядка 30% оплат в Интернете через кредитные карточки оказываются затем отмененными. Это очень высокий процент. Если в торговых сетях это десятые доли процента, то такой высокий процент в Интернете говорит об откровенном мошенничестве с интернет-платежами. Что касается таких интернет-платежных систем, то они действительно требуют дополнительной сертификации, так как ее отсутствие может нарушить систему платежей, чем непременно воспользуются многие мошенники. - По Вашему мнению, такая сертификация в Украине должна быть предусмотрена законом «О защите персональных данных»? - Это не касается данного закона и исключительно защиты персональных данных. Речь идет о защите более комплексной, в том числе и персональных данных карт. Те торговые площадки, которые свою репутацию сразу строят верно, находят инструментарий для того, чтобы эти персональные данные хранить. Если, например, человек покупал где-то какой-то чайник по Интернету и потом с его карточки снимут где-либо деньги, это говорит об утечке информации там, где покупали чайник. В результате у этой фирмы может быть рекламация. «Клиент голосует ногами», как говорится. Он просто больше ничего не будет покупать на этой интернет-площадке, потому что она не гарантирует защиту его персональных данных. Это рынок. Это конкуренция. И компании должны быть сами заинтересованы защитить данные клиента. Поэтому многие из них работают с персоналом, создают определенные процедуры внутри компании, чтобы такого не было. Что касается нормативных актов, я считаю, что здесь действительно должны быть законодательно прописаны санкции для того, чтобы человек мог, как в приведенном примере подать в суд и реально получить компенсацию. Ну как минимум получить свои деньги и затраты на суд. То есть нормативный законодательный акт должен давать возможность отстоять физически свое право. - По данному закону любой гражданин может подать жалобу в контролирующий орган, а тот, в случае выявления факта нарушения, составляет протокол и передает в суд. Вы считаете такую систему не эффективной? - Я считаю, что физическое лицо должно обращаться в суд. Зачем создавать дополнительную структуру, которая будет финансироваться из бюджета? Взять, для примера, зарплаты инспекторов, которые будут ходить и проверять. Это все ложится на бюджет. То есть КПД будет маленьким. - Как быть человеку, когда у него нет реальных доказательств, что именно в этом интернет-магазине произошла утечка? - Нужно создать нормативную базу для доказательной базы, а не создавать службу контроля. Мы будем контролировать 100 предприятий, а реально утечка может быть на одном. То есть, необходимо сконцентрировать свое внимание на одном, а не на 99. Еще раз повторюсь, очень низкое КПД такой деятельности. Чиновник будет делать формальные действия, даже мучить предпринимателей своим присутствием. Предприниматели заинтересованы в том, чтобы их меньше регулировали, а лучше, чтобы вообще не замечали - мы все сделаем сами. Этот закон не является рыночным. Он не саморегулируемый. Я считаю, что он должен установить процедуру доказательной базы и человек сам, как контролер (не надо создавать лишних контролеров), в случае нарушения его прав, подаст в суд. И чтобы он, ссылаясь на этот закон, мог легко доказать нарушение. - Каким образом, на Ваш взгляд, должна осуществляться саморегуляция на предприятии? - Во-первых, нужно начать с заинтересованных лиц. Кто заинтересован хранить базу данных? Если предприятие заинтересовано хранить базу данных, то оно должно быть инициатором создания процедур защиты. То есть, не государство должно обязывать, а сам бизнес. К примеру, сегодня никто не застрахован от движения персонала от одной фирмы к конкурентам. Особенно вопрос сохранения клиентской базы становиться острым в компаниях, где много клиентов. Поэтому мы прорабатывали разные варианты защиты клиентской информации. Один из вариантов было создание, так называемого «Тонкого рабочего места». «Тонкое рабочее место» - это когда у работника есть только клавиатура и экран, присоединенные к центральному серверу. То есть, рабочее место без системного блока, где нет «USB-шок», где нет CD-ROM, и соответственно, работник не может скачать эту информацию. Но впоследствии опыт показал, что это все равно не обеспечивает защиту. Если человек захочет, то он может, например, договориться с ІТ-ишниками. То есть прописать это не реально. Технологии двигаются слишком быстро. В данном случае, мне кажется, эффективнее будет построение внутренней корпоративной культуры, которая бы отвечала задачам компании. Чтобы информацию не скачивали и впоследствии не реализовали. Ведь жестко контролировать это невозможно. Источник: www.itstrateg.net