По закону букмекерские конторы должны собирать множество персональных данных своих клиентов. Но для чего это нужно? Сколько времени и в каких условиях хранят личную информацию казахстанцев? И как защищают ее? Об этом в интервью Digital Business рассказал Head of Project Management Office 1XBET Юрий Ни.

Кому передает личные данные клиентов 1XBET?

— Юрий, 1XBET, как и другие букмекерские компании в Казахстане, хранит множество персональных данных клиентов. Зачем это нужно?

— Мы собираем и храним лишь необходимые данные, которые от нас требует законодательство РК. В нашей сфере есть два основных документа, где прописаны эти обязательства:

1. Закон «Об игорном бизнесе»
2. Закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», который также известен как закон о финансовом мониторинге.

По правилам мы обязаны собирать данные, которые касаются идентификации пользователя. Идентификация нужна, чтобы подтвердить: предоставленный документ действительно принадлежит конкретному человеку. Чтобы сделать это бесшовно, без перехода на другие сайты и всего за несколько минут, используем технологическое решение казахстанской разработки для биометрической идентификации клиентов. Благодаря этому клиенту не нужно тратить много времени на селфи с паспортом или заполнение длинных анкет: достаточно отсканировать паспорт, а потом включить фронтальную камеру. Дальше — дело техники: программа выводит на экран пользователя небольшой трафарет человеческого лица, человеку нужно повернуться так, чтобы туда попасть. А потом алгоритм сверяет реальное изображение с тем, что размещено в паспорте или ID-карте. Если все подтвердилось, анкета автоматически заполняется системой — и регистрация пройдена. Вся процедура занимает от силы 5 минут.

— А сохраняется ли где-то отсканированный документ и изображение лица, полученное во время биометрической идентификации?

— Эти данные хранятся только у нас. Компания, которая поставляет решение для идентификации, не имеет доступа к этой информации. Наша компания предусмотрела этот момент на этапе интеграции с их сервисом через API. То есть от программы-идентификатора мы ждем только одного: сверки паспорта с изображением в камере.

— Какие персональные данные пользователей вы храните у себя?

— Здесь мы не изобретаем ничего нового — и собираем только ту информацию, которую требует законодательство. В нашем случае это все, что может подтвердить личность пользователя. Например, ФИО, отсканированный документ, изображение лица, которое сличали с документом, номер телефона, иногда — email-адрес.

— Что насчет данных по транзакциям, когда человек пополняет баланс или снимает деньги со счета?

— Смотрите: чтобы пользователь мог пополнять баланс или снимать деньги быстро (обычно в течение нескольких минут), мы интегрировались с несколькими платежными организациями Казахстана. Все они — сертифицированные компании с аккредитацией от Нацбанка и работают по стандарту безопасности PCI DSS. Соответственно, подробная информация вроде данных банковской карты хранится у них, а 1XBET использует только ту информацию, которая нам нужна: обычно это суммы и идентификатор транзакций.

— А вы делитесь персональными данными клиентов с этими платежными организациями?

— В некоторых случаях — да. Мы собираем согласия на передачу данных у клиентов в момент регистрации на сайте. На самом деле, это сделано для удобства пользователей: когда букмекерская компания и платежная организация могут обмениваться информацией о человеке, это упрощает его пользовательский опыт. Смотрите: когда игрок будет выводить деньги, ему не придется регистрироваться на новом сайте, достаточно провести платеж. Если этого не сделать, пользователю придется потратить много времени на заполнение анкет и повторную идентификацию. Это некомфортно.

Поэтому мы заранее предупреждаем пользователей о том, что являемся агентами по идентификации пользователей для платежных организаций и можем передавать им данные в случае, если от них этого потребует Нацбанк. Мы делаем все, чтобы данные хранились и обрабатывались максимально безопасно.

«Мы используем собственную риск-систему, чтобы вычислять мошенников»

— Как долго вы храните личные данные клиентов?

— По закону наша компания обязана не удалять эту информацию все время, пока человек имеет действующий аккаунт на сайте. Также есть требование законодательства — хранить данные еще пять лет после того, как пользователь удалил аккаунт или ввел режим самоограничения.

Государство просит хранить персональные данные пять лет на случай, если какой-то человек попадет в поле зрения финансового мониторинга. Обычно это касается случаев с мошенническими действиями или отмыванием денег. И если правоохранителям понадобятся такие данные, то по запросу мы обязаны их предоставить.

— В политике конфиденциальности 1XBET есть пункт о персональных данных, которые вы можете требовать дополнительно. Например, информацию о разрешении на работу в РК или сведения об образовании. Зачем это нужно?

— Мы запрашиваем эти данные далеко не у каждого игрока, а только в случае, если у нас появились сомнения в безопасности аккаунта и данных пользователя. Сами знаете, сейчас такое время, когда кибер-мошенники все чаще и чаще пытаются украсть личную информацию о людях. Например, получить фото документов или данные банковских карт и счетов.

Поэтому, если мы подозреваем, что в аккаунт вошли из необычного местоположения или когда в нем происходит аномальная активность, то можем начать дополнительную проверку. Все делается для того, чтобы убедиться: настоящий владелец все еще имеет доступ к своему профилю.
Рассказать подробнее, в каких именно случаях запрашиваются эти данные, я не могу. У 1XBET работает собственная риск-система, которая анализирует поведение пользователей.

— Хочу уточнить про отдельный вид данных для людей, которые вводят режим самоограничения.

— Здесь свой процесс: клиент подает заявление на самоограничение либо через букмекерскую контору, либо через eGov, потом снова проходит верификацию. А потом эти данные отправляются в Министерство культуры и спорта Казахстана — и рассылаются по всем БК страны, чтобы человека больше нигде не приняли.

«Наш ЦОД продолжит работать, даже если отключат электричество на месяц»

— Где физически хранятся персональные данные казахстанских пользователей?

— У 1XBET есть свой ЦОД, который находится по юридическому адресу компании в городе Конаеве. Это полностью оборудованное и защищенное сооружение: мы продумали там защиту, сделали отдельную комнату с серверами под круглосуточной охраной, внедрили противопожарные системы. И даже если преступник сумеет справиться со всеми защитными мерами и попадет внутрь, он не получит никаких данных. Потому что каждый носитель зашифрован по-своему.

Еще мы разместили там генераторы и другое оборудование для отказоустойчивости. Поэтому, даже если там пропадет электричество на месяц, ЦОД продолжит работать.

Что касается передачи данных: мы никогда не передаем личные данные наших клиентов за рубеж. Более того, воспользоваться 1XBET.kz можно только с территории Казахстана. Это делается для того, чтобы работать только с жителями РК в максимально безопасных для них условиях.

— Как вы защищаете данные?

— Кроме мер безопасности в ЦОД, мы используем несколько систем внутренней защиты от атак. Например, используем файрвол, который перераспределяет нагрузку на серверах и отслеживает запросы. А еще мы заключили договор с казахстанской компанией, которая защищает наш сайт от внешних DDoS-атак.

Поэтому за семь лет работы в Казахстане у нас не случилось ни одной утечки информации о клиентах.