Доступ сотрудников банка к конфиденциальной информации

Цитата
vfenty пишет: Текст СМС сообщений не является конфиденциальной информацией. Недоступно широкому кругу лиц ≠ конфиденциально.

Интересное мнение. Хорошо, такая ситуация. Обращался в чате, т.е. заочно. Банк на 100% не может быть уверен, что в чате обращается именно владелец счёта, т.к. визуально не понятно, кто обращается, но тем не менее был сообщён дословный текст из смс, т.е. по сути конфиденциальная информация. Ну т.е. представим, житейскую ситуацию (к счастью не мой случай, но теоретически) - в чат от имени мужа написала жена(или наоборот), а они возьми да и выложи всю конфиденциальную информацию постороннему по сути.
И опять же, возвращаясь к кодам подтверждения - разве это не конфиденциальная информация?

Цитата
vfenty пишет: У технического персонала из-за высокого уровня доступа возможности максимально широкие, у маринок максимально ограничены да к тому же любое действие логируется.

Едва ли в чате банка отвечает именно технический персонал, имхо скорее всего те же маринки и если это так, именно в чате мне сообщили дословный текст из смс.

Цитата
vfenty пишет: Сотрудники банка вообще знают о вас всё и могут сделать что угодно с вашими счетами.

Впрочем, это всё расставляет всё на свои места, если это действительно так. И очень печально.

Цитата
vfenty пишет: Злоумышленник смог войти в ваш ЛК введя лоигн, пароль и самостоятельно прочитав код из СМС. Дальше он зачем-то спрашивает у маринки содержание другого СМС вместо того чтобы перевести деньги прямо сейчас и напрямую? Мошенник внутри вашего ЛК в прицнипе видит любые данные, маринка ему не нужна. В этом тоже она виновата? Это лишено смысла.

Логика в вашем ответе есть. Но я не виню маринку, как таковую - у меня вопросы к банку. И, думаю, всё же не во всех банках такой беспорядок, а именно это мне приходит на ум, при ситуации выше.
Как контраргумент - например в (!)другом банке, при посещении отделения, иногда возникают ситуации, когда нужно сообщить код из смс сотруднику на месте. Казалось бы, зачем это действие, если "они там в банках" всё и всегда и видят и могут сделать всё что угодно.

А какой ответ ожидается и как автор вопроса планирует его проверить?


В обычном банке разные смс формируют разные системы.
- смс про операции
- смс с кодами
- смс с рекламой
- смс с напоминанием (завтра платеж по кредиту итд)

При том их формируют не просто разные системы банка, часть смс еще при этом платная (не платишь, они не приходят) и у них разные настройки (с кодами только по смс, а про операции могут быть и пушами)

Ну и далее, Маринки видят некоторые смс (которые нужны для работы, чтобы с клиентами разбирать проблемы). СМС с кодами Маринка не видит.

(как этот ответ планирует проверить автор - хз)

Цитата
vfenty пишет: Этот ваш контраргумент он, похоже, самому себе. С какой целью вы сообщаете третьему лицу конфиденциальную (как вам кажется) информацию?

Нахожусь в офисе банка, сообщаю информацию сотруднику. Как по мне тут нет никакой проблемы. Кроме этого, обычно в тексте подобных смс - написана цель этой смс, например, закрытие карты, открытие счёта/кредита и всегда можно принять решение об отказе сообщения этих данных сотруднику.

Цитата
Cheetah пишет: как автор вопроса планирует его проверить?

Цитата
Cheetah пишет: как этот ответ планирует проверить автор - хз

Странное ответвление от сути вопроса. Я где-то написал, что планирую что-то проверять? Для меня было новостью сам факт того, что сотрудники ТП имеют доступ к содержимому сообщений, направляемых клиенту из банка.

mikhailov65 - Ваш ответ более менее расставил всё на свои места, но в контексте написанного выше (не вами), что "Сотрудники банка вообще знают о вас всё и могут сделать что угодно с вашими счетами." © - появился повод для размышлений. Более того, всё же остались сомнения, что сотрудники всё же не видят текст этих смс, (!)любых смс, направляемых клиенту, по крайней мере в конкретном банке. База данных может быть сколь угодно надёжно защищена (например алгоритм генерации т.н. ТОТР кодов), но на т.н. последней миле, при доставке клиенту, она возможно всё же становится доступной третьим лицам. Или, если хотите, мне сложно поверить в факт того, что после того, как сотрудница ТП в чате мне слово-в-слово написала текст моего одного из сообщений из банка, что другие сообщения из банка, эта же сотрудница не видит.

Цитата
D1dle пишет: Сотрудники банка вообще знают о вас всё и могут сделать что угодно с вашими счетами." © - появился повод для размышлений.

Вы слишком дословно восприняли данное предложение. Далеко не все сотрудники, а только те которым это необходимо и только в той части, которая необходима для выполнения им их обязанностей. При чем все действия логируются (логи изменить нельзя, сотрудники не имеют к ним доступа на запись). Насчет действий со счетами, да, определенные сотрудники (имеющие соответствующие права доступа), могут со своего логина войти в АБС и перевести деньги, но это все будет зафиксировано.

Цитата
D1dle пишет: (!)любых смс, направляемых клиенту, по крайней мере в конкретном банке.

Не всех СМС, а только информационных, и не все сотрудники, а только те, которым это необходимо и разрешено.

Цитата
D1dle пишет: но на т.н. последней миле, при доставке клиенту, она возможно всё же становится доступной третьим лицам.

Что Вы имеете в виду под "последней милей"? Интерфейс к системе? Он еще более ограничивает доступ сотрудников к информации, прямого доступа к БД никто из сотрудников (кроме DBА) не имеет. Разработчики ведут разработки на тестовой базе, доступа на бой не имеют (часто они вообще из другой организации), потом передают скрипты для наката. Провода между компом и БД? Не совсем представляю, как кто-то подцепит такую прослушку и вычленит из всего потока информации что-то стоящее.

Цитата
D1dle пишет: Насколько законным является тот факт, что сотрудники банка, например в чате поддержки имеют доступ к конфиденциальной информации, содержащейся в тексте смс?

Почему вы считаете эту информацию конфиденциальной? У сотрудника должен быть доступ к некоторой информации, чтобы они могли с вами говорить на одном языке. Не так ли?

Цитата
Т.е. если развить тему, то получается те самые коды подтверждения, что приходят в сообщениях - тоже доступны маринкам из ТП?

Не факт, но явного запрета нет. Обычно доступ закрыт для линейного персонала, но есть у риск-служб и админов.
Могу про свой банк сказать - у нас закрыт доступ к кодам для линейного персонала. И текст сообщения видят также не все, только старшие специалисты.

Цитата
Или если кто-то из сотрудников банка, будет знать данные карты клиента и имеет доступ к сообщениям в смс - сам(-а) или через сообщников легко и просто может сделать любые действия со счётом клиента, как-то покупка товаров и услуг, действия в ЛК клиента, кредиты... да что угодно.

Ну давайте порассуждаем.
Какие данные карты клиента может знать поддержка? Допустим номер (не факт, т.к. стандарт PCI DSS сильно ограничивает доступ к полным номерам карт), допустим срок действия, и явно нет доступа к CVV2/CVC2 (хранение явно запрещено). Опять же про свой банк - у линейного персонала в доступе только маскированные номера карт и совсем не доступны данные CVV2/CVC2.
Действия в ЛК (ДБО)? Надо знать логин и пароль. У меня в банке - поддержка видит логин, но не видит пароль, и, при необходимости, и может их сбросить клиенту в SMS (пароль для поддержки также зашифрован для сотрудника).
Кредит тоже надо понять в каком месте берётся и как только одним кодом можно всё подтвердить и получить 3-му лицу...

Цитата
Обращался в чате, т.е. заочно. Банк на 100% не может быть уверен, что в чате обращается именно владелец счёта, т.к. визуально не понятно, кто обращается, но тем не менее был сообщён дословный текст из смс, т.е. по сути конфиденциальная информация.

Хотите сказать, что вас никак не идентифицировали? Т.е. для чата вы просто "мимопроходил", но вам тут же всё рассказали?

Цитата
m.potter пишет: явно нет доступа к CVV2/CVC2 (хранение явно запрещено)

Куча банков показывает в ИБ/мобильном приложении полные реквизиты карты, включая CVC/CVV (а значит, они их хранят, если и в шифрованном, то в обратимом виде). Некоторые банки показывают в МП пин-код (и значит, они его тоже хранят).

Цитата
D1dle пишет: но всё же к вопросу (теоретически) муж-жена/близкий чел. + сложные отношения в семье, считаю выкладывать текст смс с суммой в чате = не есть правильно, ибо сотрудник ТП не может быть на 100% уверен, кто по ту сторону чата.

Разумеется такой риск есть всегда. Если третье лицо имеет все доступы и знает всё что нужно, то для банка это клиент. Например, если жена знает ПИН-код и имеет доступ к карте, то банкомат ей денег выдаст, а не вызовет полицию.