33 года на финансовом рынке Краснодарского края!
Информационная безопасность

АО «Кубаньторгбанк» напоминает, что нельзя сообщать третьим лицам персональные данные, данные банковских карт, пароли, коды из СМС-сообщений и любую информацию, которая может быть использована для списания ваших средств с банковских карт. Будьте бдительны и обязательно проверяйте написание адреса сайта перед тем как вводить личные данные.
АО «Кубаньторгбанк» не использует социальные сети для общения с клиентами. Будьте осторожны при получении в социальных сетях просьб о переводе денежных средств знакомым и родным.

Информационное сообщение ПДн

Памятка клиенту по ИБ ДБО


Памятка клиенту по обеспечению информационной безопасности при работе с системами дистанционного банковского обслуживания.
Уважаемый Клиент, для выполнения непрерывного процесса обеспечения информационной безопасности при работе с системами дистанционного банковского обслуживания (ДБО) настоятельно рекомендуем соблюдать следующие правила ИБ:
1. Использовать для входа в систему ДБО только официальные сайты Банка:
• https://online.bktb.ru
• https://icb.kubantorgbank.ru
2. Всегда проверяйте, что при выполнении финансовых операций или при передаче персональных данных используется шифрованное соединение (как на картинке выше). Чтобы проверить шифруются ли данные, посмотрите на ссылку страницы, где вводятся данные. Адрес должен начинаться с “https://”, а не с http://.
3. Не открывайте письма, вложения и не переходите по ссылкам из писем, отправитель которых вам неизвестен.
4. Никому не сообщайте ваши данные для доступа в систему ДБО (логин, пароль, код из СМС), в том числе сотрудникам Банка.
5. Меняйте пароль для доступа в систему ДБО не реже одного раза в три месяца.
6. Используйте пароли длиной не менее 8 символов. В пароле обязательно должны присутствовать буквы верхнего и нижнего регистров, а также цифры и специальные символы.
7. Не используйте в качестве пароля комбинацию, как-то связанную с датой рождения, псевдонимом и (или) кличкой домашнего животного, собственным именем или именем родственника, телефонными номерами.
8. Не посещайте сайты сомнительного характера (содержимого).
9. Мошенники могут использовать методы социальной инженерии (смс, звонки, электронные письма), не сообщайте свои данные (логин, пароль, одноразовые пароли из смс, кодовые фразы) звонкам «Из Банка».
10. Используйте на вашем рабочем месте только лицензионные и актуальные версии операционных систем и программного обеспечения.
11. Используйте средства защиты информации (антивирус с автоматическим обновлением баз, средства от НСД, межсетевой экран).
12. Не используйте на своём рабочем месте средства уделенного администрирования.
13. Не оставляйте ключевые носители без присмотра или подключенными к компьютеру, когда не работаете с системой ДБО.
14. Завершайте работу с системой ДБО корректно с помощью кнопки «Выход».
15. Исключайте возможность работы в системе ДБО из публичных мест, предоставляющих доступ в сеть Интернет (кафе, в гостях, на стадионах и т.д.).
16. Не используйте стандартный pin-код.
17. При компрометации электронной подписи незамедлительно сообщите в Банк по телефону 8(861)212-60-80 доб. 6.
18. При некорректной работе системы ДБО незамедлительно сообщите в Банк по телефону 8(861)212-60-80 доб. 4.
Скачать

Памятка клиенту по ИБ карточных продуктов банка


Памятка по информационной безопасности при использовании карточных продуктов АО «Кубаньторгбанк».

Общие рекомендации
1. Никогда не сообщайте ПИН-код третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации, кассирам и лицам, помогающим Вам в использовании банковской карты.
2. ПИН-код необходимо запомнить или в случае, если это является затруднительным, хранить его отдельно от банковской карты.
3. Никогда ни при каких обстоятельствах не передавайте банковскую карту или ее реквизиты для использования третьим лицам, в том числе родственникам.
4. При получении банковской карты распишитесь на ее оборотной стороне в месте, предназначенном для подписи держателя банковской карты, если это предусмотрено. Это снизит риск использования банковской карты без Вашего согласия в случае ее утраты.
5. Будьте внимательны к условиям хранения и использования банковской карты. Не подвергайте банковскую карту механическим, температурным и электромагнитным воздействиям, а также избегайте попадания на нее влаги. Банковскую карту нельзя хранить рядом с мобильным телефоном, бытовой и офисной техникой.
6. С целью предотвращения неправомерных действий по снятию денежных средств с банковского счета целесообразно установить ежедневный и/или ежемесячный лимит на сумму операций по банковской карте.
7. Если Вы обнаружили, что не работает мобильный телефон, используемый для получения сообщений от Банка (например, без видимых причин на длительное время пропала связь), незамедлительно обратитесь в Банк и заблокируйте банковскую карту.
8. Принимайте меры для предотвращения риска изготовления дубликата Вашей сим-карты:
o пользуйтесь номером телефона, который оформлен лично на Вас,
o не используйте анонимные сим-карты,
o не передавайте мобильный телефон или сим-карту в пользование третьим лицам,
o обратитесь к Вашему мобильному оператору для запрета выпуска дубликатов сим-карты, а также совершения действий с Вашей сим-картой на основании доверенности.
9. В случае подозрения на компрометацию банковской карты, например, если карта находилась или могла находиться в руках третьего лица, незамедлительно обратитесь в Банк и заблокируйте банковскую карту.
10. При получении просьбы, в том числе со стороны сотрудника кредитной организации, системы интерактивных голосовых ответов (IVR) или посредством SMS-сообщений, предоставить персональные данные или информацию о банковской карте (номер, срок действия, ПИН-код, код безопасности) не сообщайте их.
11. Не рекомендуется отвечать на электронные письма, в которых от имени кредитной организации (в том числе АО «Кубаньторгбанк») предлагается предоставить персональные данные. Не следуйте по «ссылкам», указанным в письмах (включая ссылки на сайт кредитной организации), т.к. они могут вести на сайты-двойники.
12. Помните, что в случае раскрытия ПИН-кода, персональных данных, утраты банковской карты существует риск совершения неправомерных действий с денежными средствами на Вашем банковском счете со стороны третьих лиц.

Рекомендации при совершении операций с банковской картой в банкомате
1. Осуществляйте операции с использованием банкоматов, установленных в безопасных местах (например, в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т.п.).
2. Не используйте устройства, которые требуют ввода ПИН-кода для доступа в помещение, где расположен банкомат.
3. В случае если поблизости от банкомата находятся посторонние лица, следует выбрать более подходящее время для использования банкомата или воспользоваться другим банкоматом.
4. Перед использованием банкомата осмотрите его на наличие дополнительных устройств, не соответствующих его конструкции и расположенных в месте набора ПИН-кода и в месте (прорезь), предназначенном для приема карт (например, наличие неровно установленной клавиатуры для набора ПИН-кода).
5. В случае если клавиатура или место для приема карт банкомата оборудованы дополнительными устройствами, не соответствующими его конструкции, воздержитесь от использования банковской карты в данном банкомате и сообщите о своих подозрениях сотрудникам кредитной организации по телефону, указанному на банкомате.
6. Не применяйте физическую силу, чтобы вставить банковскую карту в банкомат. Если банковская карта не вставляется, воздержитесь от использования такого банкомата.
7. Наклейки на банкомате содержат торговые марки платежных систем и категорий банковских карт, которые принимаются к обслуживанию в данном устройстве. Используйте банкомат, на котором размещена информация, соответствующая Вашей банковской карте.
8. Рекомендуем последовательно выполнять команды, появляющиеся на экране банкомата в процессе совершения операции.
9. Набирайте ПИН-код таким образом, чтобы люди, находящиеся в непосредственной близости, не смогли его увидеть. При наборе ПИН-кода прикрывайте клавиатуру рукой.

10. В случае если банкомат работает некорректно (например, долгое время находится в режиме ожидания, самопроизвольно перезагружается), следует отказаться от использования такого банкомата, отменить текущую операцию, нажав на клавиатуре кнопку «Отмена», и дождаться возврата банковской карты.
11. По завершении операции следует незамедлительно забрать из банкомата банковскую карту, распечатанную квитанцию (чек) и денежные средства (при получении наличных средств).
12. Следует сохранять распечатанные банкоматом квитанции для последующей сверки указанных в них сумм с выпиской по банковскому счету.
13. Не прислушивайтесь к советам третьих лиц, а также не принимайте их помощь при проведении операций с банковской картой в банкоматах.
14. Если при проведении операций с банковской картой банкомат не возвращает банковскую карту, следует позвонить в кредитную организацию по телефону, указанному на банкомате, и объяснить обстоятельства произошедшего.

Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг
1. Не используйте банковские карты в организациях торговли и услуг, не вызывающих доверия.
2. Требуйте проведения операций с банковской картой только в Вашем присутствии. Это необходимо в целях снижения риска неправомерного получения Ваших персональных данных, указанных на банковской карте.
3. При использовании банковской карты для оплаты товаров и услуг кассир может потребовать от владельца банковской карты предоставить паспорт, подписать чек или ввести ПИН-код. Перед набором ПИН-кода следует убедиться в том, что люди, находящиеся в непосредственной близости, не смогут его увидеть. Перед тем как подписать чек, в обязательном порядке проверьте сумму, указанную на чеке.
4. В случае если при попытке оплаты банковской картой имела место «неуспешная» операция, следует сохранить один экземпляр выданного терминалом чека для последующей проверки на отсутствие указанной операции в выписке по банковскому счету.

Рекомендации при совершении операций с банковской картой через сеть Интернет
1. Не используйте ПИН-код при заказе товаров и услуг через сеть Интернет, а также по телефону/факсу.
2. Не сообщайте персональные данные или информацию о банковской(ом) карте (счете) через сеть Интернет, например, ПИН-код, пароли доступа к системе ДБО, срок действия банковской карты, платежный лимит, историю операций, персональные данные.
3. Совершение операций через интернет-сайты, которые сертифицированы международной платежной системой MasterCard Worldwide на технологию «Mastercard SecureCode», необходимо ввести одноразовый пароль (предоставляется в виде СМС-сообщения/ Push-уведомления на мобильный телефон).
4. Следует пользоваться интернет-сайтами только известных и проверенных организаций торговли и услуг.
5. Обязательно убедитесь в правильности адресов интернет-сайтов, к которым подключаетесь и на которых собираетесь совершить покупки, т.к. похожие адреса могут использоваться для осуществления неправомерных действий.
6. Рекомендуется совершать покупки только со своего компьютера/ мобильного устройства в целях сохранения конфиденциальности персональных данных и (или) информации о банковской(ом) карте (счете). В случае если покупка совершается с использованием чужого компьютера, не рекомендуется сохранять на нем персональные данные и другую информацию, а после завершения всех операций нужно убедиться, что персональные данные и другая информация не сохранились (вновь загрузив в браузере web-страницу продавца, на которой совершались покупки).
7. Установите на свой компьютер/ мобильное устройство антивирусное программное обеспечение и регулярно производите его обновление и обновление других используемых Вами программных продуктов (операционной системы и прикладных программ), это может защитить Вас от проникновения вредоносного программного обеспечения.
Скачать

Политика обработки персональных данных субъектов АО «Кубаньторгбанк»

УТВЕРЖДЕНО:
Решением Совета директоров
АО «Кубаньторгбанк»
(протокол СД № 25-2022 от 20.05.2022)
Председатель Правления
АО «Кубаньторгбанк»
_____________ /А.Н. Плюшко/
«20» мая 2022 года
Рег. № 238/2022 от 20.05.2022

Политика обработки персональных данных субъектов АО «Кубаньторгбанк»

г. Краснодар
2022

Содержание

Сокращения, термины и определения
1. Назначение и область действия документа
2. Общее положение
3. Цели обработки персональных данных
4. Объем и категорирование обрабатываемых ПДн, категории субъектов ПДн
5. Порядок и условия обработки персональных данных
6. Меры обеспечения безопасности персональных данных
7. Права субъектов персональных данных
8. Порядок пересмотра и внесения изменений
9. Заключительное положение
Приложение 1

Сокращения, термины и определения

Таблица 1. Сокращения

Сокращение

Определение

АБС

Автоматизированная банковская система

АС

Автоматизированная система

ИТ

Информационные технологии

ИБ

Информационная безопасность

ПДн

Персональные данные

СИБ

Служба информационной безопасности

УАБ

Управление автоматизации бизнеса

АИБ

Администратор информационной безопасности

БД

База данных

ИСПДн

Информационная система персональных данных

Таблица 2. Термины и определения

Термин Определение

Автоматизированная система

совокупность взаимосогласованных компонентов программного, технического, информационного, организационного, методического, правового обеспечения, используемая пользователями для реализации заданной информационной технологии.

Автоматизированная обработка персональных данных

Обработка персональных данных с помощью средств вычислительной техники

Банк

АО «Кубаньторгбанк».

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Персональные данные (ПДн)

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Оператор ПДн

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия(операции), совершаемые с персональными данными

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных

 

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Распространение персональных данных

Действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Уничтожение персональных данных

 

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Информационная система персональных данных (ИСПДн)

 

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Трансграничная передача персональных данных

 

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

1. Назначение и область действия документа
1.1. Настоящая Политика определяет основные принципы обработки ПДн в АО «Кубаньторгбанк», описывает порядок уведомления уполномоченного органа по обработке ПДн, описывает состав внутренней документации по обработке ПДн, а также реализуемые меры защиты персональных данных в АО «Кубаньторгбанк».
1.2. Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.
1.3. Настоящая Политика действует до замены новой версией.

2. Общее положение
2.1. В данной Политике используется термины и основные понятия из Федерального Закона от 27.07.2006 г. № 152 «О персональных данных».
2.2. Обработка персональных данных осуществляется на справедливой и законной основе, правовыми основаниями являются:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Комплекса стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации;
• Регламент удостоверяющего центра (УЦ) АО «Кубаньторгбанк» (рег. 228/2017 от 09.10.2017 г.);
• Устав АО «Кубаньторгбанк»;
• Федеральный Закон от 22.10.2004 № 125 -ФЗ «Об архивном деле в РФ»;
• Федеральный Закон от 07.07.2001 №115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный Закон от 02.12.1990 №395-1 «О банках и банковской деятельности»;
• Федеральный Закон от 30.12.2004 № 218 –ФЗ «О кредитных историях».
2.3. Целью разработки Политики является реализация требований законодательства в области обработки и обеспечения безопасности персональных данных и обеспечение защиты прав и свобод человека, и гражданина при обработке его персональных данных в Банке. Политика распространяется на все действия Банка (далее – Оператор), в рамках процесса обработки персональных данных, как с использованием средств автоматизации, так и без использования таких средств. Положения настоящей Политики являются обязательными для исполнения всеми сотрудниками Банка, имеющими доступ к персональным данным.
2.4. Данная Политика не предусматривает детального описания методов и средств защиты персональных данных в ИСПДн Банка.

3. Цели обработки персональных данных
3.1. Обработка персональных данных Оператором ограничивается достижением конкретных, определенных и законных целей, полученных от субъектов в форме согласий, для осуществления своей деятельности.
3.2. В Банке не допускается обработка персональных данных несовместимая с целями полученных в согласиях субъектов.
3.3. Оператор обрабатывает персональные данные для осуществления свой деятельности в соответствии с действующим законодательством, Уставом, договорами с субъектами персональных данных.
3.4. АО «Кубаньторгбанк» осуществляет обработку персональных данных в следующих целях:
• осуществления банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;
• обработка персональных данных в соответствии с трудовым законодательством РФ;
• заключения и дальнейшего исполнение договора с субъектом персональных данных;
• ведение кредитной истории клиентов Банка;
• предоставление отчетности государственным надзорным органам, в том числе Банку России, в Росфинмониторинг;
• осуществление иных функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации;
• идентификации с применением информационных технологий.

4. Объем и категорирование обрабатываемых ПДн, категории субъектов ПДн
4.1. Для достижения Оператором целей, заявленных в данной Политике, осуществляется обработка следующих категорий Субъектов, в объёме, определенном в настоящей Политике:
• сотрудники Оператора;
• члены семьи сотрудников;
• контрагенты Оператора или их уполномоченные представители;
• клиенты Банка;
• иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
4.2. Содержание и объем обрабатываемых персональных данных соответствуют заявленным и законным целям, исключая избыточность.
В состав обрабатываемых ПДн могут входить:
• фамилия, имя, отчество;
• пол;
• число, месяц, год рождения, место рождения, страна рождения;
• гражданство; статус (резидент/нерезидент); семейное положение;
• социальное положение (в т. ч. сведения о социальных льготах);
• сведения о принадлежащем клиенту имуществе;
• сведения об опеке и попечительстве / об усыновлении;
• образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность; и иных документов, выданных на имя субъекта персональных данных (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);
• дата и адрес (проживания, регистрации, постановки на учет);
• сведения о членах семьи;
• сведения об ИНН, СНИЛС;
• реквизиты счетов объектов персональных данных;
• контактные данные (телефон, адрес электронной почты, почтовый адрес);
• кредитная история;
• сведения, содержащиеся в документах, подтверждающих право на льготы;
• фото и видеоизображения;
• сведения, указанные в актах гражданского состояния (в том числе в свидетельстве о регистрации / расторжении брака);
• сведения, указанные в свидетельстве о рождении детей;
• биометрические персональные данные, обрабатываемые в случаях, предусмотренных действующим законодательством в целях выполнения возложенных на Банк обязанностей;
• данные разрешения на работу или патент;
• иные сведения о субъекте персональных в зависимости от оказываемых Банком услуг и осуществляемых операций.

5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных Субъектов осуществляется с соблюдением принципов и правил, предусмотренных в Федеральном законе № 152-ФЗ «О персональных данных».
5.2. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.3. Обработка персональных данных Оператором допускается при наличии согласия Субъекта на обработку персональных данных. Согласие может быть выражено в формах, условий договоров, заполнения полей в формах, бланках.
5.4. В соответствии с пунктами 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» допускается обработка персональных данных Субъекта без его согласия.
5.5. Для достижения целей Оператор осуществляет обработку персональных данных смешенным режимом.
5.6. Передача информации по внутренней сети Оператора и с использованием сети общего пользованием (Интернет) защищена согласно требованиям безопасности по защите персональных данных.
5.7. Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Банком и третьим лицом, в котором должны быть определены:
• перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
5.8. Банк осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
5.9. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию
5.10. Создание фото и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Данные фото и видеоизображения не используются с целью идентификации субъектов персональных данных и не рассматриваются Банком как биометрические персональные данные.
5.11. Оператор не осуществляет обработку ПДн, относящихся к специальным категориям и касающихся расовой и национальной принадлежностей, политических взглядов, религиозных или философских убеждений, интимной жизни Субъекта, членства Субъекта в общественных объединениях, за исключением случаев, прямо предусмотренных законодательством РФ.
5.12. Соотношение обрабатываемых персональных данных, категорий субъектов и целей обработки персональных данных отражены в Таблице №1 (Приложение 1).
5.13. Оператор не осуществляет трансграничную передачу ПДн Субъектов.

6. Меры обеспечения безопасности персональных данных
6.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн для их защиты от несанкционированного (в том числе случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
• назначение работника, ответственного за организацию обработки ПДн;
• проверка наличия в договорах с контрагентами и включение при необходимости в договоры пунктов об обеспечении безопасности ПДн;
• издание локальных актов по вопросам обработки ПДн, ознакомление с ними работников, ознакомление работников с настоящей Политикой и требованиями законодательства РФ по обработке и обеспечению безопасности ПДн;
• обеспечение безопасности помещений и средств обработки ПДн, охрана, видеонаблюдение;
• ограничение и разграничение доступа работников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;
• определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
• учет и хранение носителей информации, исключающие их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
6.2. Оператор прекращает обработку ПДн при достижении целей обработки ПДн, истечении срока действия согласия или отзыва согласия Субъекта на обработку его ПДн, а также выявлении неправомерной обработки ПДн.
6.3. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7. Права субъектов персональных данных
7.1. По обращению субъекта Оператор предоставляет следующую информацию:
• факт обработки персональных данных субъекта;
• правовые основания и цели обработки персональных данных;
• способы обработки персональных данных;
• наименование и месторасположения Оператора;
• наименование и местонахождение Оператора;
• сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления Субъектом прав, предусмотренных Федеральным законом;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
• разъяснить Субъекту юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом.
7.2. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
7.3. Предоставить Субъекту (если ПДн получены не от Субъекта, до начала обработки таких ПДн) следующую информацию (за исключением случаев, предусмотренных Политикой):
• наименование и адрес Оператора или его представителя;
• цель обработки ПДн и ее правовое основание;
• предполагаемых пользователей ИСПДн;
• установленные Федеральным законом права Субъекта;
• источник получения ПДн.
7.4. Субъект имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн Оператором;
• правовые основания и цели обработки ПДн;
• цели и применяемые Оператором способы обработки ПДн;
• наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления Субъектом прав, предусмотренных Федеральным законом;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
7.5. Субъект вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения, а также принятие предусмотренных законом мер по защите своих прав, в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.6. Субъект вправе обжаловать действия или бездействия Оператора в уполномоченном органе по защите прав Субъектов или в судебном порядке, если Субъект считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы.

8. Порядок пересмотра и внесения изменений
8.1. Настоящая Политика пересматривается в случаях:
• изменения требований законодательства РФ в области обработки и обеспечения информационной безопасности ПДн;
• изменения основных направлений Политики информационной безопасности Банка;
• изменения организационной или технологической инфраструктуры;
• выявления снижения общего уровня ИБ при выполнении информационного технологического процесса.
8.2. Ответственным за пересмотр настоящей Политики является руководитель Службы Информационной Безопасности.

9. Заключительное положение
9.1. Политика вступает в силу с момента утверждения Советом директоров Банка.
9.2. С момента вступления в силу настоящей Политики, «Политика обработки персональных данных субъектов АО «Кубаньторгбанк» (рег. №238/2017, утверждено Председателем Правления Банка от 01.12.2017) утрачивает силу.

Приложение 1
Таблица 1 – Соотношение обрабатываемых персональных данных, категорий субъектов и целей обработки персональных данных

ПДн Сотрудники Члены семьи Контрагенты Банка или их уполномоченные представители Клиенты Банка иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей

фамилия, имя, отчество;

+ + + + +
пол; +   +

число, месяц, год рождения

+   +

гражданство;

+   +

социальное положение (в т. ч. сведения о социальных льготах);

+   +

образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность; и иных документов, выданных на имя субъекта персональных данных (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);

+   + +

сведения об опеке и попечительстве / об усыновлении;

    +

сведения о принадлежащем клиенту имуществе;

+ + +

дата и адрес (проживания, регистрации, постановки на учет);

+   + +

сведения о членах семьи;

+   +

сведения об ИНН, СНИЛС;

+ + +

контактные данные (телефон, адрес электронной почты, почтовый адрес);

+ + + +

кредитная история;

    +

сведения, содержащиеся в документах, подтверждающих право на льготы;

+   +

фото и видеоизображения;

    +

сведения, указанные в актах гражданского состояния (в том числе в свидетельстве о регистрации / расторжении брака);

    +

сведения, указанные в свидетельстве о рождении детей;

    +

биометрические персональные данные, обрабатываемые в случаях, предусмотренных действующим законодательством в целях выполнения возложенных на Банк обязанностей;

    +

данные разрешения на работу или патент;

+   +

иные сведения о субъекте персональных в зависимости от оказываемых Банком услуг и осуществляемых операций.

+ +

место рождения

+   +

статус (резидент/нерезидент);

+   +

семейное положение;

+   +

страна рождения;

+   +

Цели обработки ПДн

осуществления банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;

+

обработка персональных данных в соответствии с трудовым законодательством РФ;

+

заключения и дальнейшего исполнение договора с субъектом персональных данных;

+ +

ведение кредитной истории клиентов Банка;

+

предоставление отчетности государственным надзорным органам, в том числе Банку России, в Росфинмониторинг;

+ + +

осуществление иных функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации;

+ +

идентификации с применением информационных технологий.

+

Выполнение законодательных требований по информационной безопасности

Информация о результатах проведения оценки соответствия защиты информации

Организация, проводившая оценку: ООО «ЦИБИТ»

Рег. №1811 Отчет об оценке Банка АО «Кубаньторгбанк» требованиям Национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций

Уровень соответствия: четвертый

Рег. №1812 Отчет об оценке информационной безопасности Банка АО «Кубаньторгбанк» на соответствие требованиям Приказа Минцифры России №930 в части оценки соответствия уровню защиты информации, установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер»

Рег. №1813 Отчет о выполнении Банком АО «Кубаньторгбанк» требований №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», №802-П «О требованиях к защите информации в платежной системе Банка России», №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Информация о результатах проведенного анализа уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД-4

Система дистанционного управления финансами isFront

Разработчик: ООО «Информационные системы»

Организация, проводившая оценку: ФГУП «РФЯЦ-ВНИИЭФ»

Отчеты:

ИЛ.ВНИИЭФ.АУДИТ.009-2022 ТО – мобильные приложения на платформе «Android» и «iOS».

ИЛ.ВНИИЭФ.АУДИТ.002-2022 ТО – автоматизированная система дистанционного банковского обслуживания ISFRONT

ЦАБС «БАНК 21 ВЕК»

Разработчик: ООО «Компания ИНВЕРСИЯ»

Организация, проводившая оценку: ООО НТЦ «ТЕЗИС+»

Отчеты:

Техническое заключение – совокупность процедур ЦАБС «БАНК 21 ВЕК»