Sari la continut

Un singur om poate să schimbe cu mintea lui o țară

De trei ani, peste 300 de contributori își scriu ideile pe această platformă, construiesc împreună cu noi o comunitate, un spațiu al celor care știu că România poate să arate altfel. Te invităm să scrii și tu!

„- De unde aveți datele mele, pentru că nu am lucrat niciodată cu banca dvs.?” Ce pățește un agent de vânzări care „expune” datele personale ale clienților

Să ne imaginăm un scenariu. Unul comun, în care posibilele situații de risc de expunere a datelor cu caracter personal sunt la tot pasul, însă cu tehnologia potrivită, toate aceste riscuri pot fi ameliorate, dacă nu chiar eliminate.

Să luăm exemplul unui agent de vânzări al unei bănci, care are un anume obiectiv de vânzări de credite ipotecare. Are o bază de clienți primită de la departamenul marketing, stocată sub forma unui fișier digital. Acești clienți au fost sunați de către o echipă de telemarketing a băncii și o parte din ei și-au exprimat interesul pentru produsele băncii. Agentul vine dimineață la sediul băncii, își copiază pe laptop lista de contacte din partea celor 10 clienți pe care îi va vizita în ziua respectivă, îi sună pe fiecare și își stabilește întâlniri. 5 dintre cei 10 clienți îi confirmă întâlnirea, așa că agentul nostru își ia laptopul și se îndreaptă către aceștia. Pentru că traficul e foarte aglomerat, decide să își lase mașina în parcare și să circule cu metroul. Laptopul e pus în siguranță în geantă și agentul nostru o păzește cât poate el de bine.

Până la acest moment, deja avem cel puțin două momente de expunere la risc a datelor: avea agentul dreptul să acceseze acele date? Probabil că da, având în vedere funcția, însă extrem de important este ca banca să fi implementat un sistem de administrare a accesului pe criterii legate de nevoia de business de a intra în anumite categorii de date în funcție de rol.

Odată urcat în metrou, riscul de furt sau pierdere a laptopului crește semnificativ. În situația în care se întâmplă acest risc, se pun următoarele întrebări: este dispozitivul mobil protejat prin criptare? Dacă este criptat, puteți chiar să vă puneți la adăpost de obligația de a notifica eventualii clienți ale căror date se aflau pe PC-ul respectiv. Similar, există soluții de protecție a credențialelor agentului, care salvează credențialele într-o mașină virtuală separată de sistemul principal.

De asemenea, care este sistemul de autentificare în domeniul băncii? Autentificarea cu o simplă parolă este considerată de specialiști extrem de riscantă - există studii care arată că 63% din incidentele de compromitere a datelor implică fie parole slabe, salvate automat ori pierdute (Verizon’s 2016 Data Breach Investigations Report). Printr-o soluție de autentificare multiplă (multi-factor authentification), încercarea de furt a credențialelor este mult îngreunată. Mai mult, cu o soluție de administrare a dispozitivelor mobile, banca are posibilitatea ca, în caz de furt sau pierdere, să șteargă cu totul contul agentului și datele atașate contului (remote wipe), astfel încât și dacă soluția de criptare nu a fost eficientă, datele să nu mai poată fi accesate.

Presupunem că agentul își continuă drumul și își vizitează primul client, îi introduce datele în aplicația de scoring a băncii, accesibilă online sau local, îi explică termenii și condițiile creditului, ratele pe care clientul urmează să le plătească și stabilesc să continue discuția în altă zi. Unul dintre clienți întreabă:

- De unde aveți datele mele, pentru că nu am lucrat niciodată cu banca dvs.?

Un răspuns de genul „de la colegii de la marketing, stați liniștit că nu cumpărăm baze de date” nu va satisface un client care și-a făcut temele. Sub imperiul noului Regulament, banca va trebui să dețină procedurile și sistemele necesare pentru a putea identifica sursa datelor cu caracter personal, baza legală în temeiul căreia utilizează acele date și scopurile aferente, terțele persoane cu care a partajat acele date și, la cererea persoanei fizice în cauză, chiar să șteargă datele personale din baza de date (cu anumite excepții, cum ar fi situația în care există o obligație legală de a păstra datele). În acest scop, un sistem de clasificare a datelor și de asociere a unor reguli diferite de acces și utilizare în funcție de caracterul lor, dar și de trasabilitate a datelor este extrem de util. Mai mult, există soluții tehnice care, în plus față de clasificare și restricționare acces, oferă posibilitatea de a retrage accesul la un document care conține date cu caracter personal în măsura în care din eroare documentul a ajuns la un alt destinatar decât cel intenționat.

Agentul de vânzări revine în sucursală, se conectează în domeniu și începe să introducă mai multe date despre clienții pe care tocmai i-a vizitat, astfel încât departamenul Marketing să poată rula campanii adaptate situației specifice a clienților în cauză. Completează datele în Soluția CRM a băncii, apoi își dă seama că e târziu și ar prefera să lucreze de acasă, așa că își copiază o serie de date ale clienților la care fusese cu câteva săptămâni în urmă și de la care aștepta un răspuns, și le trimite pe emailul personal ca să îi fie mai ușor când lucrează de acasă. Pentru companiile mai sofisticate, care permit accesul în domeniul băncii prin VPN, acesta poate părea un scenariu necredibil, însă un studiu IDC (U.S. Mobile Worker Population Forecast, 2016–2020 ) a arătat că 87% dintre managerii seniori ai marilor companii admit că încarcă cu regularitate documente sau date de business în emailul personal sau servicii cloud personale. Sunt multiple porțile de risc care se deschid în astfel de situații: încălcarea politicilor băncii de gestionare a informației, expunerea datelor care constituie secret bancar, creșterea semnificativă a vulnerabilității acelor date la furt cibernetic (aplicațiile și emailul personal sunt de obicei mult mai puțin protejate decât cele de business!). Mai mult, odată ajunse în domeniul personal, este imposibil pentru bancă să mai determine locurile în care au ajuns acestea, pierzând controlul asupra lor.  Din nou, tehnologia vă poate ajuta prin soluții de control și restricționare a transferului de date în alte sisteme și blocarea copierii datelor din sisteme de business în aplicații de uz personal. Mai mult, documentele și alte tipuri de informații pot fi protejate cu soluții de management a informației (RMS) care să facă informația inteligibilă numai pentru anumite categorii de destinatari.  

Revenind la agentul nostru de vânzări, după încă 3 luni, unul dintre clienții vizitați de acesta contactează banca și își exprimă nemulțumirea pentru faptul că datele lui sunt în posesia băncii, solicită ștergerea lor și confirmarea ștergerii lor de pe toate dispozitivele și din toate sursele. Cum știe banca faptul că aceste date se află și pe emailul personal al agentului de vânzări care, între timp, nu mai lucrează la bancă? Soluțiile de clasificare și trasabilitate a datelor sunt din nou importante în acest context.

Acestea sunt doar câteva exemple de soluții pe care tehnologia le poate oferi companiilor cu o activitate mai complexă pentru a răspunde cerințelor de conformitate impuse de noul Regulament. Din experiența companiei noastre, este foarte posibil ca multe dintre companii să aibă deja aceste soluții sau funcționalități în propriile programe de licențiere, dar ele să nu fie încă activate sau implementate la nivelul întregii companii. De aceea, în cadrul unui proces de evaluare a nivelului actual al companiei dvs față de cerințele Regulamentului, este absolut necesar să verificați ce anume sisteme sau funcționalități de protecție aveți deja la dispoziție și nu sunt activate, dar și ce sisteme, proceduri, procese trebuie să implementați în plus pentru a asigura un nivel adecvat de securitate a sistemelor, bazelor de date, PC-urilor și identității utilizatorilor dvs.

Articol scris în colaborare cu: Oana Terteleac, Windows Business Group Lead, și Alex Negrea, Technology Solutions Professional, Microsoft România.  

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere
  • Nu stiu daca se poate purta o discutie cat de cat credibila despre protectia datelor, atata vreme cat orice neavenit (de exemplu, postasul) are acces perpetuu la cartile noastre de identitate, in totalitatea lor: serie, numar, adresa, cod numeric personal.

    De fiecare data cand primesc o scrisoare sau un pachet, postasul copiaza cu sarguinta aceste date intr-un carnetel zdentuit, pe care il poarta in buzunar. Pentru ca nu poate sa scrie pe genunchi, imi intra in casa.

    Cateodata, pentru ca se simte prieten de familie (nu este), imi cere apa minerala (rece, si daca nu am rece, nu am macar gheata?) sau se duce la toaleta. In primul caz, eu trebuie sa parasesc camera, in al doilea o paraseste el, lasand carnetelul pe masa.

    De cate secunde are nevoie pentru a-mi fotografia cartea de identitate cu telefonul? De cate secunde am nevoie EU pentru a fotografia macar cinci pagini cu datele personale ale vecinilor?

    De ce este necesara prezentarea cartii de identitate la Posta Romana, atunci cand marile servicii de curierat (DHL, FedEX, UPS, chiar si ai nostri Cargus et all) nu au nevoie decat de o semnatura de primire?

    Un mister.

    Alt mister sunt operatorii de telefonie; am patit-o cu un operator de telefonie mobila, atunci cand nu imi functiona contul pentru plati online, iar tipa de la customer service mi-a cerut nici mai mult, nici mai putin decat parola contului. IN CLAR.

    Bineinteles ca i-am spus ca nu am de gand sa i-o dau, iar ea s-a ratoit la mine ca altfel nu are cum sa-mi verifice contul. (?) Am cerut sa discut cu un manager, mai politicos decat domnisoara din first line, caruia i-am explicat din nou ca accesul la contul meu ii da acces in clar la datele mele bancare, deci nu ii voi da parola niciodata. Mi-a spus ca n-are ce face, asta e procedura, iar eu i-am spus ca e bine ca aceasta conversatie este inregistrata, pentru ca asa va ramane inregistrat, pentru posteritate, faptul ca pana nu isi schimba 'procedura' nu imi voi plati facturile.

    In mod straniu, 'procedura' a fost schimbata in trei zile, sau nu existase, de fapt niciodata. Intr-o situatie din aceasta poti sa fii generos si sa banuiesti ca aveau back-end-ul blocat, si nu voiau sa recunoasca, sau sa nu fii generos si sa banuiesti altceva.

    Ma rog.

    --------------------

    In rest, artcolul este bun, cu doua precizari - in general laptop-ul 'de serviciu' este criptat pana la Dumnezeu. Pana si laptopurile pentru public sunt acum protejate de recunoastere faciala si/sau amprente. Orice masina pe care ruleaza Windows 7+ este protejata de parola si pin.

    De asemenea, un agent de vanzari al unei banci nu are acces propiu-zis la datele unui cont specific. In sistemul bancar, fiecare persoana care a lucrat cu o banca, sau mai multe, are o 'nota', care este semi-publica, adica bancile si-o comunica intre ele. Banca X nu stie cati bani ai la Banca Y, dar stie daca esti bun sau rau platnic, daca mai ai credite la alte banci, carduri de credit supra-expuse, etc.

    Asta pentru ca BNR (si multe alte banci nationale) incearca sa tina sub control nivelul de indatorare privata, si cred ca curs multa cerneala la inceputul anilor 2000, cand incepuse nebunia de credit cu buletinul, si BNR a spus, clar, sa suma ratelor la creditele contractate de o familie nu trebuie sa depaseasca o treime din venitul lunar. Bancile comerciale au marait mult (limitarea creditarii nu este in mod necesar benefica cresterii economice bazate pe ciclul productie-consum-productie), si este evident o masura care reduce profitul din dobanzi al bancilor.

    Dupa 2007, insa, masura respectiva si-a dovedit viablitatea; bancile comerciale romanesti nu au cazut, pe capete, asa cum s-a intamplat in alte parti. E adevarat ca au folosit momentul, si ca sucursalele romanesti ale marilor banci europene si-au cam acoperit pierderile din patria muma cu banii din sucursalele mai mici si mai sanatoase - dar regula a ramas in vigoare.

    S-a vazut clar cine a 'cazut' atunci cand a venit criza - cei care isi facusera un sistem paralel de creditare sub-prime: constructorii de apartamente pe credit, marile lanturi de electrocasnice, care continuau sa crediteze cu buletinul, etc.

    Banca Y este de fapt obligata sa ii spuna bancii X (si banca X e nu numai obligata, dar este si in interesul ei sa ceara aceste date) daca te apropii de pragul de indatorare. Nu in cifre, si nu ii va spune bancii X numarul tau de cont. Ii va comunica insa un calificativ, pe care agentul de vanzari al bancii X va stil sa il interpreteze, dar care nu inseamna nimic pentru un hacker.
    • Like 0
  • Dar ce pateste o judecatorie care da fisele cu datele tale si ale familiei catre o persoana cu care esti in conflict. Caz concret: langa casa unde locuiesc cu familia mea este un restaurant care nu respecta nimic. De doi ani fac eu sesizari, dar toate institutiile locale ii sustin, desi pana anul asta au functionat fara aviz, deci ilegal. Trec peste aspectele astea si ajung la datele cu caracter personal. Administratorul restaurantului s-a duc la Judecatoria Bolintin Vale si fara nici o justificare legala a reusit sa plece de acolo cu fisa mea si a sotului. Desigur ca nu a accesat el datele noastre in baza de date, a fost ajutat de un lucrator din primarie. Mai departe a dat fisele avocatului societatii si cine mai stie cui sau ce face cu ele. Am facut o plangere penala, dar din martie de cand m-a chemat politia la discutie pe tema plangerii nu s-a mai auzit nimic. Din pacate am depus plangerea la Parchetul de pe langa Judecatoria Bolintin Vale si nu ma astept ca justitia sa fie oarba si sa invinga dreptatea. Mai ales ca tot acolo am depus si o plangere penala impotriva primarului comunei unde locuiesc si desi am avut dovezi indubitabile ca primarul a refuzat sa aplice legea si sa suspende functionarea restaurantului pana la obtinerea avizului, plangerea mea a fost trimisa spre clasare de doua ori. Deci, ce te faci cand datele tale personale sunt date ILEGAL dintr-o Judecatorie catre o persoana cu care chiar esti intr-un conflict si mai departe nu te poti astepta la dreptate avand in vedere aspectele deja mentionate. Cum te poti apara si ce poti sa mai faci?
    ps: Fisele contin si CNP-ul fetitei noastre.
    • Like 0
  • In caz de nevoie, oricand poate fi folosita scuza "hackerii ne-au spart baza de date".
    • Like 0
  • Atat timp cat exista cnp-ul trecut pe bonurile de masa, bonuri ce ajung si pe mana unui buticar de la coltul starzii, orice discutie este de prisos.
    • Like 1
  • check icon
    Dublasem mesajul din greșeală. Scuze!

    • Like 0
  • check icon
    Acum vreo trei-patru ani am primit un telefon de la un nene asigurator care voia neapărat să mă asigure. I-am notat cu conștiinciozitate numele, compania, apoi l-am întrebat de unde are numărul meu de telefon. Asta ca să nu închid eu. Bineînțeles că a închis el.

    În vara anului trecut am primit un mesaj de la fi-miu ca să-i încarc cartela. Fi-miu este pe banii lui și nu mi-ar cere niciodată să-i încarc cartela... pentru că are abonament. :))

    Ce au în comun cele două situații? Nici în primul caz și nici în al doilea n-am știut unde să sun pentru reclamație. Dacă m-ar putea ajuta cineva... i-aș fi recunoscător! Probabil și alții. Mulțam!

    • Like 1
    • @
      Anon check icon
      Pentru al doilea caz macar, daca nu chiar si pentru primul, as zice sa incercati la politie. Ce-i drept, sansele de reusita sunt destul de mici, avand in vedere timpul scurs (poate si alte cauze...).
      • Like 0
    • @ Anon
      check icon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
    • @ Anon
      check icon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
    • @ Anon
      check icon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
  • Buna ziua. Eu m am trezit cu executare silita ca as fi girat pe cineva ( o persoană pe care nu o cunosc) care a făcut rost cumva de copie de pe cartea mea de identitate.
    • Like 0
  • Prin anii '80, nebanuind amploarea progreselor tehnologice din domeniul informational, securistii lui Ceausescu se bucurau superior cand zadarniceau munca vreunui reporter din west scotandu-i (si astfel voalandu-i) filmul din aparatul de fotografiat clasic. Cam asa sunt astazi cei care-si fac de lucru imaginand bariere, legi, protocoale, etc. cu scopul de a impiedica se se afle anumite date despre ce vreti dvs.

    Nu trebuie sa uitam ca celularul lui A Merkel era inregistrat de NSA (ori CIA) in timp ce cel al lui Obama era copiat de serviciile Germane, ambii oameni de stat avand in fiecare dimineata pe birouri un rezumat a ceea ce era demn de remarcat din inregistrarile tuturor celor pe care-i doreau spionati. Nu trebuie sa uitam de un Snowden, Panama Papers, etc...

    Uzand de resurse modice, oricine poate afla orice despre oricine, atata timp cat acel "orice" are oarecare semnificatie, a fost comunicat intr-un fel sau altul in ultimii 20 de ani ori, la extrem, exista consemnat pe o hartie care a fost vazuta de mai mult de o pereche de ochi.

    Birocratiile din toata lumea consuma bugete enorme "prapadindu-se" de grija noastra, imaginand si instrumentand legislatii care "sanchi" ne asigura confidentialitatea datelor. Dincolo de populismul propogandei lor, probabil ca printre ei exista suficienti prosti care chiar sa creada ca macar propriile persoane vor fi ferite de hackerii profesionisti ori de ocazie. Absolut gretos!

    • Like 2
    • @ N Cojocaru
      check icon
      Da, așa este: azi numai cine NU vrea nu poate spiona pe cineva, aparatura este așa de ieftină, încât descurajează ori luptă reală. Discuțiile pe tema securizării informațiilor personale sunt povești, exclusiv cu rol propagandistic-oficial și, la o adică, pt a încrimina pe cine trebuie și a-l ierta pe altul, tot fiindcă trebuie. Știți povestea de bază: interesul național.
      • Like 2
    • @
      Ati spus cam 99% din ce mai merita mentionat!
      • Like 0
  • check icon
    Și astăzi există o legislație teoretic bună și teoretic suficientă pentru a fi protejați cetățenii de abuzuri. În practică, așa cum BINE știm, situația este complet diferită. Motivul: deoarece legislația nu se aplică! Este exact ca la circulație: periodic, ni se spune că va înăspri legislația deoarece nu scade nr. accidentelor grave. Asta este o copilărie, deoarece și legislația actuală este destul de dură, DACĂ ar fi și aplicată consecvent, neselectiv și neabuziv.
    • Like 0
  • check icon
    Marile companii au încălcat și, eventual, s-ar putea (mă îndoiesc) să nu mai încalce legea protejării datelor. Cazul uzual este al companiilor de telefonie care, de multe ori, abuzează de clienți, obligîndu-i să plătească servicii pe care nu le pot oferi, iar dacă aceștia refuză, să le transfere datele unor „recuperatori” care încep să trimită scrisori de amenințare, unele cu falsuri, cum ar fi false hotărîri judecătorești. Am experiența mea pesonală, bîlciul a durat vreo 7 ani. Am reclamat la Poliție falsul. Ce credeți că s-a întîmplat? Ați ghicit: nimic. Să cred că, de acuma, va fi mai dur? Hm... Mai dur cu cine? Cele 3 mari companii de telefonie sînt aliații de bază ai serviciilor de informații, am dubii că vor fi pedepsite la modul serios, adică primind amenzi mari, usturătoare. Alte companii ori alți acari Păun? Aceștia, dacă nu reprezintă relevanță „politică”, probabil da.
    • Like 0


Îți recomandăm

Cu 3 ani în urmă am devenit mamă de adolescentă

Încă de la început pe traseul nostru spre a o aduce acasă la noi, ne-am lovit de chichițe birocratice. Adopția nu era posibilă de fapt, din motive pe care aleg să nu le expun, așa că am fost îndrumați spre varianta cea mai apropiată ei, plasamentul familial.

Citește mai mult