«Compliance — как пожарная безопасность. Пока ничего страшного не произошло, кажется, что это не так важно. Но если не обращать на это внимания, может случиться все что угодно. К примеру, при утечке данных акции крупнейших компаний могут упасть до нуля», — сказал CEO ATH American Express GBT Андрей Воронин во время ACTE Moscow Executive Forum. Мероприятие состоялось в Holiday Inn Sokolniki 28 марта.
ACTE Forum 2019 Voronin Andrey (1).jpg" src="/upload/medialibrary/e11/ACTE%20Forum%202019,%20Voronin%20Andrey%20(1).jpg" height="412" title="По словам CEO ATH American Express GBT Андрея Воронина, в иностранных корпорациях, если вы как поставщик не соответствуете требованиям compliance, вас не выберут никогда">
Так что же такое compliance в широком понимании этого термина? В целом это — соблюдение законов и правил самой компании, этики, информационной безопасности и ряда других стандартов. Это понятие состоит из четырех аспектов: антикоррупционной составляющей, конфиденциальности данных, компьютерной безопасности и проверки поставщиков.
Как выяснилось, компании из сферы путешествий становятся все более уязвимыми.
«За последние несколько лет тревел-индустрия вышла на второе место после банков с точки зрения привлекательности для киберпреступников», — сообщил эксперт.
Почему? Потому что TMC, например, владеют персональной информацией на уровне банков: это паспортные данные, номера кредитных карт, сведения о поездках. Если агентство оформляет визы, то это в том числе счета, контакты близких родственников и многое другое.
Кроме того, компании с «сильным» брендом — первоочередная цель для киберпреступников. «Им неинтересно взламывать маленькие фирмы, им хочется создать скандал с большим брендом», — объяснил спикер.
ACTE Forum 2019 Voronin Andrey (2).jpg" src="/upload/medialibrary/58c/ACTE%20Forum%202019,%20Voronin%20Andrey%20(2).jpg" height="413" title="ACTE Moscow Executive Forum состоялся в Holiday Inn Sokolniki ">
Что поможет обезопасить данные? По словам Андрея Воронина, во-первых, нужно помнить, что compliance — это непрерывный процесс. Даже если на первый взгляд все соответствует норме, при аудите обычно находятся 5-10 аспектов, которые можно изменить или улучшить.
Второй важный пункт — соблюдение PSI DSS. Это стандарт индустрии платежных систем, которому должна следовать любая компания, которая принимает, обрабатывает и хранит карты. Причем недостаточно получить этот сертификат один раз, нужно проходить проверку на соответствие стандартам каждый год.
ACTE Forum 2019 Voronin Andrey (3).jpg" src="/upload/medialibrary/f3a/ACTE%20Forum%202019,%20Voronin%20Andrey%20(3).jpg" height="413" title="Выступление спикера на ACTE Forum 2019 было посвящено безопасности данных">
Третье — важно соответствовать 152-му Федеральному закону «О персональных данных». «На самом деле доказать, что ты все делаешь в рамках этого закона, очень сложно, особенно для TMC. Многие хвастаются тем, что находятся в реестре операторов, осуществляющих обработку персональных данных, но на самом деле это не подтверждает соответствие компании тем или иным стандартам», — отметил спикер.
Кроме того, нужно провести в компании аудит компьютерной безопасности по большому количеству параметров.
Однако в России, по словам эксперта, пока плохо понимают важность compliance: «Честно говоря, не помню ни одного случая среди российских компаний, когда аудит compliance был включен в тендерное задание. То же самое и с соответствием 152-му закону».
В иностранных корпорациях, если вы как поставщик не соответствуете требованиям compliance, вас не выберут никогда, слишком высокие риски для бизнеса. «Неважно, какие у вас цены, услуги, технологии. А сотрудников, которые не проходят тренинги по безопасности, compliance, антикоррупции, отстраняют от обслуживания клиентов», — заключил Андрей.
