| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
timochev
Эксперт
Вступление в Клуб: 02.07.2007
|
 Пт Май 27, 2011 09:23 Приложение «Администрирование персональных данных» |
 |
Полезность: Нет оценки
|
http://soft.cft.ru/platforms/catalog/Pages/administration.aspx
Есть, кто использует?
Реализация мне показалась абсолютно недостаточной, чтобы говорить о надежной защите персональных данных.
Особенно меня и нашу ИБ напрягает наличие представлений со списками клиентов-ФЛ, в которых пользователям предлагается самостоятельно фильтровать данные. Эти представления используются для регистрации новых договоров, создания платежных документов, переводов без открытия счета, валютообменных операций и т.д.
Таким образом, пользователь получает неограниченный доступ к данным, которые ему не требуются. В локальных доработках мы придерживаемся принципа выбора клиента из базы ФЛ только после ввода определенного списка обязательных идентификационных данных. Коллеги, как относитесь к этой проблеме? |
|
 |
Gagana
Участник - экстремал
Вступление в Клуб: 05.06.2008
|
| Пт Май 27, 2011 18:48 |
|
Полезность: Нет оценки
|
К какой проблеме?  К тому, что вы усложняете жизнь пользователям ненужной паранойей?  |
|
|
timochev
Эксперт
Вступление в Клуб: 02.07.2007
|
| Пн Май 30, 2011 07:54 |
|
Полезность: Нет оценки
|
| Gagana пишет: | | К какой проблеме? К тому, что вы усложняете жизнь пользователям ненужной паранойей? |
Вообще-то это требование ФЗ и Стандартов ЦБ.
Возможно, паранойя развилась именно на их базе. |
|
|
Gagana
Участник - экстремал
Вступление в Клуб: 05.06.2008
|
| Пн Фев 13, 2012 12:53 |
|
Полезность: Нет оценки
|
| timochev пишет: | | Gagana пишет: | | К какой проблеме? К тому, что вы усложняете жизнь пользователям ненужной паранойей? |
Вообще-то это требование ФЗ и Стандартов ЦБ.
Возможно, паранойя развилась именно на их базе. |
А в каком стандарте ЦБ говорится о "выбора клиента из базы ФЛ только после ввода определенного списка обязательных идентификационных данных"? |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 14:05 |
|
Полезность: Нет оценки
|
| Федеральный закон № 152-ФЗ |
|
|
vtar
Эксперт
Вступление в Клуб: 20.03.2009
|
| Пн Фев 13, 2012 14:13 |
|
Полезность: Нет оценки
|
| IBSO пишет: | | Федеральный закон № 152-ФЗ |
Можно ткнуть цитату - бестолковый vtar прочел закон и не увидел. |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 14:18 |
|
Полезность: Нет оценки
|
| так надо не видеть, а понимать |
|
|
vtar
Эксперт
Вступление в Клуб: 20.03.2009
|
| Пн Фев 13, 2012 14:21 |
|
Полезность: Нет оценки
|
| на основании каких подпунктов/статей закона сделан вывод ? |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 15:11 |
|
Полезность: Нет оценки
|
Ну например, как обеспечить:
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
Т.е. если оператор может в любое время увидеть любые ПД, то он может и распространить их. Если же он может видеть ПД только с согласия лица, то хоть как то в системе можно будет отследить какой оператор эти данные затребовал и с него спросить, если произойдет утечка. |
|
|
Gagana
Участник - экстремал
Вступление в Клуб: 05.06.2008
|
| Пн Фев 13, 2012 15:16 |
|
Полезность: Нет оценки
|
Не нужно хранить и обрабатывать данные в системе без согласия субъекта, кстати, это да. Не нужно всем давать доступ ко всей базе физлиц в полном объеме. Это да. Кто бы спорил?
А где там про "выбор клиента из базы ФЛ только после ввода определенного списка обязательных идентификационных данных"? |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 15:22 |
|
Полезность: Нет оценки
|
| Это просто локальное решение для обеспечения конфиденциальности. Реализация закона возможна самостоятельными решениями. |
|
|
Gagana
Участник - экстремал
Вступление в Клуб: 05.06.2008
|
| Пн Фев 13, 2012 15:37 |
|
Полезность: Нет оценки
|
| IBSO пишет: | | Это просто локальное решение для обеспечения конфиденциальности. Реализация закона возможна самостоятельными решениями. |
Именно. Прекрасный пример локального извращения, простите за прямоту. Если безопасникам дать организовывать доступ в клиентский зал, то клиенты туда будут заходить в специальной одежде, как в операционную, только еще через рентген, анализатор запахов и после проверки на полиграфе. Зато безопасно. Если, конечно, за каждым будет автоматчик стоять еще на готове.
Кстати, по СТО БР получалось, что ИБСО - вовсе не система, предназначенная для обработки персональных данных, если я правильно помню. Была такая лазейка. Ее нам в свое время информационный безопасник принес с семинара ЦБ-шного. Но, не берусь быть экспертом в этом вопросе. |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 15:46 |
|
Полезность: Нет оценки
|
| Ну пусть ЦФТ обеспечит неизвращенный вариант и бесплатно, раз это закон. Мы будем только в ладоши хлопать. |
|
|
Gagana
Участник - экстремал
Вступление в Клуб: 05.06.2008
|
| Пн Фев 13, 2012 15:50 |
|
Полезность: Нет оценки
|
| IBSO пишет: | | Ну пусть ЦФТ обеспечит неизвращенный вариант и бесплатно, раз это закон. Мы будем только в ладоши хлопать. |
Я не уверен, что ЦФТ обещает бесплатно поддерживать соответствие функционала Системы всем требованиям регуляторов. И что конкретно в данном случае было нужно от ЦФТ? Система должна сама брать с клиента разрешение на обработку ПД, что ли? |
|
|
IBSO
Профи
Вступление в Клуб: 20.08.2009
|
| Пн Фев 13, 2012 16:01 |
|
Полезность: Нет оценки
|
| м.да...от требований вы далеки...аналитика никакая... |
|
|
|
О проекте
Поиск
Отзывы
Регистрация
Вход
