Лента
Форум
Файлы
О стандартах PCI
О проекте
Форумы|Пользователи|Поиск|Войти|Регистрация
Ответить
Подписаться   Версия для печати
PCI DSS и персональные данные: Персональные данные через АТМ
engineer

На форуме с:
13.07.2009
24.07.2009|11:26 Личное сообщение Инфо Ответить
Попадает ли трафик, порожденный банкоматом при снятии наличных, оплате телефона или услуг, переводу денег на счет под этот чудесный закон?

Какие будут мнения?

Спасибо
Александр Куликов
Информзащита

На форуме с:
14.05.2009
30.07.2009|10:37 Личное сообщение Инфо Ответить
Попадает ли трафик, порожденный банкоматом при снятии наличных, оплате
телефона или услуг, переводу денег на счет под этот чудесный закон?

Ок.
Для начала что есть что.

"Банкомат - электронный программно-технический комплекс, предназначенный для
совершения без участия уполномоченного работника кредитной организации
операций выдачи(приема) наличных денежных средств, в том числе с
использованием платежных карт, и передачи распоряжений кредитной организации
о перечислении денежных средств с банковского счета (счета вклада) клиента,
а также составления документов, подтверждающих соответствующие операции."
(Положение БР №266-П)

"персональные данные - любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц,
дата и место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация" (152 ФЗ ст.3 п.1)

Также необходимо отметить, что в последнем своем опросе от осени 2008 года
ЦБ РФ ОТНЕС АТМ и POS - к СИСТЕМАМ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ.
Т.е. и web-сайт и мобильный банкинг и АТМ и POS - ветки одного дерева - ДБО.

Теперь что же касается непосредственно самого вопроса. Здесь необходимо
предварительно обследовать какую информацию использует банкомат для
обработки платежа и какой трафик при этом он генерит.
Если по данной информации можно однозначно определить физлицо (т.е субъект
персональных данных) - то в данном случае налицо обработка ПД (определение
ПерсДанных см. выше) со всеми вытекающими последствиями.

Что при этом делать – ОБЕЗЛИЧИВАТЬ!

обезличивание персональных данных - действия, в результате которых
невозможно определить принадлежность персональных данных конкретному
субъекту персональных данных (152 ФЗ ст.3 п.8)

т.е.

Выписка – без Ф.И.О, без адресов и проч.
Все платежи – через ордера итп.
Ответить
Подписаться   Версия для печати
Сейчас на форуме человек: 2 (пользователей: 0, гостей: 2) | Форумов: 7, Тем: 34, Сообщений: 128, Участников: 121 | Рекорд посещаемости на 18.02.2010: всего человек: 547 (пользователей: 0, гостей: 547)