02.04.2019
«Compliance — как пожарная безопасность. Пока ничего страшного не произошло, кажется, что это не так важно. Но если не обращать на это внимания, может случиться все что угодно. К примеру, при утечке данных акции крупнейших компаний могут упасть до нуля», — сказал CEO ATH American Express GBT Андрей Воронин во время ACTE Moscow Executive Forum. Мероприятие состоялось в Holiday Inn Sokolniki 28 марта.
Так что же такое compliance в широком понимании этого термина? В целом это — соблюдение законов и правил самой компании, этики, информационной безопасности и ряда других стандартов. Это понятие состоит из четырех аспектов: антикоррупционной составляющей, конфиденциальности данных, компьютерной безопасности и проверки поставщиков.
Как выяснилось, компании из сферы путешествий становятся все более уязвимыми.
«За последние несколько лет тревел-индустрия вышла на второе место после банков с точки зрения привлекательности для киберпреступников», — сообщил эксперт.
Почему? Потому что TMC, например, владеют персональной информацией на уровне банков: это паспортные данные, номера кредитных карт, сведения о поездках. Если агентство оформляет визы, то это в том числе счета, контакты близких родственников и многое другое.
Кроме того, компании с «сильным» брендом — первоочередная цель для киберпреступников. «Им неинтересно взламывать маленькие фирмы, им хочется создать скандал с большим брендом», — объяснил спикер.
Что поможет обезопасить данные? По словам Андрея Воронина, во-первых, нужно помнить, что compliance — это непрерывный процесс. Даже если на первый взгляд все соответствует норме, при аудите обычно находятся 5-10 аспектов, которые можно изменить или улучшить.
Второй важный пункт — соблюдение PSI DSS. Это стандарт индустрии платежных систем, которому должна следовать любая компания, которая принимает, обрабатывает и хранит карты. Причем недостаточно получить этот сертификат один раз, нужно проходить проверку на соответствие стандартам каждый год.
Третье — важно соответствовать 152-му Федеральному закону «О персональных данных». «На самом деле доказать, что ты все делаешь в рамках этого закона, очень сложно, особенно для TMC. Многие хвастаются тем, что находятся в реестре операторов, осуществляющих обработку персональных данных, но на самом деле это не подтверждает соответствие компании тем или иным стандартам», — отметил спикер.
Кроме того, нужно провести в компании аудит компьютерной безопасности по большому количеству параметров.
Однако в России, по словам эксперта, пока плохо понимают важность compliance: «Честно говоря, не помню ни одного случая среди российских компаний, когда аудит compliance был включен в тендерное задание. То же самое и с соответствием 152-му закону».
В иностранных корпорациях, если вы как поставщик не соответствуете требованиям compliance, вас не выберут никогда, слишком высокие риски для бизнеса. «Неважно, какие у вас цены, услуги, технологии. А сотрудников, которые не проходят тренинги по безопасности, compliance, антикоррупции, отстраняют от обслуживания клиентов», — заключил Андрей.
Источник: https://buyingbusinesstravel.com.ru/news/travel-management/18929-agentstva-delovogo-turizma-zanimayut-vtoroe-mesto-posle-bankov-po-privlekatelnosti-dlya-kiberprestup/?fbclid=IwAR2n0gmJ0hUbBioW_CIlikSn9HOZXw32EEWoe-WMV2b34IgoPBOUL7X7RBk