Разделы
Материалы

Бюро кредитных историй. Кто они, крупнейшие хранители персональных данных?

Наверняка каждому хоть раз приходила в голову мысль о том, где и как хранятся его персональные данные, сведения о месте работы, долговых обязательствах, телефоны, электронные адреса и другая личная информация.

Приходилось слышать разные версии: налоговая, Пенсионный фонд, Реестр избирателей, банки, и, конечно же, спецслужбы.

По понятным причинам откажемся от комментариев по поводу БД спецслужб, а вот по остальным претендентам на крупнейших держателей данных о гражданах стоит заметить, что все они могут такими считаться.

Однако, в базах одного ведомства накапливаются данные только о тех, кто официально платит налоги, у других – только те, кто платит в Пенсионный, в банке – только о клиентах этого банка. В каждой из организаций есть сегмент, который выпадает из поля зрения в виду специфики работы. Также важным фактором является максимально быстрая актуализация находящейся в базах информации.

Но в перечне организаций-претендентов на номинацию крупнейшего хранителя информации незамеченными остались бюро кредитных историй – БКИ. А зря. Ведь эти компактные, технологичные, не особо стремящиеся к публичности организации владеют огромными массивами данных о гражданах нашей страны и их кредитных обязательствах.

Значимости бюро добавляет постоянное обновление данных финансовыми структурами-донорами кредитных историй (КИ).

Обьем хранимой в БКИ информации измеряется десятками миллионов кредитных историй.

Например, в БД каждого из трех крупнейших БКИ страны находится от 50 000 000 до 77 000 000 кредитных историй.

Передача финансовыми организациями кредитных историй в бюро не является обязательной, но необходимость получать данные о кредитной нагрузке заемщика перед принятием решения о выдаче кредита, а также условия формирования резервов под кредитные операции и тарифная политика БКИ делают для организаций-доноров КИ коммерчески выгодным передачу всех кредитных историй в бюро.

Кредитная история состоит из нескольких блоков, один из которых – идентификационный – содержит персональные данные субьекта КИ, в том числе ФИО, ИНН, адрес, место работы, телефоны, емейл. В других блоках содержится информация о действующих и закрытых кредитах, их типах, история обслуживания, графики погашения.

Бывают случаи, что по технологическим причинам или из-за ошибок работы систем учета или ошибок персонала данные, переданные в бюро, отображаются не корректно: за вами числитсядавно погашенный кредит или на вас "висит" кредит, без вашего ведома взятый мошенниками на ваши персональные данные.

Один из пунктов рекомендаций по "финансовой гигиене" советует взять за правило один раз в год воспользоваться своим правом бесплатно ознакомиться со своей кредитной историей. При обнаружении расхождений – обратиться в бюро для принятия мер по исправлению.

Получив свою кредитную историю также можно увидеть, кто и когда делал запросы к вашей КИ и сверить правомерность таких действий.
Напомним, что законом о БКИ предусмотрено обязательство делать запросы только при наличии письменного согласия субьекта КИ. Если вы не давали такого согласия, значит, запрос был сделан с нарушением законодательства.

Отдельная тема – контроль оформления кредитов на ваше имя без вашего ведома. Популяризация онлайн-расчетов, бум которых наблюдается в карантинный период, ожидаемо привела к активизации кибермошенничества. Оформляя на сайтах онлайн-заказы, покупатели доверчиво вносят все свои персональные данные, финансовые телефоны и реквизиты своих платежных карт в формы заказа, не проверяя сайт на надежность.

Мошенники пользуются этим для сбора личной информации покупателя и последующего оформления кредитов без ведома владельца данных.

Также следует сказать о такой проблеме, как получение кредитов лицами, имеющими зависимость, в частности, от алкоголя, наркотиков, игромании. Зачастую погашение кредитов таких людей тяжелой ношей ложится на плечи родственников.

В стране нет легального сервиса, с помощью которого можно предотвратить выдачу кредитов зависимым людям – некоего "черного списка", куда можно внести зависимого и исключить его кредитование.

Для предотвращения оформления кредитов зависимыми или мошенниками по украденным персональным данным, исходя из того, что перед выдачей кредита финансовые учреждения запрашивают кредитную историю потенциального заемщика, бюро разработали простой, но очень эффективный инструмент – мониторинг запросов к кредитной истории, которая реализуется через немедленную отправку вам уведомления при поступлении запроса к КИ.

После получения сигнала о запросе к КИ у вас есть время для обращения в кредитующую организацию и предотвращения выдачи кредита.

Кстати, не каждая организация может делать запрос на получение кредитной истории, а только те, кто выдает кредиты или предоставляет товары/услуги с отсрочкой платежа, т.е. по сути – кредитует.

А вот в части обеспечения безопасности персональных данных конкретных требований к бюро практически нет. Поэтому уровень защиты и достаточность мер для безопасного хранения и обмена информацией определяется бюро самостоятельно.

Складывается парадоксальная ситуация – банки и финансовые организации, вкладывая десятки тысяч долларов в покупку и сопровождение программного обеспечения для защиты персональной информации внутри себя, передают и регулярно обновляют практически полную копию своей базы данных в бюро, у которых нет четко регламентированных правил по обеспечению их безопасности, что и вызвало обоснованное беспокойство у служб информационной безопасности некоторых компаний-доноров КИ.

Как вариант минимизации рисков, одна из ведущих микрофинансовых компаний предложила своим партнерам-бюро пройти Партнерский аудит – проведение сотрудниками компании проверки условий обеспечения безопасности переданныхданных о клиентах.

В частности, Партнерский аудит предусматривает проверку по направлениям:

1. Физическая безопасность:

– физическая охрана и пропускной режим бюро и офисного центра;

2. Техническая охрана:

– охранно-тревожная сигнализация, тревожная кнопка;

– видеонаблюдение.

3. Информационная безопасность:

– результаты аудита защиты информации, проведенные специализированными компаниями по информбезопасности и расследованию кибер-инцидентов;

– тестирование защищенности сети и серверов от проникновения извне/изнутри;

- наличие необходимого программного обеспечения и оборудования.

4. Непрерывность деятельности:

– резервирование, шифрованиеи хранение резервных баз данных;

– время восстановления сервиса на резервной площадке.

Ожидаемо, что новый государственный регулятор бюро - Национальный банк, по аналогии с требованиями к банкам в части информбезопасности, скоро отрегулирует этот вопрос и с БКИ, предоставив им соответствующие нормативные документы, четко и детально регламентирующие эту сферу.

А до тех пор, только результаты Партнерских аудитов могут дать нам понимание, какодни из самых значимых Хранителей персональных данных заботятся об их сохранности.

А для тех, кто всерьез уделяет внимание рискам противомошенничества и заботится о корректности своей кредитной истории, можно посоветовать действия, не требующие особых усилий, но приносящих весомый результат, так называемый "эффект низковисящих фруктов":

- регулярную проверку своей кредитной истории на предмет корректности отображаемой информации;

- проверку списка запросов к вашим данным;

- установку сервиса мониторинга запросов к своей кредитной истории.