Sari la continut

Un singur om poate să schimbe cu mintea lui o țară

De doi ani, peste 300 de contributori își scriu ideile pe această platformă, construiesc împreună cu noi o comunitate, un spațiu al celor care știu că România poate să arate altfel. Te invităm să scrii și tu! La doi ani de Republica, îți mulțumim că ne ești alături!

„- De unde aveți datele mele, pentru că nu am lucrat niciodată cu banca dvs.?” Ce pățește un agent de vânzări care „expune” datele personale ale clienților

Să ne imaginăm un scenariu. Unul comun, în care posibilele situații de risc de expunere a datelor cu caracter personal sunt la tot pasul, însă cu tehnologia potrivită, toate aceste riscuri pot fi ameliorate, dacă nu chiar eliminate.

Să luăm exemplul unui agent de vânzări al unei bănci, care are un anume obiectiv de vânzări de credite ipotecare. Are o bază de clienți primită de la departamenul marketing, stocată sub forma unui fișier digital. Acești clienți au fost sunați de către o echipă de telemarketing a băncii și o parte din ei și-au exprimat interesul pentru produsele băncii. Agentul vine dimineață la sediul băncii, își copiază pe laptop lista de contacte din partea celor 10 clienți pe care îi va vizita în ziua respectivă, îi sună pe fiecare și își stabilește întâlniri. 5 dintre cei 10 clienți îi confirmă întâlnirea, așa că agentul nostru își ia laptopul și se îndreaptă către aceștia. Pentru că traficul e foarte aglomerat, decide să își lase mașina în parcare și să circule cu metroul. Laptopul e pus în siguranță în geantă și agentul nostru o păzește cât poate el de bine.

Până la acest moment, deja avem cel puțin două momente de expunere la risc a datelor: avea agentul dreptul să acceseze acele date? Probabil că da, având în vedere funcția, însă extrem de important este ca banca să fi implementat un sistem de administrare a accesului pe criterii legate de nevoia de business de a intra în anumite categorii de date în funcție de rol.

Odată urcat în metrou, riscul de furt sau pierdere a laptopului crește semnificativ. În situația în care se întâmplă acest risc, se pun următoarele întrebări: este dispozitivul mobil protejat prin criptare? Dacă este criptat, puteți chiar să vă puneți la adăpost de obligația de a notifica eventualii clienți ale căror date se aflau pe PC-ul respectiv. Similar, există soluții de protecție a credențialelor agentului, care salvează credențialele într-o mașină virtuală separată de sistemul principal.

De asemenea, care este sistemul de autentificare în domeniul băncii? Autentificarea cu o simplă parolă este considerată de specialiști extrem de riscantă - există studii care arată că 63% din incidentele de compromitere a datelor implică fie parole slabe, salvate automat ori pierdute (Verizon’s 2016 Data Breach Investigations Report). Printr-o soluție de autentificare multiplă (multi-factor authentification), încercarea de furt a credențialelor este mult îngreunată. Mai mult, cu o soluție de administrare a dispozitivelor mobile, banca are posibilitatea ca, în caz de furt sau pierdere, să șteargă cu totul contul agentului și datele atașate contului (remote wipe), astfel încât și dacă soluția de criptare nu a fost eficientă, datele să nu mai poată fi accesate.

Presupunem că agentul își continuă drumul și își vizitează primul client, îi introduce datele în aplicația de scoring a băncii, accesibilă online sau local, îi explică termenii și condițiile creditului, ratele pe care clientul urmează să le plătească și stabilesc să continue discuția în altă zi. Unul dintre clienți întreabă:

- De unde aveți datele mele, pentru că nu am lucrat niciodată cu banca dvs.?

Un răspuns de genul „de la colegii de la marketing, stați liniștit că nu cumpărăm baze de date” nu va satisface un client care și-a făcut temele. Sub imperiul noului Regulament, banca va trebui să dețină procedurile și sistemele necesare pentru a putea identifica sursa datelor cu caracter personal, baza legală în temeiul căreia utilizează acele date și scopurile aferente, terțele persoane cu care a partajat acele date și, la cererea persoanei fizice în cauză, chiar să șteargă datele personale din baza de date (cu anumite excepții, cum ar fi situația în care există o obligație legală de a păstra datele). În acest scop, un sistem de clasificare a datelor și de asociere a unor reguli diferite de acces și utilizare în funcție de caracterul lor, dar și de trasabilitate a datelor este extrem de util. Mai mult, există soluții tehnice care, în plus față de clasificare și restricționare acces, oferă posibilitatea de a retrage accesul la un document care conține date cu caracter personal în măsura în care din eroare documentul a ajuns la un alt destinatar decât cel intenționat.

Agentul de vânzări revine în sucursală, se conectează în domeniu și începe să introducă mai multe date despre clienții pe care tocmai i-a vizitat, astfel încât departamenul Marketing să poată rula campanii adaptate situației specifice a clienților în cauză. Completează datele în Soluția CRM a băncii, apoi își dă seama că e târziu și ar prefera să lucreze de acasă, așa că își copiază o serie de date ale clienților la care fusese cu câteva săptămâni în urmă și de la care aștepta un răspuns, și le trimite pe emailul personal ca să îi fie mai ușor când lucrează de acasă. Pentru companiile mai sofisticate, care permit accesul în domeniul băncii prin VPN, acesta poate părea un scenariu necredibil, însă un studiu IDC (U.S. Mobile Worker Population Forecast, 2016–2020 ) a arătat că 87% dintre managerii seniori ai marilor companii admit că încarcă cu regularitate documente sau date de business în emailul personal sau servicii cloud personale. Sunt multiple porțile de risc care se deschid în astfel de situații: încălcarea politicilor băncii de gestionare a informației, expunerea datelor care constituie secret bancar, creșterea semnificativă a vulnerabilității acelor date la furt cibernetic (aplicațiile și emailul personal sunt de obicei mult mai puțin protejate decât cele de business!). Mai mult, odată ajunse în domeniul personal, este imposibil pentru bancă să mai determine locurile în care au ajuns acestea, pierzând controlul asupra lor.  Din nou, tehnologia vă poate ajuta prin soluții de control și restricționare a transferului de date în alte sisteme și blocarea copierii datelor din sisteme de business în aplicații de uz personal. Mai mult, documentele și alte tipuri de informații pot fi protejate cu soluții de management a informației (RMS) care să facă informația inteligibilă numai pentru anumite categorii de destinatari.  

Revenind la agentul nostru de vânzări, după încă 3 luni, unul dintre clienții vizitați de acesta contactează banca și își exprimă nemulțumirea pentru faptul că datele lui sunt în posesia băncii, solicită ștergerea lor și confirmarea ștergerii lor de pe toate dispozitivele și din toate sursele. Cum știe banca faptul că aceste date se află și pe emailul personal al agentului de vânzări care, între timp, nu mai lucrează la bancă? Soluțiile de clasificare și trasabilitate a datelor sunt din nou importante în acest context.

Acestea sunt doar câteva exemple de soluții pe care tehnologia le poate oferi companiilor cu o activitate mai complexă pentru a răspunde cerințelor de conformitate impuse de noul Regulament. Din experiența companiei noastre, este foarte posibil ca multe dintre companii să aibă deja aceste soluții sau funcționalități în propriile programe de licențiere, dar ele să nu fie încă activate sau implementate la nivelul întregii companii. De aceea, în cadrul unui proces de evaluare a nivelului actual al companiei dvs față de cerințele Regulamentului, este absolut necesar să verificați ce anume sisteme sau funcționalități de protecție aveți deja la dispoziție și nu sunt activate, dar și ce sisteme, proceduri, procese trebuie să implementați în plus pentru a asigura un nivel adecvat de securitate a sistemelor, bazelor de date, PC-urilor și identității utilizatorilor dvs.

Articol scris în colaborare cu: Oana Terteleac, Windows Business Group Lead, și Alex Negrea, Technology Solutions Professional, Microsoft România.  

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere
  • Dar ce pateste o judecatorie care da fisele cu datele tale si ale familiei catre o persoana cu care esti in conflict. Caz concret: langa casa unde locuiesc cu familia mea este un restaurant care nu respecta nimic. De doi ani fac eu sesizari, dar toate institutiile locale ii sustin, desi pana anul asta au functionat fara aviz, deci ilegal. Trec peste aspectele astea si ajung la datele cu caracter personal. Administratorul restaurantului s-a duc la Judecatoria Bolintin Vale si fara nici o justificare legala a reusit sa plece de acolo cu fisa mea si a sotului. Desigur ca nu a accesat el datele noastre in baza de date, a fost ajutat de un lucrator din primarie. Mai departe a dat fisele avocatului societatii si cine mai stie cui sau ce face cu ele. Am facut o plangere penala, dar din martie de cand m-a chemat politia la discutie pe tema plangerii nu s-a mai auzit nimic. Din pacate am depus plangerea la Parchetul de pe langa Judecatoria Bolintin Vale si nu ma astept ca justitia sa fie oarba si sa invinga dreptatea. Mai ales ca tot acolo am depus si o plangere penala impotriva primarului comunei unde locuiesc si desi am avut dovezi indubitabile ca primarul a refuzat sa aplice legea si sa suspende functionarea restaurantului pana la obtinerea avizului, plangerea mea a fost trimisa spre clasare de doua ori. Deci, ce te faci cand datele tale personale sunt date ILEGAL dintr-o Judecatorie catre o persoana cu care chiar esti intr-un conflict si mai departe nu te poti astepta la dreptate avand in vedere aspectele deja mentionate. Cum te poti apara si ce poti sa mai faci?
    ps: Fisele contin si CNP-ul fetitei noastre.
    • Like 0
  • In caz de nevoie, oricand poate fi folosita scuza "hackerii ne-au spart baza de date".
    • Like 0
  • Atat timp cat exista cnp-ul trecut pe bonurile de masa, bonuri ce ajung si pe mana unui buticar de la coltul starzii, orice discutie este de prisos.
    • Like 0
  • check icon
    Dublasem mesajul din greșeală. Scuze!

    • Like 0
  • check icon
    Acum vreo trei-patru ani am primit un telefon de la un nene asigurator care voia neapărat să mă asigure. I-am notat cu conștiinciozitate numele, compania, apoi l-am întrebat de unde are numărul meu de telefon. Asta ca să nu închid eu. Bineînțeles că a închis el.

    În vara anului trecut am primit un mesaj de la fi-miu ca să-i încarc cartela. Fi-miu este pe banii lui și nu mi-ar cere niciodată să-i încarc cartela... pentru că are abonament. :))

    Ce au în comun cele două situații? Nici în primul caz și nici în al doilea n-am știut unde să sun pentru reclamație. Dacă m-ar putea ajuta cineva... i-aș fi recunoscător! Probabil și alții. Mulțam!

    • Like 1
    • @
      Anon check icon
      Pentru al doilea caz macar, daca nu chiar si pentru primul, as zice sa incercati la politie. Ce-i drept, sansele de reusita sunt destul de mici, avand in vedere timpul scurs (poate si alte cauze...).
      • Like 0
    • @ Anon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
    • @ Anon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
    • @ Anon
      Da, am reclamat eu un caz cu 15 telefoane într-o sîmbătă de la o persoană care mormăia ceva, apoi închidea. După ce m-au chemat la secția x să dau 2 declarații, după ce au trecut 2-3-4 luni (am uitat) am primit răspunsul: nu e nimic de anchetat, nu e caz penal, e liniște și pace.
      NU mai pierdeți vremea cu Poliția, nu va face nimic, vă faceți iluzii, veți avea stress, e păcat. Viața e, la urma urmelor, scurtă și frumoasă, nu vă pierdeți vremea cu instituții care nu fac nimic pentru a preveni infracțiuni ori cu infracțiuni mărunte, să zicem. Ei fac ceva doar dacă e o vreo crimă, mai ales dacă e un recidivist pe care l-au scăpat de 3-4-5 ori și, în final, nu au avut încotro și chiar l-au arestat. Diupă ce a omorât vreo 3-4 și a violat vreo 3-4-5 femei.
      • Like 0
  • Buna ziua. Eu m am trezit cu executare silita ca as fi girat pe cineva ( o persoană pe care nu o cunosc) care a făcut rost cumva de copie de pe cartea mea de identitate.
    • Like 0
  • Prin anii '80, nebanuind amploarea progreselor tehnologice din domeniul informational, securistii lui Ceausescu se bucurau superior cand zadarniceau munca vreunui reporter din west scotandu-i (si astfel voalandu-i) filmul din aparatul de fotografiat clasic. Cam asa sunt astazi cei care-si fac de lucru imaginand bariere, legi, protocoale, etc. cu scopul de a impiedica se se afle anumite date despre ce vreti dvs.

    Nu trebuie sa uitam ca celularul lui A Merkel era inregistrat de NSA (ori CIA) in timp ce cel al lui Obama era copiat de serviciile Germane, ambii oameni de stat avand in fiecare dimineata pe birouri un rezumat a ceea ce era demn de remarcat din inregistrarile tuturor celor pe care-i doreau spionati. Nu trebuie sa uitam de un Snowden, Panama Papers, etc...

    Uzand de resurse modice, oricine poate afla orice despre oricine, atata timp cat acel "orice" are oarecare semnificatie, a fost comunicat intr-un fel sau altul in ultimii 20 de ani ori, la extrem, exista consemnat pe o hartie care a fost vazuta de mai mult de o pereche de ochi.

    Birocratiile din toata lumea consuma bugete enorme "prapadindu-se" de grija noastra, imaginand si instrumentand legislatii care "sanchi" ne asigura confidentialitatea datelor. Dincolo de populismul propogandei lor, probabil ca printre ei exista suficienti prosti care chiar sa creada ca macar propriile persoane vor fi ferite de hackerii profesionisti ori de ocazie. Absolut gretos!

    • Like 1
    • @ N Cojocaru
      Da, așa este: azi numai cine NU vrea nu poate spiona pe cineva, aparatura este așa de ieftină, încât descurajează ori luptă reală. Discuțiile pe tema securizării informațiilor personale sunt povești, exclusiv cu rol propagandistic-oficial și, la o adică, pt a încrimina pe cine trebuie și a-l ierta pe altul, tot fiindcă trebuie. Știți povestea de bază: interesul național.
      • Like 2
    • @ nickadyudrea@gmail.com
      Ati spus cam 99% din ce mai merita mentionat!
      • Like 0
  • Și astăzi există o legislație teoretic bună și teoretic suficientă pentru a fi protejați cetățenii de abuzuri. În practică, așa cum BINE știm, situația este complet diferită. Motivul: deoarece legislația nu se aplică! Este exact ca la circulație: periodic, ni se spune că va înăspri legislația deoarece nu scade nr. accidentelor grave. Asta este o copilărie, deoarece și legislația actuală este destul de dură, DACĂ ar fi și aplicată consecvent, neselectiv și neabuziv.
    • Like 0
  • check icon
    Marile companii au încălcat și, eventual, s-ar putea (mă îndoiesc) să nu mai încalce legea protejării datelor. Cazul uzual este al companiilor de telefonie care, de multe ori, abuzează de clienți, obligîndu-i să plătească servicii pe care nu le pot oferi, iar dacă aceștia refuză, să le transfere datele unor „recuperatori” care încep să trimită scrisori de amenințare, unele cu falsuri, cum ar fi false hotărîri judecătorești. Am experiența mea pesonală, bîlciul a durat vreo 7 ani. Am reclamat la Poliție falsul. Ce credeți că s-a întîmplat? Ați ghicit: nimic. Să cred că, de acuma, va fi mai dur? Hm... Mai dur cu cine? Cele 3 mari companii de telefonie sînt aliații de bază ai serviciilor de informații, am dubii că vor fi pedepsite la modul serios, adică primind amenzi mari, usturătoare. Alte companii ori alți acari Păun? Aceștia, dacă nu reprezintă relevanță „politică”, probabil da.
    • Like 0
  • Casargoz check icon
    Teoria este frumoasa.
    Dar si astazi avem o lege : era utila o statistica cu clientii de telefonie mobila:
    Cate cereri de drept de acces au primit si cate au rezolvat?
    Ca sa stim de unde pornim.
    Ca peste tot in europa, intentia este buna.
    Aplicarea nu. Cum ar putea politicienii sa mai dea vina pe ue daca legile ar fi cu adevarat europene.
    Dar eu sunt curios de urmatorul lucru: personajul dumneavoastra este si student la snspa, face un studiu de retea sociala, aduna date de pe net, are banca voie sa se atinga de datele de pe laptop.
    Tot angajatul minune, face o declaratie de avere pt. nevasta functionar public, e o obligatie legala, si are datele afinilor de grad x, are voie banca sa-i trateze datele la fel ca pe cele ale clientilor.
    Si mai am un caz doamna smaranda bara are o problema cu anaf si cnas, se modifica ceva?
    • Like 0


Îți recomandăm

Alexandra Boberly

Este prima dată în ultimii ani când președintele Academiei Europene de Film încearcă să semnaleze pasarea ștafetei - fie și numai declarativ momentan - tinerei generații. Și când spunem tineri nu mă gândesc la cineaști sub 30 de ani, ci la un spectru mai larg între 20 și 50 de ani. (În imagine: Alexandra Borbely//Foto: Guliver/Getty Images)

Citește mai mult