Финансовые институты
Наши клиенты |
||
 |
 |
 |
 |
 |
 |
Практически в каждой стране существуют специализированные нормативные акты, область действия которых распространяется на компании, работающие в финансовом секторе экономики. Наибольшие трудности испытывают крупные организации, ведущие операции на рынках нескольких стран. В этом случае бизнесу приходится иметь дело с требованиями целого ряда законов, в частности:
- Basel II (Basel Capital Accord) . Согласно пункту 644 соглашения Basel II, операционный риск определяется как «риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий».
- SOX (Sarbanes- Oxley) . Этот нормативный акт определяет требования к документообороту и финансовой отчетности компаний, закрепляет персональную ответственность финансовых и генеральных директоров предприятия, а также вводит процедуру регулярного независимого аудита. Данный закон регулирует деятельность компаний, торгующихся на Нью-Йоркской бирже, но практически в каждой стране мира есть его аналоги: Financial Security Law of France ("Loi sur la Sécurité Financière") во Франции, L262/2005 ("Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari" в Италии и т. п.,
- стандарт Payment Card Industry Data Security Standard (PCI DSS) представляет собой требования по защите информации, разработанные и принятые в январе 2005 года международными платежными системами Visa и MasterCard. К участникам платежных систем, разработавших стандарт, за несоблюдение обязательных требований по безопасности могут быть применены санкции в размере до 100 тысяч долларов США за каждый месяц несоответствия PCI DSS.
Помимо специализированных регулирующих актов на деятельность компаний, работающих в финансовом секторе, оказывают сильное влияние законы, касающиеся контроля над использованием персональных данных. Наряду со страховыми компаниями и медицинскими учреждениями, финансовые учреждения, и, в частности, банки, аккумулируют и ежедневно используют огромное количество данных такого характера. Как видно из таблицы ниже, основной целью данных регламентирующих актов является предотвращение несанкционированного распространения персональных данных.
| Нормативный акт | Требования | |
| Data Protection Directive (Евросоюз) | Статья 17 секция VIII глава 2: «Персональные данные [должны быть] защищены разумными средствами безопасности от таких угроз, как утрата или неавторизованный доступ, разрушение, использование, модификация или утечка». | |
| Data Protection Act (Великобритания) |
Приложение 1, часть 1, принцип 7: Каждая организация должна «принимать разумные технические и организационные меры против неавторизованной или незаконной обработки и случайной потери персональных данных или их уничтожения или повреждения». Приложение 1, часть 2, пункт 9: Каждая организация должна реализовать разумные технические меры, чтобы предотвратить ущерб своих клиентов в результате неавторизованной или незаконной обработки персональных данных, а также их потери, уничтожения или повреждения. Вдобавок, каждая организация должна сделать разумные шаги, чтобы обеспечить надежность любого служащего, имеющего доступ к персональным данным». | |
Для чего ещё финансовой организации нужно защищать персональные данные, за исключением требований законов, неисполнение которых влечет за собой ответственность, вплоть до уголовной?
Люди очень ревниво относятся в передаче и разглашению своей личной информации. Следовательно, наличие защиты ПД даст предприятию в глазах его клиентов определенные конкурентные преимущества. Персональные данные клиентов и работников компании могут быть использованы конкурентами для недобросовестной конкуренции или мошенниками для мошенничества.
Наконец, утечка персональных данных, если о ней станет известно, может нанести значительный ущерб деловой репутации организации.
Ниже приведены типы конфиденциальных данных типичных для банковского сектора:
- Информация о состоянии банковского счета
- Информация об операциях по банковскому счету
- Другие сведения, составляющие банковскую тайну
- Информация о данных пластиковых платежных карт
- Маркетинговая информация на стадии разработки
Помимо вышеперечисленных типов информации, которые банки должны защищать, исходя из специфики осуществляемой ими деятельности, существуют также определённый перечень документов, который может относиться к категории «конфиденциально», как-то:
- Реестр держателей акций
- Персональные данные акционеров
- Финансовую и бухгалтерскую информацию
- Документы стратегического развития
- Прогнозы по развитию бизнеса
- Аналитику по рынкам, в том числе – приобретенную
- Внутренние документы конкурентного анализа
- Внутренние правила обработки клиентских обращений
- Протоколы собраний и совещаний
- Внутренние приказы и распоряжения
- Материалы кадрового делопроизводства
- Персональные данные сотрудников
- Списки внутренних телефонов и электронных адресов сотрудников
- Должностные инструкции по отдельным подразделениям
- Описание мотивационных схем персонала
- Договоры с поставщиками
- Данные из системы по работе с клиентами
- Шаблоны договоров и отчетов (например для юридических и аудиторских компаний)
- Проектные данные (схемы, чертежи, расчеты, планы работ)
- Отчеты о реализации проектов
- Отчеты по контролю качества
- Схемы внутренних бизнес-процессов
- Схемы информационных потоков и коммуникаций
- Архитектуру информационной системы
В этом списке перечислены наиболее типичные для большинства организаций типы конфиденциальной информации, компрометация или хищение которой может обратиться для бизнеса как прямыми так и косвенными убытками. Для защиты организации от такого рода рисков, ведущие российские банки внедряют системы комплексной защиты информации от внутренних угроз (См. Решения). Для того, чтобы получить более полное представления о том, как наши решения могут защитить информацию в вашей финансовой структуры, свяжитесь с нами по телефонам и/или email, указанным здесь.