Источник: SubscribePRO
Станет ли закон «О персональных данных» препятствием для соблюдения рекомендаций ЦБ и рассылок уведомлений?
Центробанк, комментируя проблемные места закона о «Национальной платежной системе», настоятельно рекомендовал российским банкам использовать различные способы уведомления клиентов о произведенных операциях. При этом ЦБ воздержался от рекомендаций способа доведения до сведения указанной информации, предлагая клиенту сделать выбор самостоятельно. Также никаких ограничений не получил и срок, в течение которого должна быть исполнена обязанность по информированию клиента.
Это означает, что банк может оповещать клиента, например, по электронной почте всего один раз в месяц обо всех совершенных операциях. Единственный пункт Письма Банка России, который имел конкретные назначения, — это характеристики средства уведомления. Оно должно исключать утечку информации о клиенте и отвечать закону «О персональных данных».
Письмо Банка России с «настоятельными рекомендациями» ставит многие кредитные организации перед необходимостью получения лицензии ФСТЭК, которая гарантирует защищенность персональных данных во время хранения и обработки. Вне зависимости от того, по электронной почте или через sms, после каждой операции или раз в месяц банк будет уведомлять клиента о списании средств, он должен привести в соответствие с требованиями ФЗ-152 свой программно-аппаратный комплекс, который используется для рассылки уведомлений.
Сегодня 68% кредитных организаций имеют аттестаты, подтверждающие это соответствие. И не потому, что закон «О персональных данных» вступил в силу недавно, а потому, что приведение системы в соответствие — это долгий, трудоемкий и дорогостоящий процесс.
Опубликованное 14 апреля 2012 года Письмо Банка России влечет за собой целый ряд мероприятий, проведением которых должны озаботиться кредитные организации. Однако в законодательстве «О персональных данных» есть важный пункт, касающийся лицензии ФСТЭК и разделения ответственности с внешней организацией за хранение и обработку данных.
В соответствии с постановлением Правительства РФ от 17 ноября 2007 г. № 781, если оператор информационный систем персональных данных заключает договор на проведение мероприятий в части защиты информации (ПДн) с уполномоченным лицом — лицензиатом ФСТЭК России — иметь лицензию ему не обязательно. Это означает, что «настоятельные рекомендации» Банка России уведомлять клиентов о платежных операциях не грозят новыми заботами о получении очередной лицензии, а лишь обращением к лицензиату ФСТЭК.
Сегодня оборудованием для рассылок по многомиллионной клиентской базе обладают лишь некоторые банки и e-mail маркетинговые агентства, мощности которых могут достигать десятки миллионов писем и sms в сутки. И это не предел.
Но лишь один провайдер в России имеет аттестат соответствия требованиям по информационной безопасности. Это крупнейший информационный канал Subscribe.ru и его сервис для защищенных e-mail и sms рассылок по клиентской базе — SubscribePRO.
Информация о клиенте и его транзакциях передается от банка по защищенным VPN-тоннелям и хранится на серверах, имеющий аттестаты для всех классов персональных данных. Система, API SubscribePRO позволяет осуществить интеграцию системы (CRM, ERP, CMS) и сервиса рассылок SubscribePRO. Благодаря техническим возможностям и наличию аттестата ФСТЭК сервис пользуется привлекательностью как среди тех банков, которые задумываются о приобретении рассылочных модулей, так и тех, кто уже имеет их.
Оповещение клиентов о произведенных операциях с банковским счетом являются дополнительной платной услугой кредитных организаций. Однако специалисты считают, что рекомендации Банка России регулярно уведомлять клиента являются первым сигналом о подготовке новых поправок в закон «О Национальной платежной системе», которые обяжут банки предоставлять эту услугу «по умолчанию».
Автор: Наталья Жеребенкова
Источник: SubscribePRO
