Как мы защищаем персональные данные

Какие меры обеспечивают конфиденциальность клиентов на каждом этапе взаимодействия с компанией «Стильные Кухни и Интерьеры», рассказывает руководитель отдела информационной безопасности Александр Кольцов

Представьте себе ситуацию: вам нужна мебель. Вы зашли на сайт мебельной компании, прочитали пару статей, вдохновились моделями и планировками и оставили заявку на обратный звонок. Но буквально через час вам перезвонили из другой мебельной компании с выгодным предложением. И еще, и еще. Почему это произошло, кто виноват и что делать в такой ситуации, рассказываем в этой статье.

Какие данные хранятся в компании

— Александр, какие данные наших клиентов собираются при обращении к нам?

— Клиент может прийти к нам разными путями. Он может зайти на сайт и оставить заявку на обратный звонок в форме. Или позвонить по указанному на сайте телефону и записаться в салон. А может просто прийти в салон, и в этом случае его имя и номер телефона менеджер заведет в карточке в информационной системе компании. В случае, если с клиентом заключили договор, а к данным добавляется фамилия, имя, отчество, адрес, по которому будет установлена мебель, и адрес электронной почты для связи. Мы собираем только те персональные данные, которые в данный момент предоставляет нам клиент.

Если посетитель сайта — не клиент, а соискатель на вакансию, то к этим данным может добавиться дата рождения, образование или данные о предыдущих местах работы.

— Что происходит с этой информацией?

— Она собирается и хранится в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ, Постановлением Правительства РФ от 01.11.2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иными нормативными актами, регулирующими процессы обработки и защиты персональных данных.

— Многие клиенты с нами уже больше 15 лет, за это время они сделали не один заказ, и все их данные хранятся у нас. Можно ли запросить изменение или удаление своих персональных данных?

— Да, любой гражданин имеет право обратиться в компанию и отозвать разрешение на обработку персональных данных. Достаточно письма или звонка в наш контакт-центр по горячей линии. Запрос поступит мне как руководителю отдела информационной безопасности, и в течение установленного государством времени — 30 дней — мы обязаны прекратить обработку и удалить все персональные данные, что мы и делаем.

— Могут ли данные клиентов передаваться третьим лицам, и если да, то в каких случаях?

— Мы никогда не передаем информацию о наших клиентах третьим лицам, это незаконно. И нелогично: зачем нам отдавать контакты наших клиентов нашим конкурентам?

Проверено: уязвимостей нет! Технические аспекты защиты информации

— Иногда клиенты жалуются, что после обращения к нам начинаются проблемы. Им начинают названивать какие-то другие фирмы, навязывать коммерческие предложения. Конечно, клиент негодует, считая, что раз это случилось после обращения к нам, мы и виноваты.

— В ноябре прошлого года у нас было ноль жалоб. Но с конца 2023 года и до лета 2024-го количество жалоб стало расти в геометрической прогрессии, и отдел информационной безопасности сфокусировал внимание на проблеме, поскольку игнорировать ее стало невозможно.

Мы пристально изучили наши ресурсы. У нас на сайте много интеграций с операторами телефонии, CRM-системой, социальными сетями и виджетами, поэтому мы шаг за шагом полностью изучили нашу инфраструктуру на наличие уязвимостей. Проверка заняла полгода и проходила в несколько этапов.

Первым делом мы закупили программное обеспечение, которое позволяет выявлять уязвимости, и проверили всё самостоятельно. Все было в порядке, утечек мы не нашли. Затем связались с подрядчиками, которые специализируются на выявлении подобных уязвимостей, и заказали еще одну проверку. Эти компании провели аудит и также подтвердили, что лазеек, через которые данные клиентов могут утекать в сеть, в нашей системе нет. Но мы все равно пошли еще дальше и обратились в профильные организации, которые занимаются тестированием на проникновение. Их сотрудники способны имитировать действия злоумышленников, так выявляют слабые места в системе безопасности. Эта проверка показала, что брешей, через которые хакеры могут похитить персональные данные клиентов с целью перепродажи их другим лицам, в нашей системе нет. Пробраться в нашу инфраструктуру извне невозможно.

— Как мы можем это гарантировать нашим клиентам?

— Мы проверили свою инфраструктуру многократно и с привлечением сторонних специалистов в области тестирования на проникновения. Такие проверки мы делаем раз в год с целью быть уверенными в защищенности и целостности данных наших клиентов и нашей инфраструктуры. У нас выполнены все регуляторные требования государственных органов к процессам сбора, хранения, обработки данных наших клиентов. Над защитой персональных данных работают отличные специалисты. У нас стоит соответствующим образом сертифицированное техническое и программное обеспечение, надежно защищающее данные от утечек. Проблема не на нашей стороне.

— Может ли кто-то из сотрудников тайком продавать данные клиентов на сторону?

— Чтобы у кого то из работников нашей компании была возможность продавать данные клиентов, у него должны быть права на просмотр всех клиентов всех салонов в CRM-системе. У нас такой сценарий невозможен: мы используем разграничение прав доступа к CRM. Это значит, что у сотрудников компании есть доступ только к тем клиентам, с которыми работает конкретный работник, салон или подразделение компании. Однако статистика показывает, что клиенты приходят с сообщением о звонках от конкурентов из совершенно разных салонов и способов взаимодействия.

— Кто же ответственен за то, что нашим клиентам продолжают поступать нежеланные звонки?

— Сервисы, которые несмотря на принятые меры, иногда позволяют получать данные в обход всех этих необходимых защит. Проблема торговли анонимными персональными данными сейчас набирает обороты и стала настолько серьезной, что вышла на государственный уровень. Ее обсуждали на Международном экономическом форуме в Санкт-Петербурге в прошлом году, а осенью этого года сразу во втором и третьем чтении принят законопроект об ужесточении наказаний за торговлю персональными данными, внесены изменения в Уголовный кодекс. За незаконное использование, передачу, сбор и хранение персональных данных сейчас можно получить не только большой штраф, но и реальный срок.

Как данные попадают к спамерам

— Этим промышляют некоторые недобросовестные компании, которые с помощью уловок собирают («парсят») номера телефонов пользователей, зашедших на сайт или позвонивших на горячую линию, и передают их за вознаграждение заказчикам. Они действуют в очень серой зоне, но легитимно, потому что собирают и передают третьим лицам лишь набор цифр и зная, что человек интересовался тем или иным товаром, в нашем случае, мебелью, без личной информации. Но все эти цифры — номера телефонов реальных людей, которые легко из анонимных превратить в персональные, найти по телефону данные в открытых источниках — соцсетях, например.

— Как они действуют?

— Если говорить кратко, то данные любого человека могут попасть в базы данных спамеров несколькими путями:

— через серые сервисы, позволяющие осуществлять мониторинг конкретных номеров конкретных компаний и получать информацию о входящих и исходящих по этому номеру,

— через мобильных операторов, которые собирают базы людей, которые согласились на передачу данных третьим лицам в рекламных целях.

Этими лазейками и пользуются компании-посредники, работающие в области big data — баз данных. Как правило, к их услугам прибегают небольшие «гаражные» производители, маленькие студии дизайна или индивидуальные предприниматели. У них нет бюджета на рекламу, и им проще и выгоднее купить телефоны готовых клиентов других компаний и попытаться протолкнуть им свое «выгодное предложение». Крупные компании типа нашей никогда в подобном не участвуют, чтобы не портить репутацию. Но именно с сайтов крупных компаний и собираются номера телефонов.

Как это происходит? Допустим, обращается в такую компанию-посредник маленькое мебельное производство — ИП Иван Иванович Иванов и заказывает собрать телефоны всех, кто обратился за мебелью к его крупному конкуренту.

Когда мы с вами берем в руки мобильный телефон и звоним по телефону или заходим на сайт, сотовые операторы также видят все эти действия: на каких сайтах сидит человек, с какого номера звонит. Тут возможны два варианта. Первый — недобросовестные сотрудники мобильных операторов могут собирать и передавать эти данные третьим лицам. Это незаконно, потому что фактически они их воруют. Второй вариант — они делают это вполне открыто, используя легитимные инструменты, и также продают сторонним компаниям-посредникам. Причем формально они даже не нарушают закон, потому что при покупке номера телефона у мобильного оператора мы не только привязываем наш телефон к паспортным и другим персональным данным, но и подписываем договор, в котором написано, что мобильный оператор имеет право передавать персональную информацию третьим лицам в рекламных целях.

— Звонящий с рекламным предложением менеджер обычно обращается по имени, то есть знает не просто номер, а адресата. Как это возможно?

— Имея на руках номер телефона, найти другие данные владельца этого телефона в интернете несложно. Некоторые посредники даже предлагают услуги колл-центра: они сами прозванивают все собранные номера, да, где-то их посылают, но некоторые соглашаются выслушать. В этом случае возможно собрать недостающую информацию о человеке.

— Есть ли возможность защититься от массовых обзвонов?

— Практически нет. Когда мы изучали вопрос, я вел аналитику, и выяснилось, что нежелательный контакт происходит независимо от способа, каким клиент к нам пришел. Есть несколько сценариев взаимодействия с нашей компанией:

— человек зашел к нам на сайт и позвонил по указанному на сайте номеру — и буквально тут же ему перезванивают наши конкуренты;

— человек записался в салон через форму обратной связи, и могут последовать звонки;

— человек своими ногами пришел к нам в салон, заказал кухню — и все равно его действия отследили спамеры и начали звонить с предложениями.

Мы как компания повлиять на это не можем. А для клиента все это выглядит элементарно: звонки начались после обращения в компанию «Стильные Кухни»? Значит, мы и виноваты.

— Что мы можем сделать для того, чтобы защитить наших клиентов?

— Мы можем только рекомендовать отозвать разрешение на передачу персональных данных третьим лицам. Заявление можно написать в любом офисе своего мобильного оператора. После этого под угрозой штрафа мобильный оператор не сможет передавать ваши данные третьим лицам в рекламных целях.

— Эта проблема касается только мебельных компаний?

— Нет, первыми столкнулись с этим компании, которые занимаются недвижимостью. Там большой объем продаж, огромный рынок финансирования, высокие чеки. Я сам покупал квартиру пару лет назад, и мне до сих пор звонят и предлагают выгодные квартиры. Аналогично страдают и те, кто обращался за покупкой машины. Повторяю, что сегодня все больше категорий бизнесов сталкиваются с работой «серых» сервисов, торгующих данными, поэтому государство взяло эту проблему под контроль.

— Есть ли в компании «Стильные Кухни и Интерьеры» политика конфиденциальности? Где с ней можно ознакомиться?

— У нас есть политика конфиденциальности, которую мы неукоснительно соблюдаем. Ознакомиться с нею можно на сайте в разделе правовой информации https://www.stilkuhni.ru/about/pravovaya-informaciya/

— Обучаются ли сотрудники правилам работы с персональными данными?

— Все наши новые сотрудники в обязательном порядке проходят тренинг. У нас закуплен специальный инструмент повышения осведомленности и обучения работников информационной безопасности. Мы учим сотрудников парольной политике, основам информационной безопасности, правильному хранению и обращению с персональными данными.

Как предотвратить нежелательные звонки: совет эксперта

— Дайте совет клиентам, которые переживают за свои данные, как им прекратить нежелательные звонки?

— Если вам поступают спам-звонки, кажется самым простым просто заблокировать номер звонящего. Однако этот же способ — самый неэффективный, ведь в распоряжении злоумышленников много телефонных номеров, с которых можно вести обзвоны. Например, одна из компаний звонила мне с 11-ти разных номеров, я устал их вносить в «черный список».

Есть несколько более эффективных способов исключить свой номер телефона из баз данных для массовых обзвонов. Для этого нужно, чтобы именно ваш номер телефона попал в «черный список» спамеров.

Это можно сделать несколькими путями:

— сослаться на закон «О рекламе», согласно которому распространять рекламные предложения по телефону можно только при условии предварительного согласия абонента, а вы такого согласия не давали;

— сослаться на другой закон — «О персональных данных», и сообщить звонящему, что для защиты персональных данных разговор будет записываться. Обычно после такого сотрудник колл-центра сразу бросает трубку, а номера юридически подкованных абонентов помечают, чтобы с ними больше не связываться;

— сделать вид, что вы — представитель организации, а не частное лицо: все корпоративные номера отсеиваются из баз данных потенциальных клиентов, и «выгодных предложений» им больше не поступает;

— на все предложения отвечать четкое «Нет» и «Мне это не интересно». После трех «нет» рекламный менеджер, скорее всего, завершит разговор и поставит напротив вашего номера пометку, что звонить вам — пустое дело.

Данные клиентов компании «Стильные Кухни и Интерьеры» надежно защищены в соответствии с действующим законодательством. Все требования безопасности соблюдены: закуплены необходимые сертифицированные технические средства, стоят системы защиты персональных данных. Надежность наших информационных систем подтверждается ежегодно: проводятся аудиты, тестирование сторонними независимыми подрядчиками. Мы работаем прозрачно и очень ценим доверие наших клиентов.