среда, 27 ноября 2013 г.

Блокировка субъекта ПДн

В очередной раз перечитываю святое писание на тему 152-ФЗ и обратил внимание на п.1 ст.14. Цитирую:

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Следовательно, в любой момент времени можно получить заявление от клиента со словами «А заблокируйте мои персональные данные тчк». Выношу на обсуждение вопрос о том, что же такое заблокировать ПДн? Возможные варианты:
·         удалить
·         заархивировать
·         перевести все продукты клиента в неактивный статус
·         заблокировать банковскую карту, вход в Интернет банк и др.

Понятие блокирование входит в термин «обработка», т.к. является временным прекращением таковой. Если клиент предоставил неверные или неполные ПДн, оператор должен заблокировать клиентские учетные записи в своих системах. По этой логике сразу напрашивается следующий трюк. Клиентом берется кредит и вдогонку пишется заявление на блокирование ПДн. Банк теоретически переводит в неактивный статус клиента в своей кредитной системе и клиента перестают донимать вышибалы-коллекторы.

Вопрос к аудитории: что вы будете делать, и как будете отвечать клиенту, если к вам завтра придет подобное заявление?

вторник, 26 ноября 2013 г.

Про отмену платежа


С 01 января 2014 вступают в действие в т.ч. следующие «чудесные» пункты Статьи 9 из 161-ФЗ:

11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.

13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.

Упрощаю для понимания эти пункты:

11. При потере карты или при левом платеже нужно не позднее суток сообщить в банк.

12. После этого банк, безусловно, обязан вернуть деньги.

13. Если банк не отправил SMS о левом платеже (а не что она не пришла!), банк также обязан вернуть деньги.

Итак, клиент при утере своего средства платежа, например, банковской карты должен незамедлительно уведомить об этом кредитную организацию. Ниже в таблице я зарисовал текущую ситуацию о лимитах на дебетовые карты банка Тинькофф, чей продукт я в т.ч. использую. Из условий видно, что карты «заточены» на проведение операций в торгово-сервисной сети. Во-первых, при таких операциях не требуется ввод PIN-кода, а во-вторых, за покупки всегда возвращается минимум 1% (cash back).

Операция
Меры ИБ
Лимиты
 
1
 
Снятие наличных в банкомате
PIN-код
Суточный
Месячный (общий)
 
2
 
Оплата в торгово-сервисной сети
Только контроль
(SMS-оповещение)
-
 
3
 
Оплата через Интернет (без присутствия карты)
а) On / Off
или
б) CVV или CVV + 3D-Secure
Суточный
-
 
4
 
Выполнение платежей или переводов в Интернет-банке
а) Пароль + SMS-код
далее
б) SMS-пароль или шаблон
-
-

Конечно, для безопасной и прогнозируемой оплаты стоит предположить стандартные компенсационные меры:

- постоянно отслеживать и отодвигать «вправо» месячный лимит перед совершением или планированием покупок.

- чаще пользоваться точками, в терминалах которых реализована функция PayPass / payWave.

- держать карту в заблокированном состоянии (там, где это возможно).

Если при утере карты ей воспользуется злоумышленник, он сможет только провести торгово-сервисную операцию, по результатам которой клиент должен получить SMS с содержанием и суммой операции. После этого клиент незамедлительно должен начать бить тревогу – блокировать карту. А если мобильный телефон недоступен или SMS приходят с хорошим запозданием, что стало уже почти традицией и не только в Москве? В этом случае самое главное уведомить об этом банк в течение суток, и он будет обязан вернуть вам пропавшие деньги. Далее можно ожидать от банка регрессный иск, но вначале клиент всё же получит возврат своих денег.

воскресенье, 17 ноября 2013 г.

Про Яндекс.Деньги

Мимоходом столкнулся с сервисом Яндекс.Деньги когда искал способ перебросить деньги со Сбербанка на Киви-кошелек, что напрямую сделать невозможно. Весьма странно входить в платежную систему, через социальные сети ВКонтакте или Одноклассники. Поэтому и вводится понятие платежного пароля.
Мне пришлось разориться на 1 рубль в их пользу, чтобы немного протестировать сервис. Количество ошибок в web-формах или просто ошибок меня удивило - я давно не встречал ничего подобного. Как я и предположил деньги со счета невозможно законно вывести без комиссии. Читаю Соглашение: «5.6.2. НКО вправе взимать вознаграждение за осуществление перевода денежных средств при возврате остатка Электронных денег». Единственный способ обналичивания, который советует интернет это организовать точку пополнения сотовых телефонов, брать с народа наличные и перегонять собственные деньги от них к операторам связи.
Из позитивного обратил внимание на целых 5 способов подтверждений платежей либо важных настроек в интерфейсе:
1. платежный пароль (не должен совпадать с паролем на вход)
2. SMS-пароль (всё как обычно)
3. пароль из JPG-таблицы
4. пароль из аппаратного токена в виде карточки (уже не продается)
5. аварийный пароль из списка в 25 шт. вида D183E0GA3F, если утеряны, сломаны или недоступны телефон, JPG-файл или токен.
Следующий по важности вопрос - как удалить созданный кошелек? Прямого ответа на этот вопрос, видимо, нет, можно только удалить полностью свой профиль…

среда, 13 ноября 2013 г.

Долой SMS?

Три оператора (красный, желтый и зеленый), наверное, как сговорившись, решили повысить цены на SMS для банков под видом того, что последние рассылают много спама. Идея хорошая, но если начать анализировать глубже, то легко придти к выводу, что они сами и способствуют этому: предоставляют канал связи и получают деньги за его наполнение.
Надо признать, что SMS в последнее время стали самым удобным вторым фактором аутентификации, а также способом подтверждения действий клиента. Сейчас SMS-информирование у банков стоит 30-50 рублей в месяц. Рыночную монополию экономику никто не отменял, поэтому грех бы не повысить цены?
Телефон всегда у всех под рукой, достаточно посмотреть, как каждый второй всю поездку на транспорте «тычется» в него. Какие альтернативы могут быть у банков? Экспресс поиском легко ищется, что криптокалькуляторы есть у нескольких ведущих банков: Номос-банк, Московский индустриальный банк, Россельхозбанк, банк Возрождение. Предложений OTP-токенов еще больше, например: банк Уралсиб, СДМ-банк, Москомбанк, Новый Московский банк и многих-многих других. Если посмотреть прайс от Аладдина, то увидим, что, например, eToken PASS продается по 700 руб. Понятно, что при массовых закупках этот ценник станет в разы ниже. Банки могут его даже дарить клиентам, скажем, открывшим свой первый вклад на определенных условиях. Недостаток лишь в том, что клиентам придется всегда таскать с собой этот брелок.
Можно даже написать программные ОТП-токены под любую современную платформу и устанавливать приложение на телефон клиента, сразу же «зашивая» в него индивидуальные параметры для алгоритма генерации одноразовых паролей. Напрашивается вывод, что при грамотной маркетинговой политике и экономике Банкам вполне по силам умерить аппетиты таких «поднимателей» цен.

четверг, 7 ноября 2013 г.

Мешать ПДн не вредно

Пост навеян сегодняшним посещением конференции «Защита персональных данных», на которой в т.ч. подробно обсуждался вопрос обезличивания ПДн. Да, уже есть свежий Приказ №996 Роскомнадзора, в котором перечислены наиболее удобные методы обезличивания: введение идентификатора, изменение семантики, декомпозиция, перемешивание. Подробно было остановлено внимание операторов на последнем.

Итак, перемешивание это метод, при котором значения полей таблицы практически хаотически меняются местами, без изменения содержания самих данных. В общем случае такое обезличивание предлагается делать в два шага, повторяя их более десятка раз.
1. Разбиваем таблицу на сегменты
2. Циклически сдвигаем записи в каждом сегменте
При повторах меняются только параметры: на сколько сегментов разбить и на сколько шагов сдвинуть записи. Если выбор параметров рандомизировать, восстановление ПДн становится невозможным! Достоинства метода в том, что вычислительные трудозатраты низкие, а стойкость растет от количества записей в таблице.
Напомню, в каких случаях желательно иметь обезличенные данные:
- для статистических и/или аналитических нужд
- при передаче баз к разработчикам
- при работе с базами в тестовых средах
Я задумался, а можно ли использовать данный метод, если в базах используются номера кредитных карт. Можно и, например, вот так:
Фамилия
Имя
Отчество
№ символы 1-6
№ символы 7-16



константа
уникальные
По другому «бить» номер не имеет большого смысла, т.к. первые цифры это код банка-эмитента, а последняя - контрольная сумма.


вторник, 5 ноября 2013 г.

Передача документов аудитору


Перед многими организациями во время проведения различных аудитов встает вопрос о передаче или не передаче аудиторам различной документации. Разумеется, подписание никакого NDA вас ни от чего не спасет. И вот какие варианты мне сразу видятся по мере уменьшения зла.
0. Отправка по почте оглавлений документов, с детализаций заголовков хоть до десятого уровня.

1. Передача документов на вынос. По почте или на флешке с установлением сложного пароля на архив, благо все современные архиваторы поддерживают AES. Пусть даже с удалением из документов конфиденциальных фрагментов.

2. Непосредственная работа с документами в офисе компании. Распечатываются документы или организуется рабочее место с отключенными интерфейсами ввода-вывода.

3. Удаленная работа с документами. Организуется сервис, в котором в режиме удаленного стола транслируется изображение с блокированием print, copy-paste и save as.

Что же можно сделать с унесенными документами, даже без учета нарушения их конфиденциальности?

- можно продать в качестве «рыб».

- можно продать  услугу по разработке документов.

- можно продать себя в качестве «эффективного» писателя документов.

А как поступаете при аудитах вы?