Безопасны ли мои личные данные?
Мы собираем минимум: имя + телефон. Ни паспортов, ни удостоверений, ни биометрии. Чувствительные данные хранятся в зашифрованном виде; ни поддержка, ни админ-интерфейсы не видят полный номер карты.
Сам по себе вопрос «А безопасны ли мои данные» не несёт информации — чтобы его проверить, нужно разложить его на части. Безопасность персональных данных на деле складывается из трёх независимых вопросов: какие сведения о вас платформа собрала, кто и при каких условиях может их увидеть и в каком виде они хранятся. Если хотя бы одно из этих трёх звеньев ослаблено, безопасности нет. Ниже разберём каждое звено по отдельности — и вы сможете приложить эту рамку к любой аналогичной платформе.
Начнём с контринтуитивного вывода: самый прочный уровень защиты приватности — это не алгоритм шифрования, а принцип «вообще не собирать». Чем больше чувствительных данных держит у себя платформа — удостоверение личности, паспорт, снимок лица, — тем шире область вашего риска в случае утечки. У нас подход обратный: идентификационные данные сжаты до минимально необходимого для соблюдения требований при выпуске карты набора — имя и номер телефона, а к документам и биометрии мы не прикасаемся вовсе (для входа в аккаунт дополнительно нужны e-mail и пароль, но это функциональные учётные данные, которые требует любой сайт, и к вашим идентификационным данным они не относятся). То, что идентификационные данные не попадают в базу, попросту исключает возможность их утечки — это самый дешёвый и одновременно самый радикальный вид защиты.
Что мы собираем, а что нет — всё в одной таблице
| Элемент данных | Категория | Собираем ли | Назначение / пояснение |
|---|---|---|---|
| Учётные данные аккаунта | Собираем (при регистрации) | Служит логином для входа и для получения кода | |
| Пароль | Учётные данные аккаунта | Собираем (при регистрации) | Хранится в зашифрованном виде, открытый текст не сохраняется |
| Имя | Идентификационные данные | Собираем (перед первым выпуском карты) | Данные держателя, обязательны для соблюдения требований на этапе выпуска |
| Номер телефона | Идентификационные данные | Собираем (перед первым выпуском карты) | Контактные данные держателя |
| Удостоверение / паспорт | Идентификационные данные | Не собираем | Проверка личности по документам не проводится |
| Лицо / биометрия | Идентификационные данные | Не собираем | Проверка живости и распознавание лица не выполняются |
Ключ к чтению таблицы — различать две группы. E-mail и пароль — это учётные данные для входа в аккаунт, функциональные элементы, которые позволяют вам войти и получить код; вашими идентификационными данными они не являются. А в группе идентификационных данных мы по принципу минимальной необходимости собираем только имя и номер телефона, а к документам, паспорту и лицу не прикасаемся вовсе. Формулировка «собираем только имя + номер телефона» относится именно к идентификационным данным, а не к тому, чтобы приплюсовать сюда ещё и учётные данные для входа.
Одни и те же данные разные роли видят с разной степенью детализации
После того как объём сбора сжат, второй рубеж защиты — это контроль доступа. Принцип прост: полный номер карты принадлежит только вам, внутри платформы действует минимальная выдача прав по принципу «даём, только если нужно», и любое обращение к чувствительным данным фиксируется и поддаётся проверке.
| Сценарий просмотра | Доступная детализация | Условия и ограничения |
|---|---|---|
| Вы сами смотрите реквизиты карты | Полный номер карты / срок действия / CVV | Нужно предварительно пройти двухфакторную проверку |
| Поддержка помогает разобраться с проблемой | Полный номер карты не виден (замаскирован) | Маскирование на уровне интерфейса, поддержка не может его раскрыть |
| Администратор обращается к чувствительным данным | Обращение возможно лишь при реальной необходимости | Динамический код + обязательный журнал аудита |
Пункт про журнал аудита легко упустить, а он ключевой: он превращает вопрос «можно ли посмотреть» в вопрос «за просмотр придётся отвечать» — кто, когда и к чему обращался, всё фиксируется и поддаётся последующей проверке, так что превышение полномочий внутри не может произойти незаметно. Добавьте сюда ещё и то, что обращение администратора требует динамического кода, и получится, что чувствительные данные нельзя посмотреть по желанию: каждое обращение фиксируется и влечёт ответственность.
Шифрованное хранение чувствительных данных — это настройка по умолчанию, а не дополнительная опция
То, что к данным можно получить санкционированный доступ, ещё не значит, что они лежат в базе в исходном виде. Такие чувствительные поля, как пароль и данные карты, попадают в базу в зашифрованном виде, а не открытым текстом; даже если кто-то с превышением полномочий доберётся до уровня хранения, он получит шифротекст, а не готовые к использованию исходные данные. На этом три уровня защиты складываются воедино: мало собираем (объём сбора идентификационных данных минимален), сложно посмотреть (права выдаются по ролям), а посмотрев — увидишь шифротекст (шифрованное хранение); если один уровень падёт сам по себе, остаются ещё два в качестве подстраховки.
Данные передаются учреждению-эмитенту только на необходимом этапе соблюдения требований при выпуске карты
Заботясь о безопасности данных, помимо того, кто может их видеть внутри платформы, легко упустить ещё один уровень: не уйдут ли они наружу. Здесь честно очертим границы. Выпуск карты происходит на стороне учреждения-эмитента, поэтому имя и номер телефона как данные держателя необходимо передать лицензированному учреждению-эмитенту, чтобы завершить выпуск — это передача данных, обязательная для соблюдения требований при эмиссии. А такие высокочувствительные элементы, как документы, паспорт и лицо, мы изначально не собираем, поэтому и вопроса об утечке подобных сведений наружу попросту не возникает. Чем меньше объём сбора, тем меньше область, которую можно раскрыть наружу, — принцип минимальной необходимости точно так же работает и в отношении внешних потоков данных.
Эти моменты вы можете проверить сами, не полагаясь только на наши слова
- На этапе регистрации: на всём протяжении нужны только e-mail, код и пароль — никаких шагов с загрузкой документов или сканированием лица.
- При заполнении данных перед выпуском карты: у вас запрашивают только имя и номер телефона, а номер удостоверения, паспорт или лицо не требуют.
- При просмотре реквизитов карты: обратите внимание, срабатывает ли двухфакторная проверка — насторожиться стоит как раз тогда, когда положенная проверка не появилась.
- При обращении в поддержку: попросите сотрудника назвать ваш полный номер карты — в нормальной ситуации он его назвать не сможет, потому что в интерфейсе номер замаскирован.