Разглашение персональных данных

[morfey 82]

Эпиграф:

Нашему клиенту(К) угрожал неизвестный(Н) через соцсети и соответственно знал ФИО. Провайдера узнал по состоянию клиента в группе соцсети.

 

 

Произошел инцидент(первый за всю работу). Наш оператор разгласил персональные данные нашего клиента, а именно адрес этому неизвестному. 

Неизвестный пополнил счет(!) нашему клиенту через терминал с другого города.

Клиент явился в офис в недоумении что его провайдер сделал такую каку. И теперь боится идти домой.

 

Мы в итоге сменили клиенту номер договора (в принципе все что мы могли сделать).

Тут и так ясно что мы виноваты. 

Возник вопрос по персональным данным. У нас в терминалах при вводе номера договора высвечивается и адрес и ФИО. Т.е. любой сможет ввести в терминале номер и получить инфу.

Как это все сделать согласно закону о персональных данных? Убрать всю информацию с терминалов? Или оставить ФИО? Как правильно  идентифицировать человека по телефону чтобы не нарушить закона?)

Если все убрать, повалятся звонки в саппорт для подтверждения платежей(и опять нужно ка-кто идентифицировать человека).

 

У кого как?

 

[Prime 51]

использовать динамические пароли, например как Приват Банк.

хотите кошерно - прийдется расщедриться на смс

[Den_LocalNet 1 474]

Не отдавать терминалам личные данные абонента, нагнуть сотрудников на телефоне.

[morfey 82]

 

Если все убрать, повалятся звонки в саппорт для подтверждения платежей(и опять нужно ка-кто идентифицировать человека).

 

У кого как?

Цитата

По запросу на поиск, будет возвращены Ф.И.О. пользователя в виде "Ив****в Ми***л Ив*****ч" и

 

Хорошее решение

 

Не отдавать терминалам личные данные абонента, нагнуть сотрудников на телефоне.

Обязательно)

 

 

использовать динамические пароли, например как Приват Банк.

хотите кошерно - прийдется расщедриться на смс

Смс обязательно теперь введем. У нас даже расылки смс есть, а врсстановление по смс нет(

Відредаговано 2013-11-08 15:27:59 morfey

[Chuk 2]

 

 

Если все убрать, повалятся звонки в саппорт для подтверждения платежей(и опять нужно ка-кто идентифицировать человека).

 

У кого как?

Цитата

По запросу на поиск, будет возвращены Ф.И.О. пользователя в виде "Ив****в Ми***л Ив*****ч" и

 

Хорошее решение

 

Не отдавать терминалам личные данные абонента, нагнуть сотрудников на телефоне.

Обязательно)

 

 

использовать динамические пароли, например как Приват Банк.

хотите кошерно - прийдется расщедриться на смс

Смс обязательно теперь введем. У нас даже расылки смс есть, а врсстановление по смс нет(

 

 

Использовать ID , номер договора и другую инфу, но только в цифрах а не в буквах . 

Хотя с другой стороны, база 09 - фамилии, телефоны. Пока никто не жалуется  

[onorua 126]

Я как-то не понял вы в терминалах оплачиваете по фамилии? Вводится номер контракта, по номеру выдается Имя и Фамилия, никаких телефонов, адресов и прочего. В чем проблема? может я чего-то не понял?

[ttttt 195]

Имя Фамилия + IP и домашний адрес найти не проблема.

Самый простой способ - отдавать фейк данные терминалам, которые выглядят, как имя фамилия.

[Земеля 728]

в терминалах показывать только фио абонента

хотя тот же пипел нет сделал привязку по номеру телефона (тоже удобно)

[ttttt 195]

По телефону тоже плохо, укртелеком, например, светит адрес всем желающим по одному только телефону.

[morfey 82]

Всем спасибо. Решили сделать в виде "Ив****в Ми***л Ив*****ч" без адреса. Напоминание данных по смс. В случае утери телефона и невозможностью зайти в личный кабинет - с паспортом в офис.

Відредаговано 2013-11-08 16:57:15 morfey

[zulu_Radist 856]

пополнение сделать по ID + бесплатную фичу напоминания по смс через личный кабинет

[wermer 28]

А может проще? Максимум адрес проживания и номер телефона. Нужно максимально обезличить абонента.

[Alex_E 852]

Я чем слово не понял связанности мысли

Но давайте придадимся первоисточникам.

Закон о защите персональных данных.

http://zakon2.rada.gov.ua/laws/show/2297-17

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

 

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

 

Кто сделал разглашение ПД?

Верно не вы.

По закону любое идентифицирование ПД Частного лица есть нарушение.

 

Не вижу смысла выводить на табло ФИО.

У клиента есть договор, введя номер клиент пополняет счёт договора и все.

Я как то раза три пополнил не те телефоны, теперь раз сто перепроверю все цифры и буквы

 

Что то подобное было и у нас. Счас у клиента есть только номер договора и все, он пополняет этот номер, при неверно вводе, это проблема клиента.

 

Відредаговано 2013-11-08 20:54:35 Alex_E

[Sergek 123]

Ошибся при вводе, пришел с квитанцией, написал заяву об ошибочном вводе, приложил копию квитанции из терминала и все дела.

[Sanito 129]

Кстати, проскакивало год-два назад инфа, что кто-то скликал чью-то базу через терминал тупо перебором номеров. А там был и адрес, и фио.

Уверен, что под такое дело на фоне закона о защите персональных данных не одного провайдера нагнули.

 

Ну а все кто умный да, обезличили в терминалах полностью, только договор и всё. Плюс смс, где человеку приходит его номер договора.

Обычно никто не ошибается.

[Чучундра 233]

Топикстартеру: почитайте закон про персональные данные, Там есть четкое определение, те данные которые однозначно определяют физ лицо являются персональными, Поэтому уберите вывод ФИО и адреса на терминале, оставьте только адрес. 

[mlevel 52]

Если все убрать, повалятся звонки в саппорт для подтверждения платежей(и опять нужно ка-кто идентифицировать человека).

 

У кого как?

 

О чем Вы? Нет никаких звонков Клиент вводит номер лицевого счета и все, никаких данных не выводим.

[Чучундра 233]

У вас клиенты никогда не ошибаются при вводе своего номера ?

[Den_LocalNet 1 474]

пользуемся персональным платежным кодом из nodeny

99.8% ошибок оно отсекает

на 6-7 к платежей в месяц через териминалы ошибок около 10-12

 

 

Персональный платежный код - это уникальный код клиента, который 
обладает небольшими средствами защиты. Дело в том, что клиенты нередко 
ошибаются и вместо идентификатора вводят сумму пополнения либо номер 
договора, либо просто ошибаются при вводе. Автор системы решил 
реализовать защиту аналогично как она реализована в банковских счетах. 
Идентификатор защищается контрольной суммой так, что при ошибке ввода, 
с довольно большой вероятностью идентификатор становится 
недействительным. 

В системе NoDeny идентификатор формируется таким образом: берется id 
клиента по биллингу, все цифры этого id складываются, после чего 
последняя цифра от полученной суммы приписывается к первоначальному 
id. (Технически эта операция называется ≪сложение по модулю 10≫) 

Например. У клиента id=5907. Складываем все цифры его идентификатора: 
5 + 9 + 0 + 7 = 21. Берем последнюю цифру полученной суммы: 1, 
приписываем к id и получаем персональный платежный код клиента: 59071. 

Если при вводе клиент ошибется в одной из цифр, например, введет 
58071, то при проверке 5 + 8 + 0 + 7 = 20, 0 не равен 1, поэтому 
клиенту будет сообщено об ошибке. Так же, если клиент ошибется и 
вместо номера платежного кода попытается ввести сумму пополнения, то 
она с большой вероятностью не попадет под описанный шаблон, например, 
100, 50, 25, 120 и т.д. сформируют ошибку. А 550 грн - нет. Тем не 
менее, данный алгоритм позволяет отсеять подавляющее большинство 
ошибок. 

Если возникнет необходимость выяснить идентификатор клиента по 
платежному коду, то это не составит труда - достаточно отбросить 
последнюю цифру, так если ППК = 1236, то id клиента = 123. 

Відредаговано 2013-11-09 14:21:45 Den_LocalNet