בפוסט קודם: רשימות שחורות רשימות לבנות התיחסתי לנושא של פרטיות מידע פיננסי אישי, בהקשר של פרויקט יעוץ בחו"ל שבוצע על ידי חברת יעוץ בינלאומית גדולה. אני הייתי שותף לפרויקט כיועץ Freelancer מטעם אותה חברה.
הפרויקט היה מחשוב של רשימה לבנה של אשראי שלקחו משקי בית וגורמים אחרים.
אחד הנושאים המהותיים היה שמירה על פרטיות המידע של אותם אנשים.
נושא זה הרבה פחות מהותי לגבי הרשימה השחורה שמוחשבה באותו ארגון. אלה שנכללו בה לא עמדו בהחזר האשראי שלקחו והחוק באותה המדינה התיר לפרסם את פרטיהם על מנת שיוכלו להימנע מלתת להם אשראי.
בעידן ה-Cyber גדל החשש משימוש לרעה במידע הפיננסי האישי מצד גורמים, שאינם מורשים וניצלו פרצות אבטחה, על מנת לגשת למידע הזה ולבצע פעולות.
הפרויקט היה מחשוב של רשימה לבנה של אשראי שלקחו משקי בית וגורמים אחרים.
אחד הנושאים המהותיים היה שמירה על פרטיות המידע של אותם אנשים.
נושא זה הרבה פחות מהותי לגבי הרשימה השחורה שמוחשבה באותו ארגון. אלה שנכללו בה לא עמדו בהחזר האשראי שלקחו והחוק באותה המדינה התיר לפרסם את פרטיהם על מנת שיוכלו להימנע מלתת להם אשראי.
בעידן ה-Cyber גדל החשש משימוש לרעה במידע הפיננסי האישי מצד גורמים, שאינם מורשים וניצלו פרצות אבטחה, על מנת לגשת למידע הזה ולבצע פעולות.
ההגדרה של גורמים מורשים וגורמים לא מורשים להשתמש במידע היא הרבה פחות חדה ממה שנדמה לחלק מהקוראים.
גורמים בגוף הפיננסי הנותן שירותים פיננסיים
גורמים בגוף הפיננסי הנותן שירותים פיננסיים
ברור שיש עובדים בגוף המנהל פעולות פיננסיות או נכסים פיננסיים החייבים לגשת למידע של לקוחות על מנת לבצע עבורם פעילויות פיננסיות ו/או דיווחים.
הבעיות בהקשר זה עלולות להיות:
1. גישה למידע וביצוע פעולות על ידי עובדים של אותו גוף פיננסי, שאינם מורשים לעשות זאת.
2. שימוש לרעה בהרשאות על ידי עובדים מורשים.
ההיקף של גישת עובדי בנקים לחשבונות ומשיכת כספי לקוחות שלא כדין, יותר גדול ממה שהקורא הממוצע משער.
בהרבה מקרים בנקים בעולם ובארץ מעדיפים לפצות את הלקוחות הנפגעים בשקט ולא לפרסם את מה שקרה.
פרסום עלול לגרום ללקוחות לנטוש אותם לטובת בנקים אחרים.
העברת מידע לגורמים אחרים שלא ברשות
העברת מידע פיננסי של לקוח על ידי גוף מנהל לגורמים עסקיים אחרים עלולה להיות בעיתית במקרה בו הלקוח לא מאשר את העברת המידע או לא מודע להעברת המידע.
לצערי העברות מידע כאלה מתרחשות. זה לא חיב להיות הארגון המנהל את המידע. זה יכול להיות גם עובד המבצע את זה על דעת עצמו.
בכתבה בחדשות ערוץ 2 התיחס עו"ד דן חי לשימוש בפרטי לקוח המופיעים על צ'ק שלו, שלא למטרות פדיון הצ'ק. במקרה הספציפי, ניסיון לשכנע את הלקוח הפוטנציאלי להעביר את החשבון שלו לבנק הפונה. אינני עורך דין, אבל עו"ד חי חושב שזו עבירה פלילית שהעונש עליה עלול להגיע למספר שנות מאסר.
העברת מידע ברשות הלקוח
סוג אחר של דילמה היא העברת מידע פיננסי או משיכת מידע פיננסי באישורו של הלקוח.
הלקוח אולי מעונין להעביר את המידע הבנקאי שלו לבנק אחר על מנת שיציע לו תנאים משופרים.
מקרה אחר הוא רצונו של לקוח לרכז את כל המידע הבנקאי או הפיננסי שלו במקום אחד, למשל: מידע משני חשבונות בנקים ומחברת כרטיסי אשראי.
ריכוז המידע ולפעמים גם ניתוח שלו עשויים לעזור למשק הבית להתנהל טוב יותר.
פיננדה (Finanda) היא דוגמה פיתרון ממוחשב המרכז מידע פיננסי ומאפשר דיווח וניתוח שלו. הלקוח יכול לבחור סוגי דיווח מתוך סט הדיווחים הקיימים במוצר.
ברמה העקרונית אני לא רואה בעיה בזה שלקוח של גוף הנותן שירותים פיננסיים יאפשר, מרצונו הטוב, העברת מידע לגוף אחר הנותן לו שירותים או עשוי לתת לו שירותים.
באופן עקרוני הוא היה יכול לגשת לנתונים להדפיס אותם ולמסור אותם לאותו גורם.
הדפסה כזו היא ללא ספק הרבה פחות יעילה מהעברת מידע ממוחשבת סדירה.
הבעיה היא שהבנקים לא ממש אוהבים העברת מידע כזו. זה עלול לגרום ללקוח להעביר את הכספים שלו לניהולו של מתחרה זול יותר.
הם מערימים קשיים על העברת מידע כזה. לפעמים הרגולציה עוזרת להם להקשות על העברת מידע כזה.
כמעט לכל קושי יש פיתרון. גם לקושי בהעברת מידע. הפיתרון שבו בחרו בנקים וגופים אחרים בעבר נקרא Screen Scraping. נתוני הלקוח בבנק המסרב לשתף מידע נשלפים ממסך דיווח של הבנק. לטכניקה הזו יש בעיות טכניות אבל גם בעיה אחת מהותית.
על מנת לבצע דיווח כזה היישום הממוחשב זקוק לשם משתמש וסיסמה של הלקוח בבנק.
הצירוף של שם משתמש וסיסמה אינו מוגבל רק לדיווחים: הוא מאפשר גם ביצוע פעולות. זוהי פירצה קשה באבטחת מידע של הנתונים.
מי שמספק את שם המשתמש והסיסמה מרצונו הטוב הוא הלקוח. זה יוצר בעיה נוספת. פחות חמורה מהבעיה המסומנת באדום לעיל. הבנק אוסר על הלקוח לתת את שם המשתמש והסיסמה שלו למישהו אחר.
הבעיות בהקשר זה עלולות להיות:
1. גישה למידע וביצוע פעולות על ידי עובדים של אותו גוף פיננסי, שאינם מורשים לעשות זאת.
2. שימוש לרעה בהרשאות על ידי עובדים מורשים.
ההיקף של גישת עובדי בנקים לחשבונות ומשיכת כספי לקוחות שלא כדין, יותר גדול ממה שהקורא הממוצע משער.
בהרבה מקרים בנקים בעולם ובארץ מעדיפים לפצות את הלקוחות הנפגעים בשקט ולא לפרסם את מה שקרה.
פרסום עלול לגרום ללקוחות לנטוש אותם לטובת בנקים אחרים.
העברת מידע לגורמים אחרים שלא ברשות
העברת מידע פיננסי של לקוח על ידי גוף מנהל לגורמים עסקיים אחרים עלולה להיות בעיתית במקרה בו הלקוח לא מאשר את העברת המידע או לא מודע להעברת המידע.
לצערי העברות מידע כאלה מתרחשות. זה לא חיב להיות הארגון המנהל את המידע. זה יכול להיות גם עובד המבצע את זה על דעת עצמו.
בכתבה בחדשות ערוץ 2 התיחס עו"ד דן חי לשימוש בפרטי לקוח המופיעים על צ'ק שלו, שלא למטרות פדיון הצ'ק. במקרה הספציפי, ניסיון לשכנע את הלקוח הפוטנציאלי להעביר את החשבון שלו לבנק הפונה. אינני עורך דין, אבל עו"ד חי חושב שזו עבירה פלילית שהעונש עליה עלול להגיע למספר שנות מאסר.
העברת מידע ברשות הלקוח
סוג אחר של דילמה היא העברת מידע פיננסי או משיכת מידע פיננסי באישורו של הלקוח.
הלקוח אולי מעונין להעביר את המידע הבנקאי שלו לבנק אחר על מנת שיציע לו תנאים משופרים.
מקרה אחר הוא רצונו של לקוח לרכז את כל המידע הבנקאי או הפיננסי שלו במקום אחד, למשל: מידע משני חשבונות בנקים ומחברת כרטיסי אשראי.
ריכוז המידע ולפעמים גם ניתוח שלו עשויים לעזור למשק הבית להתנהל טוב יותר.
פיננדה (Finanda) היא דוגמה פיתרון ממוחשב המרכז מידע פיננסי ומאפשר דיווח וניתוח שלו. הלקוח יכול לבחור סוגי דיווח מתוך סט הדיווחים הקיימים במוצר.
ברמה העקרונית אני לא רואה בעיה בזה שלקוח של גוף הנותן שירותים פיננסיים יאפשר, מרצונו הטוב, העברת מידע לגוף אחר הנותן לו שירותים או עשוי לתת לו שירותים.
באופן עקרוני הוא היה יכול לגשת לנתונים להדפיס אותם ולמסור אותם לאותו גורם.
הדפסה כזו היא ללא ספק הרבה פחות יעילה מהעברת מידע ממוחשבת סדירה.
הבעיה היא שהבנקים לא ממש אוהבים העברת מידע כזו. זה עלול לגרום ללקוח להעביר את הכספים שלו לניהולו של מתחרה זול יותר.
הם מערימים קשיים על העברת מידע כזה. לפעמים הרגולציה עוזרת להם להקשות על העברת מידע כזה.
כמעט לכל קושי יש פיתרון. גם לקושי בהעברת מידע. הפיתרון שבו בחרו בנקים וגופים אחרים בעבר נקרא Screen Scraping. נתוני הלקוח בבנק המסרב לשתף מידע נשלפים ממסך דיווח של הבנק. לטכניקה הזו יש בעיות טכניות אבל גם בעיה אחת מהותית.
על מנת לבצע דיווח כזה היישום הממוחשב זקוק לשם משתמש וסיסמה של הלקוח בבנק.
הצירוף של שם משתמש וסיסמה אינו מוגבל רק לדיווחים: הוא מאפשר גם ביצוע פעולות. זוהי פירצה קשה באבטחת מידע של הנתונים.
מי שמספק את שם המשתמש והסיסמה מרצונו הטוב הוא הלקוח. זה יוצר בעיה נוספת. פחות חמורה מהבעיה המסומנת באדום לעיל. הבנק אוסר על הלקוח לתת את שם המשתמש והסיסמה שלו למישהו אחר.
כשהלקוח עושה זאת ומספק אותם ליישום, הבנק עלול להסיר מעצמו כל אחריות במקרה של פריצה לחשבון.
שיתוף נתונים במאגר חיצוני לבנקים
רגולטורים במדינות שונות, כולל ישראל, מחפשים פיתרון לבעיה של חשיפת נתונים, באישור הלקוח, לצורך תחרות. כשבו זמנית נחסך הצורך בשימוש בסיסמה ושם משתמש.
פיתרון אםשרי הוא מאגר ציבורי של נתונים בנקאים לקריאה בלבד. כמובן שהגוף שינהל אותו חיב למנוע גישה של אנשים לא מורשים למידע.
מאגר כזה ישמש את האנשים שהמידע מתיחס אליהם וגופים הרוצים להציע להם את שירותיהם.
הבעיה שנותרה היא אותה בעיה שהוצגה קודם: הבנקים יעשו כל שביכולתם שלא לתת את הנתונים משום שהלקוחות עשויים לגלות פיתרונות תחליפיים לשירותים שהם מציעים.
שיתוף נתונים במאגר חיצוני לבנקים
רגולטורים במדינות שונות, כולל ישראל, מחפשים פיתרון לבעיה של חשיפת נתונים, באישור הלקוח, לצורך תחרות. כשבו זמנית נחסך הצורך בשימוש בסיסמה ושם משתמש.
פיתרון אםשרי הוא מאגר ציבורי של נתונים בנקאים לקריאה בלבד. כמובן שהגוף שינהל אותו חיב למנוע גישה של אנשים לא מורשים למידע.
מאגר כזה ישמש את האנשים שהמידע מתיחס אליהם וגופים הרוצים להציע להם את שירותיהם.
הבעיה שנותרה היא אותה בעיה שהוצגה קודם: הבנקים יעשו כל שביכולתם שלא לתת את הנתונים משום שהלקוחות עשויים לגלות פיתרונות תחליפיים לשירותים שהם מציעים.
שיתוף מידע פיננסי
עולם השירותים הפיננסיים עובר בשנים האחרונות שינויים מהותיים. קראו למשל את הפוסטים הבאים:
שירותים פיננסיים חלופיים מנישה שולית למרכז (Mainstream)
מה תעשה כשתהיה גדול: בנקאי או איש Fintech?
התבגרות הפינטק
שני הפוסטים האחרונים עוסקים בשחקנים חדשים בשוק השירותים הפיננסיים: חברות ה-Fintech.
לאחרונה נתקלתי במאמר העוסק ביוזמה של מספר גופי Fintech בארה"ב מנסה להגדיר API סטנדרטי, כלומר: ממשק סטנדרטי, להעברת מידע פיננסי בין גופים שונים. ארה"ב אינה הראשונה. בריטניה וסינגפור מקדימות אותה.
שירותים פיננסיים חלופיים מנישה שולית למרכז (Mainstream)
מה תעשה כשתהיה גדול: בנקאי או איש Fintech?
התבגרות הפינטק
שני הפוסטים האחרונים עוסקים בשחקנים חדשים בשוק השירותים הפיננסיים: חברות ה-Fintech.
לאחרונה נתקלתי במאמר העוסק ביוזמה של מספר גופי Fintech בארה"ב מנסה להגדיר API סטנדרטי, כלומר: ממשק סטנדרטי, להעברת מידע פיננסי בין גופים שונים. ארה"ב אינה הראשונה. בריטניה וסינגפור מקדימות אותה.
לפרטים על המיזם קראו:
מיזם זה ומיזמים דומים בארצות אחרות ובגופי תקינה יביאו בשלב כלשהו להגדרת סטנדרט להעברת פרטים פיננסיים אישיים ונתונים אחרים ביו נותני שירותים פיננסיים.
מבחינה טכנולוגית הוא עשוי להקל על העברת מידע בין נותני שירותים כאלה.
בהקשר זה חשוב להביא בחשבון שני דברים:
1. איומי Cyber ואבטחת מידע.
2. העברה אפשרית של נתונים ללא הרשאה מבעל הנתונים, כלומר: הלקוח.
בהקשר של השני יש לזכור שהרגולציה ביחס ל-Fintech במקרה טוב היא בחיתוליה ובמקרה הפחות טוב אינה קיימת כלל.
אין תגובות:
הוסף רשומת תגובה