Финансы и законы

7 декабря 2022

Код клиента: как разделить доступ к счёту между сотрудниками и защитить финансовые данные

7 декабря 2022

Утечка данных случается даже в небольших компаниях. Типичная ошибка — иметь один счёт без разграничения уровней доступа для каждого участника команды. Рассказываем, как обезопасить бизнес и каким правилам стоит следовать при пользовании счётом фирмы.

Малый бизнес не всегда думает о защите финансовых данных: оборот не такой большой, как у гигантов, а риск, что информация понадобится конкурентам, меньше. Создавать разным сотрудникам собственные учётные записи для доступа к счёту кажется сложно и утомительно, поэтому часто предприниматели просто сообщают логин и пароль от своего аккаунта. Так делать не стоит.

Даже если в компании высокий уровень доверия, давать сотрудникам свои логин и пароль — небезопасно. Возникает риск потерять конфиденциальные данные и деньги.

Владелец подмосковного автосервиса Денис решил расширять свой бизнес. Он не так давно открыл расчётный счёт в Сбере, и первое время сам проводил все финансовые операции — оплачивал аренду, закупал необходимое оборудование, выплачивал зарплату работникам автосервиса. Но когда он открыл ещё две точки в соседних городах, у него совсем не осталось времени на операционную рутину. Денис предпочёл заниматься бизнес-процессами, а всё, что связано с финансами, решил предоставить бухгалтеру. Он нашёл в интернете специалиста на аутсорсе, который сразу попросил доступ к расчётному счёту. Денис предоставил данные от своей учётной записи, чтобы не тратить время на создание новой. Первые два месяца всё шло хорошо, до того момента, когда в день выдачи зарплаты сотрудникам она не пришла. Денис первым делом позвонил бухгалтеру, но тот оказался вне доступа. Зайдя в личный кабинет, владелец автосервиса обнаружил, что баланс расчётного счёта, где были все деньги фирмы, равен нулю. Выяснилось, что бухгалтер, воспользовавшись полномочиями, дождался, когда на счету будет круглая сумма, перевёл её на личный счёт и исчез в неизвестном направлении.

Чтобы снизить риски утечки данных при звонках на горячую линию Сбера, можно использовать код клиента. Это пятизначный цифровой код, уникальный для каждого пользователя и для каждой учётной записи интернет-банка СберБизнес. Код клиента помогает быстро идентифицировать человека, который обращается в банк, и проверить его полномочия на получение информации. Оператор будет сразу понимать, звонит ему главный бухгалтер или рядовой менеджер, и учтёт это при разговоре с клиентом. Поэтому при звонке лучше держать код под рукой, чтобы немедленно его назвать и получить подробную консультацию в рамках своего доступа.

Как работает разделение доступа к счёту

Предприниматель заходит в интернет-банк и создаёт отдельные учётные записи нужным сотрудникам. Права и уровни доступа можно настроить. Например, поставить бухгалтеру лимит на переводы крупных сумм или добавить обязательное согласование с руководителем любых финансовых документов. В СберБизнесе предусмотрено много ролей — выберите подходящую и адаптируйте настройки доступа под конкретного человека.

Учётные записи бывают двух видов: с правом подписи и без него.

Пользователь с правом подписи может создавать и подтверждать платежи, подписывать документы и переводить деньги.

Пользователь без права подписи может просматривать информацию о платежах, создавать и отправлять их на подпись уполномоченному пользователю, например владельцу компании.

Создать любую учётную запись можно в интернет-банке СберБизнес, но для подтверждения полномочий на подписание документов и проведение платежей сотруднику придётся посетить офис банка.

После создания учётной записи код клиента сгенерируется автоматически. Его можно найти на любом устройстве. Для удобства используйте инструкцию.

Вот темы обращений на горячую линию, когда пригодится код клиента

.

Банковские счета

  • Уточнить статус пакета документов на внесение изменений
  • Проконсультироваться по ограничению/аресту в рамках расчётного счёта

.

Безналичные операции

  • Уточнить сумму остатка или зачисления
  • Узнать статус платёжного поручения (исполнен/не исполнен)
  • Ограничить сотрудникам доступ к крупным переводам

.

Зарплатный проект

  • Проконсультироваться по порядку обработки реестра на зачисление/платёжного поручения
  • Запросить статус обработки реестра на зачисление

.

Бизнес-карта

  • Совершение финансовых операций по карте
  • Установление лимита по карте

.

Кредитование

  • Узнать статус заявки на кредит
  • Получить пояснения по остатку, просроченной задолженности или неустойке

Плюсы кода клиента

.

Гарантирует безопасность — код клиента позволяет операторам давать консультации в соответствии с правами доступа и полномочиями того, кто звонит в банк.

.

Всегда под рукой — доступен в веб-версии и в мобильном приложении СберБизнес.

.

Экономит оператору время на установление личности того, кто обращается в банк.

.

При подозрении, что код клиента стал известен кому-то еще, его всегда можно обновить в интернет-банке СберБизнес.

Как малому бизнесу защитить данные: 5 советов эксперта

Руслан Добрынин, эксперт Центра продуктов Dozor «РТК-Солар»

.

Научите сотрудников ответственно относиться к данным

В компании должны быть простые и понятные правила информационной безопасности. К ним нельзя относиться, как к формальности. Нужно, чтобы каждый сотрудник знал, что разрешено, что запрещено и какие последствия наступят после нарушения запрета.

.

Позаботьтесь о том, чтобы коллектив обладал навыками цифровой гигиены

Сотрудники должны знать, какая информация конфиденциальна, а какая относится к коммерческой тайне, в чем разница и как обращаться с теми или иными данными. Если на собраниях разъяснять внутренние правила и принципы работы с информацией, каждый работник будет понимать, почему нельзя оставлять рабочее место, не заблокировав рабочую станцию.

.

Грамотно используйте существующие решения

Системы защиты от утечек данных в корпоративной сети (Data Loss Prevention, DLP) — базовая необходимость для любой компании. Они позволяют в режиме реального времени мониторить и блокировать входящие и исходящие сообщения сотрудников, отправление файлов на внешние носители, сетевые хранилища информации и веб-ресурсы, а также контролировать голосовые и текстовые сообщения, чтобы предотвратить утечку конфиденциальной информации.

Однако эти системы стоят дорого, а при неверном подходе к проектированию и эксплуатации могут принести больше вреда, чем пользы. Поэтому важно не просто купить DLP, а понимать цели внедрения и хорошо представлять, какие именно каналы связи необходимо контролировать и почему.

.

Разграничьте доступ к информации

Разграничение доступа — важнейший элемент в системе кибербезопасности организации. Здесь могут применяться, в числе прочего, и простейшие, «дедовские» способы защиты. Например, пломбы на корпусах компьютеров или непосредственно на жестких дисках. Это стоит копейки, но позволяет избежать утечек, которые невозможно проконтролировать с помощью DLP. Допустим, случаи, когда выносят и затем возвращают жёсткий диск.

.

Составьте план действий на случай утечки данных

И речь не только о расследовании случившегося. Закон требует обязательно уведомить Роскомнадзор о факте инцидента в течение 24 часов после него, а также в течение 72 часов после завершения расследования.

Больше материалов по теме «Новое в законах»