Як український фінтех зближується з GDPR: перший досвід на прикладі moneyveo

11 червня 2019, 13:28
Позиція
В Європі впроваджений новий тренд в сфері захисту персональних даних — GDPR (Фото:moneyveo)

В Європі впроваджений новий тренд в сфері захисту персональних даних — GDPR (Фото:moneyveo)

В Європі впровадили новий тренд у сфері захисту персональних даних GDPR. Повноцінно його стандарти на території ЄС запрацювали в травні 2018 року. Україна заявила про те, що йде в Європу, а отже, відповідно до взятих на себе зобов’язань, також буде впроваджувати GDPR.

Відео дня

Поки що ми на підготовчому етапі. Зараз у нас розробляється новий проект закону про захист персональних даних, який повинен відповідати нормам GDPR. Згідно з планом, впровадження нових стандартів захисту ПД є пріоритетним і має бути імплементовано до 2022 року.

Однак деякі вітчизняні компанії випереджають неповоротку державну машину і за власною ініціативою впроваджують протоколи GDPR в роботу. Особливо в цьому сегменті активний IT-бізнес. Досвідом і першими результатами впровадження і зближення з GDPR поділилися під час круглого столу «Захист персональних даних при проведенні фінансових операцій» представники moneyveo, Lattelecom, Vodafone Україна і кілька інших компаній.

Liga.net
Фото: Liga.net

Як українським компаніям підійти до впровадження директив GDPR деталями стратегії поділилася СЕО moneyveo Альона Андронікова.

«Проаналізувавши всі вимоги GDPR (34 принципи), ми визначили 26 пунктів, які можна застосувати для нашого ринку. З них 7 вже впроваджено в роботу нашої компанії. З решти 19 три принципи вже зараз імплементуються в роботу. Ми готові ділитися своїми напрацюваннями з регулятором», заявила Альона Андронікова.

За її словами, впровадження GDPR вимагає величезних інвестицій не тільки в інфраструктуру, а й у службу безпеки, що може виявитися не по кишені невеликим компаніям. Але це необхідна умова для оптимального рівня захисту персональної інформації.

Liga.net
Фото: Liga.net

«У нас детально розроблена політика і надійні процедури зберігання персональних даних. Особливо в цьому процесі нам посприяв PCI DSS (міжнародний стандарт безпеки даних при роботі з платіжними картками, ред.). Компанія цього року завершила черговий аудит, і ми отримали перший рівень (найвищий рівень захисту даних, захист від витоків тощо)», прокоментувала ситуацію Альона Андронікова.

У moneyveo, за її словами, імплементували процеси галузевих стандартів безпеки до всіх інформаційних систем і процесів у компанії.

Так, для захисту персональних даних клієнта у компанії впровадили систему Siem system Splank (для аналізу подій) і Observе IT (для запобігання витоку ПД).

Liga.net
Фото: Liga.net

«Також для шифрування персональних даних ми використовуємо систему Bitlocker, в яку потрапляють дані карткові і на робочих станціях. ЕЦП лежать у захищених носіях в eToken. А для зберігання паролів від різних систем у зашифрованому вигляді використовуємо Keypass», додала Альона Андронікова, коментуючи сучасні технології захисту ПД у moneyveo.

poster
Дайджест головних новин
Безкоштовна email-розсилка лише відбірних матеріалів від редакторів NV
Розсилка відправляється з понеділка по п'ятницю

На важливості безпеки ПД наголосив керівник проектів із захисту даних Lattelecom Дайніс Лукашевич. Він упевнений: найцінніший ресурс у світі це вже не нафта, а інформація. Захист даних стає першочерговою проблемою, так само, як і загроза її втрати.

«Сьогодні у всьому світі кібератаки виходять на перше місце за ризиками для компаній. Якщо 5 років тому вони навіть не входили до п’ятірки основних загроз, то сьогодні очолюють цей список», — заявив Дайніс Лукашевич.

«Найцінніший ресурс в світі — це вже не нафта, а інформація. Захист даних стає першочерговою проблемою, так само, як і загроза її втрати», — підкреслив керівник проектів із захисту даних Lattelecom Дайніс Лукашевич.

Як пояснив керівник проектів із захисту даних Lattelecom, основні зміни оброблення і зберігання персональних даних, які вводить GDPR, об'єднують три пункти:

1. Суб'єкт даних має ширше право на інформацію (компанії повинні надавати дані користувачеві про цілі збору інформації);

2. Нова документація і необхідність реєстрації внутрішньої обробки даних;

3. Зобов’язання повідомляти про порушення протягом 72 годин разі витоку даних або спроби злому ресурсів, компанія повинна повідомити про це місцевому регулятору у встановлені терміни).

Liga.net
Фото: Liga.net

Зі свого боку заступник начальника управління безпеки інформації Департаменту безпеки НБУ Роман Проскуровський під час круглого столу відзначив високі ризики і запізнілу реакцію з боку держави на необхідність підвищення рівня захисту персональних даних.

«Питання кіберзахисту і захисту інформації для фінансового сектора гостро актуалізувалося ще в 2017 році. Але в Україні цією проблемою активно почали займатися лише після того, як в ЄС набув чинності GDPR, а точніше після штрафів, які отримали компанії, що порушили директиву. Нам потрібно було про це подумати ще в 2016 році, коли в ЄС прийняли цілу низку директив щодо посилення заходів кібербезпеки, захисту критичної інфраструктури, ідентифікації, захисту в платіжних системах, які потребують необхідних часу і зусиль (підготовка зайняла 10 років, імплементація 2 роки) для комплексного підходу до захисту даних», заявив Роман Проскуровський.

Учасники круглого столу зазначили, що сьогодні розробляється новий проект закону про захист персональних даних, який повинен відповідати нормам GDPR. Повна імплементація має бути проведена до 2022 року. Вона включає в себе ухвалення закону, підзаконних актів і створення робочої системи щодо захисту даних (включно з регуляторами, контролерами, органами оцінювання відповідності та всіма передбаченими інституціями щодо GDPR).

Новий законопроект передбачає істотне посилення контролю за збереженням і обробкою персональних даних. Тому у вітчизняних представників фінансового ринку залишається не так багато часу для консолідованих пропозицій щодо програми і готовності виконувати її пункти до того, як цей законопроект буде винесено на голосування в парламент.

Показати ще новини
Радіо NV
X