Статья · 29.06.2026

Безопасность данных

Финансовый бизнес работает с тем, что люди доверяют меньше всего — своими личными деньгами и информацией о себе. Имя, паспорт, СНИЛС, адрес, реквизиты карт, кредитная история — всё это попадает в систему при оформлении заявки. Потерять или слить эти данные означает потерять репутацию, получить штраф и лишиться клиентов навсегда.

Баннер: выбор формата кредитной организации — МКК, МФО и КПК
Ключевой материал

Сначала выберите формат, а уже потом готовьте документы

Один сильный материал, который помогает быстро понять, чем отличаются МКК, МФО и КПК, где ошибаются на старте и какой формат ближе именно вашей модели.

Защита персональных данных

Финансовый бизнес работает с тем, что люди доверяют меньше всего — своими личными деньгами и информацией о себе. Имя, паспорт, СНИЛС, адрес, реквизиты карт, кредитная история — всё это попадает в систему при оформлении заявки. Потерять или слить эти данные означает потерять репутацию, получить штраф и лишиться клиентов навсегда.

Требования закона о персональных данных

152-ФЗ задаёт жёсткие рамки: компания должна знать, какие данные собирает, зачем, где хранит и кто имеет к ним доступ. За каждый нарушенный пункт — реальные штрафы, а при массовых утечках возможна уголовная ответственность. Закон требует назначить ответственного за обработку данных, определить перечень мер защиты и зафиксировать их внутренним документом. На практике это значит, что нельзя просто собрать базу заёмщиков и использовать её как угодно — каждое действие с данными должно быть обосновано и документально оформлено.

Политика конфиденциальности

Политика — это не формальная страничка на сайте, а рабочий документ, который реально описывает, что происходит с данными. Читатель должен понять за минуту: какие данные собираются, для чего, сколько хранятся, кому передаются и как можно отозвать согласие. Если политика написана юридическим языком, который сам юрист читает с трудом — она не выполняет свою функцию. Регуляторы это понимают, и суды всё чаще встают на сторону потребителей, когда политика намеренно запутана.

Согласие на обработку данных

Согласие должно быть конкретным, осознанным и отзывным. Нельзя впихнуть разрешение на обработку в мелкий шрифт под длинным пользовательским соглашением. Человек должен чётко понимать, на что он соглашается. Отзыв согласия — это не формальное право, а реальный механизм: если клиент передумал, компания обязана прекратить обработку и удалить данные, если закон не требует их хранения. На практике это означает, что система должна уметь помечать записи как «на удаление» и исключать их из всех процессов — от рассылок до скоринга.

Информационная безопасность

Если защита персональных данных — это про соответствие закону, то информационная безопасность — про выживание бизнеса. Утечка клиентской базы, остановка серверов, шифровальщик на рабочих станциях — любой из этих сценариев может парализовать работу за считанные часы.

Защита от утечек

Большинство утечек происходит не из-за хакеров, а из-за собственных сотрудников. Кто-то случайно отправил таблицу с клиентами на личную почту, кто-то выгрузил базу перед увольнением, кто-то просто оставил ноутбук в такси. Защита строится из простых, но системных вещей: разграничение прав доступа (менеджер видит только своих клиентов, а не всю базу), блокировка USB-накопителей, запрет на отправку файлов на внешние адреса, логирование всех действий с данными. DLP-системы отслеживают подозрительную активность, но они работают только если настроены под реальные бизнес-процессы, а не установлены «для галочки».

Шифрование и хранение данных

Данные должны быть защищены и в покое, и в движении. «В покое» — это шифрование на серверах и базах данных, чтобы при физическом изъятии диска или несанкционированном доступе к хранилищу злоумышленник получил набор бессмысленных символов. «В движении» — это HTTPS для сайта, шифрование каналов между сервисами, защищённые VPN для удалённых сотрудников. Отдельный вопрос — срок хранения. Данные нельзя хранить вечно «на всякий случай». Закон требует удалять их, когда исчезает цель обработки: закрытый кредит, отозванное согласие, истёкший срок претензий — всё это повод очистить базу.

Аудит безопасности

Одноразовая настройка защиты не работает — уязвимости появляются вместе с обновлениями, новыми интеграциями и изменениями в процессах. Регулярный аудит выявляет слабые места до того, как ими воспользуются. Практически это выглядит так: раз в квартал — внутренняя проверка конфигураций и прав доступа, раз в полгода — тестирование на проникновение, ежегодно — внешний аудит независимой компанией. Результаты аудита не должны лежать в столе — каждый найденный дефект получает срок исправления и ответственного.

Фишинг и мошенничество

Финансовые компании — одна из главных мишеней для мошенников. Под видом сервиса оформляют микрозаймы на чужие документы, звонят с поддельных номеров и выуживают коды из СМС, рассылают письма с фальшивыми ссылками на «личный кабинет». И защищать приходится не только себя, но и своих клиентов.

Как защищать заёмщиков

Клиент не может отличить настоящее письмо от поддельного — это задача компании. Минимум, который нужно сделать: подписывать все исходящие письма цифровой подписью, не просить клиентов переходить по ссылкам из СМС, не звонить с номеров, подменяющих реальные, использовать короткие номера для уведомлений. В личном кабинете стоит показать явный индикатор подлинности — например, персональную фразу, которую клиент задал при регистрации. Если заёмщик видит эту фразу, он понимает: это настоящий сервис, а не клон.

Как защищать свою компанию

Сотрудники — самое уязвимое звено. Мошенник не взламывает сервер, а отправляет бухгалтеру письмо «от директора» с просьбой срочно оплатить счёт. Или звонит в техподдержку под видом клиента и вытягивает информацию о других заёмщиках. Защита здесь — регулярное обучение с реальными примерами атак, чёткие процедуры подтверждения любых финансовых операций и запросов на передачу данных, двухфакторная авторизация везде, где это возможно. Правило простое: если запрос приходит по электронной почте или телефону — он должен быть подтверждён по другому каналу.

Реагирование на инциденты

Инцидент произойдёт — вопрос лишь во времени. И разница между компанией, которая справится, и той, которая рухнет, — в готовности к реагированию. План действий должен быть прописан заранее и опробован на учебных тревогах. Первые часы после обнаружения утечки или атаки решают всё: нужно изолировать заражённые системы, оценить масштаб, уведомить регулятора (в течение 24 часов по 152-ФЗ при утечке персональных данных), предупредить пострадавших клиентов и начать расследование. У каждой задачи — ответственный и чёткий тайминг. Когда инцидент уже случился, не время искать инструкции — они должны лежать под рукой.

Баннер: выбор формата кредитной организации — МКК, МФО и КПК
Ключевой материал

Прежде чем идти дальше, сверьте выбор модели

Один сильный материал, который помогает быстро понять, чем отличаются МКК, МФО и КПК, где ошибаются на старте и какой формат ближе именно вашей модели.

Нужна навигация по теме?

Вернитесь к разделам блога или откройте связанные материалы ниже.

Все разделы