Как украинский финтех сближается с GDPR: первый опыт на примере moneyveo

В Европе внедрен новый тренд в сфере защиты персональных данных — GDPR. Полноценно его стандарты на территории ЕС заработали в мае 2018 года. Украина заявила о том, что идет в Европу, а значит, согласно взятым на себя обязательствам, также будет внедрять GDPR.

Пока что мы на подготовительном этапе. Сейчас у нас разрабатывается новый проект закона о защите персональных данных, который должен соответствовать нормам GDPR. Согласно плану, внедрение новых стандартов защиты ПД является приоритетным и должно быть имплементировано до 2022 года.

Однако некоторые отечественные компании опережают неповоротливую государственную машину и по собственной инициативе внедряют протоколы GDPR в работу. Особенно в этом сегменте активен IT-бизнес. Опытом и первыми результатами внедрения и сближения с GDPR поделились во время круглого стола «Защита персональных данных при проведении финансовых операций» представители moneyveo, Lattelecom, Vodafone Украина и ряд других компаний.

Как украинским компаниям подойти к внедрению директив GDPR — деталями стратегии поделилась СЕО moneyveo Алена Андроникова.

«Проанализировав все требования GDPR (34 принципа), мы определили 26 пунктов, применимых для нашего рынка. Из них 7 уже внедрены в работу нашей компании. Из оставшихся 19 — три принципа уже сейчас имплементируются в работу. Мы готовы делиться своими наработками с регулятором», — заявила Алена Андроникова.

По ее словам, внедрение GDPR требует огромных инвестиций не только в инфраструктуру, но и в службу безопасности, что может оказаться не по карману небольшим компаниям. Но это необходимое условие для оптимального уровня защиты персональной информации.

«У нас детально разработана политика и надежные процедуры хранения персональных данных. Особенно в этом процессе нам поспособствовал PCI DSS (международный стандарт безопасности данных при работе с платежными картами, — ред.). Компания в этом году завершила очередной аудит, и мы получили первый уровень (самый высокий уровень защиты данных, защита от утечек и т. д.)», — прокомментировала ситуацию Алена Андроникова.

В moneyveo, с ее слов, имплементированы процессы отраслевых стандартов безопасности ко всем информационным системам и процессам в компании.

Так, для защиты персональных данных клиента в компании внедрили систему Siem system Splank (для анализа событий) и Observе IT (для предотвращения утечки ПД).

«Также для шифрования персональных данных мы используем систему Bitlocker, в которую попадают данные карточные и на рабочих станциях. ЭЦП лежат в защищенных носителях в eToken. А для хранения паролей от разных систем в зашифрованном виде используем Keypass», — добавила Алена Андроникова, комментируя современные технологии защиты ПД в moneyveo.

Важность безопасности ПД подчеркнул руководитель проектов по защите данных Lattelecom Дайнис Лукашевич. Он уверен: самый ценный ресурс в мире — это уже не нефть, а информация. Защита данных становится первоочерёдной проблемой, так же, как и угроза ее потери.

«Сегодня во всем мире кибератаки выходят на первое место по рискам для компаний. Если 5 лет назад они даже не входили в пятерку основных угроз, то сегодня возглавляют этот список», — заявил Дайнис Лукашевич.

Как пояснил руководитель проектов по защите данных Lattelecom, основные изменения обработки и хранения персональных данных, которые вводит GDPR, объединяют три пункта:

1. Субъект данных имеет более широкое право на информацию (компании должны предоставлять данные пользователю о целях сбора информации);

2. Новая документация и необходимость регистрации внутренней обработки данных;

3. Обязательство сообщать о нарушениях в течение 72 часов (в случае утечки данных или попытки взлома ресурсов, компания должна сообщить об этом местному регулятору в установленные сроки).

В свою очередь замначальника управления безопасности информации Департамента безопасности НБУ Роман Проскуровский во время круглого стола отметил высокие риски и запоздалую реакцию со стороны государства на необходимость повышения уровня защиты персональных данных.

«Вопрос киберзащиты и защиты информации для финансового сектора остро актуализировался еще в 2017 году. Но в Украине этой проблемой активно начали заниматься лишь после того, как в ЕС вступил в силу GDPR, а точнее — после штрафов, которые получили компании, нарушившие директиву. Нам нужно было об этом подумать еще в 2016 году, когда в ЕС приняли целый ряд директив по усилению мер кибербезопасности, защиты критической инфраструктуры, идентификации, защиты в платежных системах, которые требуют соответствующих времени и усилий (подготовка заняла 10 лет, имплементация — 2 года) для комплексного подхода к защите данных», — заявил Роман Проскуровский.

Участники круглого стола отметили, что сегодня разрабатывается новый проект закона о защите персональных данных, который должен соответствовать нормам GDPR. Полная имплементация должна быть проведена до 2022 года. Она включает в себя принятие закона, подзаконных актов и создание рабочей системы по защите данных (включая регуляторов, контролеров, органы оценки соответствия и все предусмотренные институции по GDPR).

Новый законопроект предусматривает существенное ужесточение контроля за сохранностью и обработкой персональных данных. Поэтому у отечественных представителей финансового рынка остается не так много времени для консолидированных предложений по программе и готовности выполнять ее пункты до того, как этот законопроект будет вынесен на голосование в парламент.