Согласие для АСВ

Согласие для АСВ
 
В продолжение темы про зачистку финансовой системы хочу обратить внимание на вопрос, должен или не должен каждый банк при заключении договоров с клиентами брать согласие на потенциальную передачу ПДн:
- Агентству по страхованию вкладов
- Банку России
- всем остальным банкам, включая тех, которых еще нет в природе.
При наступлении страхового случая, ПДн будут передаваться по данному списку, даже без существования согласия субъекта ПДн. Разумеется, потом при выплате денег согласие может быть легко получено, но что делать, если клиент давать такое согласие не намерен, а его данные уже давно растеклись по банкам-агентам.
Привожу последний пример с сайта АСВ по Инвестбанку: «Сбербанк России осуществляет прием заявлений и выплату страхового возмещения вкладчикам, чьи фамилии начинаются с букв А–К (A–Z), Промсвязьбанк — с букв Л–П, Номос-Банк — с букв Р–Ц, Россельхозбанк — с букв Ч–Я».
А вот форма для поиска банка-агента по этому же банку. Страница, конечно же, без шифрования канала. Куда проще написать предупреждение, что клиент принимает на себя ответственность за слив в интернет своих паспортных данных, чем купить сертификат, например, Thawte .

Даём согласие на обработку ПДн сразу всем банкам?!
ПДн ЦБ
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Евгений Шауро

Блог специалиста по информационной безопасности