Kaspi және деректерді қорғау: Қазақстандықтар туралы бәрін білетін банк

Цифрлық банкинг заманында азаматтардың жеке деректерінің қорғалуы өзекті мәселеге айналды. Қазақстандағы ірі қаржы ұйымдарының бірі – Kaspi Bank – миллиондаған клиенттердің деректерін өңдейді, сондықтан банк үшін деректер қауіпсіздігін қамтамасыз ету ең маңызды басымдықтардың бірі. Бұл талдауда алдымен Қазақстан Республикасының жеке деректерді қорғау заңнамасының талаптары қарастырылады. Одан кейін Kaspi Bank-тің деректерді қорғау бойынша қолданатын шаралары талданып, басқа елдердегі қаржы институттарының деректерді жинау және қорғау тәжірибесімен салыстырылады. Сондай-ақ халықтың жеке деректерінің сақталуына қатысты пікірлері мен статистикасы зерделеніп, соңында Қазақстандағы және халықаралық тәжірибені салыстыра отырып қорытынды беріледі.

Қазақстандағы жеке деректерді қорғау заңнамасының талаптары

Негізгі заңнама: Қазақстанда жеке деректерді қорғау сұрақтарын реттейтін басты құқықтық акт – 2013 жылы қабылданған «Жеке деректер және оларды қорғау туралы» ҚР Заңы (21 мамыр 2013 ж., №94-V). Аталған заң және оған сәйкес қабылданған Үкімет қаулылары жеке деректерді жинау, өңдеу және сақтау тәртібін, дерек субъектілерінің құқықтарын, деректерді қорғайтын органдардың өкілеттіктерін айқындайды. ҚР Конституциясының 18-бабында да жеке өмірдің қол сұғылмаушылығы мен хат-хабар құпиясы кепілдендірілгені бекітілген, бұл жеке деректердің қорғалуын конституциялық деңгейде қамтамасыз етеді.

Деректерді өңдеу шарты – келісім: Қазақстан заңнамасына сай, жеке тұлғаның деректерін жинау және үшінші тұлғаларға беру тек дерек субъектісінің келісімімен немесе заңда көзделген басқа негіз болған жағдайда жүзеге асырылуы тиіс. Заңның 20-бабы 1-тармағына сәйкес, жеке деректерді жинау және тарату жеке тұлғаның жазбаша келісімімен ғана рұқсат етіледі (егер заңнамада арнайы өзге негіздер қарастырылмаса). Сондай-ақ, 11-бап деректердің меншік иелері, операторлары немесе үшінші тұлғалары дербес деректердің құпиялылығын қамтамасыз етуге және субъекті келісімінсіз таратпауға міндетті екенін бекітеді. Бұл талаптар деректердің рұқсатсыз бөлісуіне тыйым салып, азаматтардың жеке ақпараттарының құпиялығын сақтауға кепілдік береді.

Деректерді қорғау шаралары: Заңға сәйкес деректер базасының иелері мен операторлары жеке деректердің қауіпсіздігін қамтамасыз ету үшін қажетті ұйымдастырушылық және техникалық шараларды қолдануға міндетті. Үкіметтің 2013 жылғы №909 қаулысымен дербес деректерді қорғау бойынша қолданылуы тиіс шаралардың Ережелері бекітілген. Осыған орай, деректерді қорғау үшін кіруді шектеу, рұқсатсыз қол жеткізуді болдырмау, ақпаратты шифрлау, антивирус және желілік қауіпсіздік құралдарын пайдалану сияқты заманауи тәсілдер қолданылуы керек. 2021 жылы заңнамаға енгізілген түзетулер бойынша, ақпараттық қауіпсіздік инциденттері (жеке деректерге заңсыз қол сұғу оқиғалары) туралы уәкілетті мемлекеттік органды хабардар ету талабы енгізілді. Яғни, егер азаматтардың деректері заңсыз қолжетімді болып кетсе немесе ақпараттық жүйеге бұзу жасалса, компания Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігін дереу хабардар етуі тиіс. Бұл талап Еуропалық Одақтың GDPR регламентіндегі дерек бұзушылық туралы хабарлау ережесіне ұқсас екені айтылады.

Деректерді Қазақстанда сақтау (локализация): Қазақстан дербес деректерді өз аумағында сақтау талабын заңнамалық деңгейде бекіткен. 2021 жылғы түзетулерге дейін де қолданыста болған бұл талап нақтылай түсілді: электрондық дерекқорлардағы жеке деректер Қазақстан Республикасы аумағында орналасқан серверлерде сақталуы тиіс. Басқаша айтқанда, Қазақстан азаматтарының жеке деректерін шетелдік серверлерде сақтау шектелген. Дегенмен, өзге елдерге деректерді беру тәртібі заңмен толығымен тыйым салынбаған – 2013 жылғы заңның 16-бабына сай, егер деректер достаточный уровень защиты қамтамасыз ететін елге жіберілсе немесе дерек субъектісінің өзі келісім берсе, жеке ақпаратты шетелге трансфертеуге болады. GDPR тәрізді, Қазақстан да өз аумағынан тыс жеке деректерді беруге «тиісті деңгейде деректерді қорғау» талабы тұрғысынан қарайды. Ал мұндай деңгей болмаса, жеке тұлғаның келісімі немесе халықаралық келісім шарттарының болуы шарт.

Жауапты тұлға мен бақылау: Қазақстанда жеке деректерді қорғауға жауапты уәкілетті орган – жоғарыда аталған Цифрлық даму министрлігінің ақпараттық қауіпсіздік комитеті болып табылады. 2020 жылғы түзетулер бойынша әрбір компания дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындауы тиіс болды. Бұл талап ЕО елдеріндегі Деректерді қорғау жөніндегі уәкіл (DPO) институтына балама ретінде енгізілгені атап өтілді. Уәкілетті орган (министрлік) деректер субъектілерінен шағымдар қабылдап, деректерді қорғау талаптарының сақталуын қадағалайды және заң бұзу фактілері анықталса, деректерді бұғаттау, жою жөнінде нұсқама береді, кінәлі тұлғаларды жауапкершілікке тарту шараларын жүргізеді.

Жауапкершілік пен жазалар: Қазақстан заңнамасын бұзып, жеке деректердің қорғалмауына жол бергендер әкімшілік, тіпті қылмыстық жауапкершілікке тартылады. ҚР Әкімшілік құқық бұзушылық туралы кодексінде дербес деректерді рұқсатсыз жария ету немесе заңсыз пайдалану үшін айыппұлдар қарастырылған. Мысалы, жеке тұлғалар үшін 10-нан 100 АЕК-ке дейін (айлық есептік көрсеткіш) айыппұл салынуы мүмкін. Егер қызметтік міндетін атқару барысында деректердің сыртқа шығуына жол берген лауазымды адамдар болса, оларға 50-ден 500 АЕК-ке дейін айыппұл қарастырылған. Ал заңды тұлғалар (компаниялар) үшін айыппұл көлемі 1000 АЕК-ке дейін және одан асып кетуі мүмкін жағдайлар бар. 1000 АЕК қазіргі бағаммен бірнеше миллион теңгеге тең, бұл ірі кәсіпорындар үшін аса үлкен сома болмағанымен, абырой-беделдің түсіп, мемлекеттік органдар тарапынан қатаң бақылауға алыну қатері бизнеске елеулі әсер етеді. Қылмыстық кодексте де жеке өмірге қол сұғу, ақпаратты заңсыз жинау таратуға қатысты баптар қарастырылып, аса ауыр жағдайларда бас бостандығынан айыру жазасына дейін көзделген. Дегенмен, сарапшылардың пікірінше, Қазақстанда деректерді қорғау туралы заңнаманың қолданылуы әлі де толық деңгейде емес, көптеген ұйымдар ережелерді сақтауға атүсті қарайды, ал құқық қорғау органдары тарапынан профилактикалық және жазалау шаралары жеткіліксіз болғандықтан, деректердің заңсыз таралуы жиі кездеседі.

Үкімет пен Парламенттің іс-қимылдары: Соңғы жылдары деректер қауіпсіздігіне мемлекет назарын күшейтуде. Мысалы, 2022-2023 жылдары елімізде кибершабуылдар саны күрт өскені тіркелді – 2024 жылдың басына дейін бір жыл ішінде Қазақстанға 200 миллионнан астам кибершабуыл әрекеті жасалғаны хабарланды. Оның тең жартысынан астамы мемлекеттік секторды нысанаға алған, қалғаны жеке бизнес пен қарапайым азаматтардың деректерін алуға бағытталған әрекеттер. Осындай жағдайлар депутаттарды да алаңдатуда: Мәжіліс депутаты Екатерина Смышляеваның айтуынша, бүгінде заң бұзғандарға жазалар көзделгенімен, құқық қорғау органдарының оны орындаудағы кемшіліктері деректердің заңсыз саудасына тосқауыл болмай отыр. Ол деректердің жиі компаниялардың ішінен сыртқа шығатынын, яғни қызметкерлер клиенттер базасын ұрлап сатып жіберетінін, мұндай жағдайда компания да жауапқа тартылуға тиіс екенін атап өтті. Мемлекеттік органдар тарапынан енді осалдықтарды анықтау үшін ҰҚК Мемлекеттік техникалық қызметіне ұйымдардың ақпараттық жүйелеріне инспекция жүргізу өкілеттігі берілді. Бұл ретте бизнеске қосымша міндет – ҰҚК қызметкерлеріне жүйелеріне кіруге мүмкіндік беру талабы қойылды. Жалпы, заңнамалық базаны жетілдіру арқылы және жауапкершілікті күшейту арқылы Қазақстан деректерді қорғау деңгейін біртіндеп халықаралық стандарттарға жақындатуға талпыныс жасауда.

Kaspi Bank-тің деректерді қорғау шаралары

Kaspi.kz экожүйесінің ерекшелігі: Kaspi Bank – дәстүрлі банк қызметінен бөлек, цифрлық платформа (Kaspi.kz мобильді қосымшасы) арқылы төлем, сауда (маркетплейс), мемлекеттік қызметтер және т.б. сервистерді бір ортаға біріктірген инновациялық қаржы технологиясы компаниясы. Мұндай экожүйе аясында Kaspi тұтынушылар туралы үлкен көлемде деректер жинайды: төлем және аударым тарихы, сатып алу талғамдары, шоттар мен карталардың деректері, жеке куәлік және байланыс ақпараты, т.б. Сондықтан Kaspi ақпараттық қауіпсіздікке ауқымды инвестиция жасап, озық технологияларды қолданатынын айтады.

Халықаралық стандарттарға сәйкестік: Kaspi Bank өз қызметінде деректер қауіпсіздігі бойынша халықаралық стандарттарды ұстанатынын мәлімдейді. Мәселен, Kaspi.kz киберқауіпсіздік жүйелері SWIFT халықаралық қаржы телекоммуникация жүйесінің стандарттарына, PCI DSS төлем карталары индустриясының деректер қауіпсіздігі стандарттарына және ISO/IEC 27001–27005 ақпараттық қауіпсіздік менеджментінің халықаралық стандарттарына сай келетіні айтылған. Сондай-ақ Kaspi Еуропалық Одақтың GDPR регламентінің талаптарын да ескеріп, сол деңгейде қорғау ұстанымдарын енгізуде екенін хабарлайды. Бұл Kaspi-дің деректерді қорғауда жаһандық озық тәжірибеге бейімделуге тырысатынын көрсетеді. Компанияның 2022 жылғы ESG есебінде 2022 жылы ақпараттық қауіпсіздік оқиғаларына жол берілмегені туралы да атап өтілген, яғни есепті жылы деректердің ірі бұзылуы болмағанын хабарлаған.

Техникалық қауіпсіздік шаралары: Kaspi.kz мобильді қосымшасы арқылы клиенттер көптеген операция жасайтындықтан, транзакция қауіпсіздігі басты назарда. Kaspi мобильді қосымшада клиент пен банк арасындағы барлық деректер алмасуы HTTPS қорғалған протоколы арқылы TLS 1.2 шифрлауымен жүргізілетінін ресми құжаттарда көрсеткен. Бұл деректердің жолдағы қолға түсуіне жол бермеу үшін жасалған қадам. Сондай-ақ, Kaspi жүйесінде клиенттің парольдері шифрланған күйде сақталып, берілетіні, ашық түрде еш жерде көрсетілмейтіні айтылады. Яғни, пайдаланушылардың идентификациялық деректері база ішінде қорғалған. Жүйеге кіруді бақылау да қатаң: қызметкерлердің дербес деректерге қол жеткізуі шектеліп, тек өкілеттілігі бар тұлғалар ғана тиісті ақпаратты көре алады. Бұл халықаралық тәжірибеде «қажеттілік принципі» деп аталады (керек адамға ғана керек дерекке рұқсат беру), Kaspi-де де соның сақталуы маңызды.

Транзакцияларды растау және бақылау: Kaspi банк карталарында 3D Secure технологиясы қолданылады, бұл интернеттегі төлемдерге қосымша қорғаныс қабатын береді. Карта арқылы онлайн төлем жасалғанда, клиенттің телефон нөміріне бірреттік құпия код (SMS немесе push-хабарлама) жіберіледі, транзакция тек сол кодты енгізгенде ғана жүзеге асады. Осылайша, рұқсатсыз біреудің картасын пайдаланудың алдын алады. Сондай-ақ, Kaspi.kz қосымшасы күдікті белсенділікті анықтау үшін поведенциялық мониторинг құралдарын қолданады деп болжауға болады – мысалы, әдеттен тыс ірі аударым немесе аккаунтқа бөгде құрылғыдан кіру тіркелсе, қосымша қосымша растауды сұрап немесе транзакцияны уақытша тоқтатып, тексеруі ықтимал. Мұндай функциялар туралы нақты ашық ақпарат аз болғанымен, нарықтағы стандарттарға сүйенсек, Kaspi алаяқтыққа қарсы жүйелерді (fraud monitoring) іске асырған.

Пайдаланушыларды ақпараттандыру: Kaspi өз клиенттерін де деректерін қорғауға үйретуге тырысады. Мысалы, Kaspi Гид платформасында қауіпсіздік бойынша кеңестер беріліп, жиі қойылатын сұрақтарға жауаптар жазылған. Онда фишингтік қоңыраулар мен жалған сілтемелерден сақтану, телефон жоғалтқан жағдайда қосымшаны бұғаттау, күдікті транзакцияларды қалай анықтау керектігі туралы нұсқаулықтар бар. Банктің бұл әрекеті тұтынушылардың киберсауатын арттыруға бағытталған, себебі көптеген дерек ұрлану оқиғалары пайдаланушылардың өз қателіктерінен (мысалы, құпиясөзді бөтенге айтып қою, фишингтік сайтқа кіріп деректерін беру) орын алады. Kaspi сондай инциденттердің алдын алу үшін ескертулер жасап отырады.

Ішкі бақылау және тестілеу: Жоғарыда аталған Kaspi-дің халықаралық стандарттарға сәйкестік туралы мәлімдемесіне қарағанда, банк тұрақты түрде аудит пен қауіпсіздік тексерулерін өткізіп отырады. ISO 27001 стандарты бойынша, ұйым ақпараттық қауіпсіздік басқару жүйесін енгізіп, тәуекелдерді бағалап, оларды азайту шараларын циклдік түрде жүзеге асыруы тиіс. PCI DSS сертификаты Kaspi.kz-тің төлем карталарының деректерін сақтау және өңдеу инфрақұрылымы төлем индустриясының қатаң талаптарына сай екенін білдіреді. Бұл талаптар ішінде желілік қауіпсіздік қабырғаларын (firewall) орнату, карталар нөмірін шифрлау, кіруді мониторингтеу, осалдықтарға тұрақты сканерлеу, этикалық хакерлердің тестілеуі (penetration testing) сияқты көптеген техникалық шаралар бар. Raspi өз есебінде «этикалық хакерлерді» тартатынын да көрсетеді [ir.kaspi.kz], яғни қорғаныстың берік екеніне көз жеткізу үшін сыртқы мамандарға өзінің жүйелерін бұзуға тапсырыс беріп, сыналтады. Мұндай проактивті шаралар банктің қауіпсіздік деңгейін жоғарылатуға септігін тигізеді.

Kaspi Pay оқиғасы – деректердің қажетсіз ашықтығы: Kaspi деректерді қорғауда мейлінше күш салғанымен, кейде ол пайдаланылатын жаңа технологиялар құпиялылық тәуекелдерін туындатуы мүмкін. 2023 жылы Астана қаласының прокуратурасы Kaspi Pay сервисіне қатысты бір оқиғаны жариялады. Kaspi Pay – Kaspi экожүйесіндегі кәсіпкерлерге арналған мобильді төлем жүйесі, ол арқылы сатушылар QR-кодты сканерлеп, сатып алушылардан төлем қабылдай алады. Прокуратура жүргізген тексеріс барысында Kaspi Pay арқылы клиентке ақшаны кері қайтару (refund) операциясы жасалғанда, кәсіпкердің қосымшасындағы төлем тарихында клиенттің Толық аты-жөні және ЖСН-ы (жеке сәйкестендіру нөмірі, ИИН) көрінетіні анықталды. Яғни, сатып алушының келісімінсіз оның жеке деректері сатушыға ашылған. Қазақстан заңнамасы бойынша ЖСН сияқты деректер шектелген қолжетімді дербес ақпаратқа жатады және оны дерек субъектісінің рұқсатынсыз таратуға тыйым салынады. Прокуратура бұл жағдайды дербес деректерді қорғау талаптарының бұзылуы деп танып, Цифрлық даму министрлігінің Ақпараттық қауіпсіздік комитетіне Kaspi Bank-ке аталмыш олқылықты жою туралы ұсыныс енгізді. Нәтижесінде Kaspi Kaspi Pay жүйесінде клиенттердің ЖСН деректерін көрсетуді алып тастауға міндеттелді. Бұл оқиға Kaspi-дің деректерді пайдалану сценарийлерін қайта қарап, деректер минимизациясы қағидатын (қызмет көрсетуге қажетті ең аз ақпаратты ғана пайдалану) күшейтуіне түрткі болды. Аталған мысал банктің ішкі инновациялары құпиялылық тәуекелдерін туындатуы мүмкін екенін және реттеуші органдардың дер кезінде араласып отыратынын көрсетеді.

Қорғау және деректерді коммерцияландыру балансы: Kaspi нарықта бірегей деректер көлеміне ие болғандықтан, оны коммерциялық тұрғыда қолдану әлеуеті де жоғары. 2024 жылы Қазақстан қор биржасының (KASE) төрайымы Алина Әлдамберген Kaspi туралы: «Kaspi.kz – клиенттердің деректерін ішкі қажеттіліктері мен бизнесін дамытуға ғана емес, сонымен бірге құрылымдық түрде сол деректер мен тұтынушылық талғамдарды басқа қаржы ұйымдарына сатуға қабілетті компанияның жарқын мысалы» деп мәлімдеме жасады [bes.media]. Бұл пікір қоғамда үлкен резонанс туғызды, себебі қаржы институтының клиент деректерін сату мүмкіндігі – құпиялылыққа төнген қатер ретінде қабылданады. Kaspi өкілдері мұндай деректерді сыртқа коммерциялық сатумен айналыспайтынын мәлімдесе де, бұл жағдай жұртшылық арасында деректердің сақталуына деген алаңдаушылықты күшейте түсті. Цифрландыру заманында дерек – құнды ресурс, оны қорғау мен тиімді пайдалану арасында жұқа шекара бар. Kaspi сияқты компаниялар бір жағынан тұтынушы сенімін сақтап, деректерін барынша қорғауға міндетті, екінші жағынан сол деректер негізінде жаңа қызметтер ұсыну, бизнесті кеңейту үшін деректерді талдап, қолданады. Сондықтан банктің деректерді пайдалану саясаты ашықтыққа негізделіп, клиенттердің жеке өмірге қол сұғылмау құқығын бұзбауы шарт.

Kaspi Bank өз Құпиялылық саясатында клиент деректерін қандай мақсатта жинайтынын және қандай жағдайларда үшінші тараптармен бөлісуі мүмкін екенін түсіндіреді [cdn-kaspi.kz]. Негізінен, бұл мақсаттар – қаржы қызметтерін көрсету, операциялардың қауіпсіздігін қамтамасыз ету, серіктес қызметтерін (мысалы, Kaspi платформасындағы сақтандыру, туризм, мемлекеттік қызметтер) ұсыну үшін қажет мәліметтермен алмасу. Kaspi жеке деректерді Қазақстан заңнамасының талаптарына сай және тек келісім негізінде өңдейтінін айтады. Дегенмен, жоғарыдағы Kaspi Pay мысалы көрсеткендей, жүйедегі кейбір функциялар заң талабына қайшы келмесе де, құпиялылықтың ең жоғары стандарттарына сай болмауы мүмкін. Мұндай келеңсіздіктерді түзету арқылы Kaspi өз деректерді қорғау саясатын жетілдіріп отырады.

Басқа елдердегі қаржы институттарының деректерді қорғау тәжірибесі

Халықаралық талаптар қысқаша: Әлемнің көп бөлігінде дербес ақпаратты қорғау туралы заңдар қабылданып, қаржы ұйымдарына деректермен жұмыс істеуге жоғары талаптар қойылған. Қаржы секторы сезімтал деректерді (қаржы шоттары, транзакциялар, жеке идентификаторлар т.б.) көп көлемде ұстайтындықтан, деректер қауіпсіздігіне ерекше назар аударылады. Көптеген елдердің реттеушілері банктер мен қаржы институттарына тиісті құқықтық негізсіз артық дерек жинамауды, клиенттерге өңдеу туралы ашық ақпарат беруді және қауіпсіздіктің озық тәсілдерін қолдануды міндеттейді [incountry.com]. Мысалы, АҚШ-та 1999 жылғы Gramm-Leach-Bliley Act (GLBA) заңы қаржы мекемелеріне клиенттердің жеке ақпаратын қорғау және құпиялылық саясатын клиенттерге ұсыну міндетін жүктейді. GLBA аясында банктер ақпаратты қорғау бағдарламасын жасауға және жыл сайын сол жайында есеп беруге тиіс. Ал Еуропалық Одақта 2018 жылдан бастап іске қосылған General Data Protection Regulation (GDPR) деректерді қорғаудың алтын стандардына айналды. GDPR тек қаржы саласына емес, барлық ұйымдарға ортақ жалпы ережелер белгілегенімен, еуропалық банктер соған толық бағынады: жеке мәліметтерді өңдеуге нақты құқықтық негіз (клиенттің келісімі, шарттық қажеттілік, заңдық міндет, т.б.) болуы, деректер минимизациясы (қажеттен артық дерек жинамау), өңдеу мақсатын шектеу, деректердің тұтастығы мен құпиялығын қамтамасыз ету талаптары қойылады. Клиенттердің де кең құқықтары бар – деректеріне қолжеткізу, түзету, өшіруді талап ету, өңдеуді шектеу сияқты. Банктер клиентке қатысты жинайтын барлық ақпарат бойынша ашық болуға, қандай мақсатта пайдаланылатынын түсіндіруге міндетті, ал клиент қаламаған жағдайда маркетингтік мақсатта пайдалануды тоқтатуы тиіс.

Деректерді шифрлау және қолжетімділікті шектеу: Халықаралық тәжірибеде барлық ірі банктер деректерді шифрлау практикасымен жұмыс істейді. Яғни мәліметтер деректер ортасында сақталғанда да, желі арқылы жіберілгенде де шифрланып қорғалады – бұл банк секторының де-факто стандарты. Мысалы, банк клиентінің деректері сыртқа жөнелтілсе (мейлі ол филиаларалық байланыс болсын, немесе клиент мобильді банкингті пайдаланса), ол деректер шифрланған күйде тасымалданады, осылайша оны ұстап алған шабуылдаушы пайдалы ақпарат ала алмайды. Сол сияқты, банктың дерекқорларында сақталған мәліметтер де шифрлаумен қорғалады. Сонымен бірге, банктерде қатаң қолжетімділік бақылауы жүзеге асырылады: «қызмет бабында қажеттілік» принципі бойынша ғана қызметкерлер белгілі бір деректерді көре алады, ал одан шығатын кез келген әрекет (мысалы, деректерді көшіру, өзгерту) журналға жазылып, мониторингтеледі. Ішкі қауіпсіздік бөлімдері бақылау жүйелері (SIEM) арқылы күмәнді әрекеттерді (мысалы, бір қызметкердің әдеттен тыс көлемде деректі сыртқа тасымалдауын) тез анықтап, тергей алады. Көп факторлы аутентификация да кең таралған – қызметкерлер мен жүйе әкімшілері банктың ақпараттық жүйелеріне кіргенде, тек парольмен ғана емес, қосымша токен немесе биометрия арқылы расталуы тиіс.

Алаяқтық пен кибершабуылдан қорғаныс: Қаржы институттары әлемде ең көп шабуылға ұшырайтындардың қатарына жатады. Сондықтан көптеген банктер этикалық хакерлерді тартып, жүйелерін үнемі осалдықтарға тексереді, Bug Bounty бағдарламаларын ашады (ақпараттық қауіпсіздік мамандары табылған осалдық үшін сыйақы алатын бағдарламалар). Банктердің IT-инфрақұрылымдарына үнемі стресс-тесттер, кідіріс жағдайындағы жоспарлар (Disaster Recovery Plan) жүргізіледі. Мысалы, 2019 жылы АҚШ-тағы ірі Capital One банкі бұлттық сервердегі қателіктің салдарынан 106 миллион клиент пен өтініш берушінің деректерінің ұрлануы жағдайына ұшырады [reuters.com]. Бұл оқиға банк индустриясына үлкен сабақ болды. АҚШ банк реттеушісі (OCC) Capital One-ға 80 миллион АҚШ доллары көлемінде айыппұл салып, ақпараттық қауіпсіздік бағдарламасын түбегейлі қайта қарауды талап етті. OCC тергеуінде банктің бұлтқа көшу барысында қауіп-қатерлерді дұрыс бағаламағаны, желілік қауіпсіздік пен деректердің сыртқа кетуінің алдын алу (DLP) жүйелерін жеткіліксіз енгізгені анықталды. Осындай мысалдар әлемдегі реттеуші органдардың деректерді қорғауға немқұрайлы қараған қаржы ұйымдарын қатаң жазалайтынын көрсетеді. Еуропада GDPR бойынша тәртіп бұзған компанияларға айналымының 4%-ына дейін немесе 20 млн евроға дейін (қайсысы жоғары болса) айыппұл салынуы мүмкін [gdpr-info.eu]. Шындығында да, 2018 жылдан бері ЕО елдерінде жүздеген миллион еуро айыппұлдар түрлі компанияларға тағылды (мысалы, British Airways авиакомпаниясына ~204 млн фунт, Marriott қонақүй желісіне ~110 млн фунт штрафтар, банктерден де GDPR талаптарын бұзғандары үшін айыппұл алғандары бар). Ұлыбританияда 2020 жылы Bank of Ireland деректердің бірнеше рет бұзылуына жол бергені үшін 750 мың евро айыппұлға кесілді. Бұл сомалар Қазақстандағы айыппұлдармен салыстырғанда өте қомақты, сондықтан халықаралық деңгейде банктерге қаржылық жағынан тежейтін фактор бар.

Заңдар және деректерді шекарадан тыс сақтау: Әр елдің деректерді шетелге шығару бойынша өз ережелері бар. GDPR шеңберінде Еуропа азаматтарының деректерін ЕО/ЕЭА аумағынан тыс жерлерге жіберу үшін Еурокомиссия «қорғаудың жеткілікті деңгейі бар» деп таныған ел болу немесе компаниялар арасында стандартты келісімдер, тиісті кепілдіктер болуы қажет. Мысалы, еуропалық банктің Қазақстан немесе басқа елдегі серіктесіне клиент деректерін беруі үшін сол елдің заңнамасы GDPR деңгейіне жақын болуы не екі жақ арнайы келісімдер арқылы деректер қауіпсіздігіне кепілдік беруі керек. Ал АҚШ-та жалпы ұлттық деректерді қорғау заңы жоқ (жекелеген салалық заңдар мен штаттық актілер бар), бірақ солтүстіктегі көрші Канадада және Азия-Тынық мұхиты аймағындағы Жапония, Оңтүстік Корея, Сингапур, Австралия секілді елдерде дербес деректер жөнінде қатаң заңдар қабылданып, қаржы секторында оларды орындау міндеті бақыланады. Мысалы, Сингапурда Banking Secrecy Act және Personal Data Protection Act бойынша банк клиентінің рұқсатынсыз оның деректерін үшінші жаққа ашқан банкир қылмыстық жауапқа тартылуы мүмкін. Қытайда 2021 жылы қабылданған Жеке ақпаратты қорғау туралы заң (PIPL) қаржы ұйымдарына деректерді шетелге беруге өте қатал шектеу қойып, қатаң локализация талаптарын енгізді – бұл Қазақстандағы тәртіпке ұқсас, бірақ одан да қатаң режім (деректерді экспорттамай, Қытай ішінде сақтау).

Транспаренттік және есеп беру: Халықаралық банктерде деректерді қорғау саясаты ашық қолжетімді құжат ретінде жарияланады. Әр клиент банк веб-сайтынан Құпиялылық саясатын тауып, онда қандай деректер жиналатынын, не үшін және қанша уақыт сақталатынын көре алады. Мысалы, HSBC, Citibank, Deutsche Bank секілді ірі банктердің құпиялылық саясатында деректердің кейде маркетингтік мақсатта қолданылуы мүмкін екендігі, бірақ клиенттің әрқашан «opt-out» құқығы (яғни өз деректерін маркетингтен алып тастау құқығы) бары айтылады. АҚШ-та банктер жыл сайын клиенттерге поштамен Privacy Notice (Құпиялылық туралы хабарлама) жібереді немесе электронды түрде ұсынады, онда клиенттің деректері аффилиирленген компаниялармен немесе үшінші тараппен бөлісіле ме, сол туралы мәлімет беріледі. Клиент сол хабарламадағы арнайы форма арқылы кейбір деректер бөлісуіне тыйым сала алады – бұл GLBA талабына сай орындалады.

Үздік тәжірибе қорытындысы: Жалпы алғанда, дамыған елдердегі қаржы институттарының деректерді қорғаудағы тәжірибесін былайша жүйелеуге болады:

Құқықтық негіз және келісім: Клиент деректері заңды негізде (келісім, заң талабы, т.б.) ғана жиналады. Көп елде үнсіз келісім емес, нақты opt-in (клиенттің белсенді келісім беруі) талабы күшейіп келеді [incountry.com].
Шифрлау: Деректерді сақтау орындарында (дерекқорлар, резервтік көшірмелер) және тасымалдауда (интернет трафик, коммуникация) заманауи криптография әдістерімен шифрлау – міндетті стандарт.
Қол жеткізуді бақылау: Ішкі жүйелерде деректерге рұқсат тек тиісті қызметкерлерге беріледі. Кіруді басқару жүйелері, көп факторлы аутентификация, рөлдік модель пайдалану – қауіпсіздіктің негізі.
Аудит пен мониторинг: Банктер жүйеге кірулерді, деректер операцияларын жазып алып, анализ жасайтын Security Information and Event Management (SIEM) жүйелерін қолданады. Күдікті іс-әрекет анықталса, қауіпсіздік тобы шұғыл әрекетке көшеді.
Тестілеу: Желілік осалдықтарды сканерлеу, пен-тест (penetration test) өткізу, этикалық хакерлердің көмегіне жүгіну тұрақты жасалады.
Инциденттерге дайындық: Кибершабуыл бола қалған жағдайда әрекет жоспары (Incident Response Plan) бар, деректердің сақтық көшірмелері қамтамасыз етіледі.
Деректерді минимизациялау: Көптеген банктер клиент туралы тек қажетті мәліметтерді сұрайды. Мысалы, сервисті жақсарту үшін үлкен деректерді талдау жүргізілсе де, жеке басты анықтайтын деректер анонимдендіріледі немесе псевдонимдендіріледі.
Үшінші тараппен жұмыс: Банктер аутсорсинг немесе серіктестерге (мысалы, бұлттық сервистер, коллекторлық агенттіктер, т.б.) клиент деректерін бере отырып, деректерді өңдеу туралы келісімдер жасайды. Онда әр тараптың жауапкершілігі көрсетіліп, контрагенттің де GDPR сияқты талаптарды сақтау міндеті бекітіледі.
Деректерді жою: Клиентпен қатынас тоқтағанда немесе деректер керек болмай қалғанда оларды қауіпсіз түрде жою (тиісті мерзімдер өткен соң) – заң талабы. Көптеген елдерде «ұмытылу құқығы» бар, банк клиенттің сұрауымен оның жеке деректерін өшіруге міндетті (қаржы операцияларына қатысты заңнамалық архивтерді есептемегенде).

Жалпы, халықаралық қаржы ұйымдары клиенттердің дербес деректерінің құпиялығы мен қауіпсіздігін сақтауды беделінің ажырамас бөлігі деп қарастырады. Кез келген ірі дерекбұзушылық – қаржылық шығынға ғана емес, сол банктің абыройына да үлкен соққы. Сол себепті «қорғау – шабуылдан жақсы» қағидатын ұстана отырып, алдын алу шараларына қомақты қаржы бөлінеді.

Жеке деректердің сақталуы бойынша қоғам пікірі мен статистикасы

Қоғамның алаңдаушылығы: Қазақстанда тұрғындардың көбі жеке ақпараттарының қауіпсіздігіне алаңдайды. PaperLab зерттеу орталығы жүргізген сауалнама (2021 ж.) нәтижелері халықтың деректерді қорғау мәселесіне қатысты біршама күмәні барын көрсетті. Екі адамның бірі (48%) өз жеке деректері алаяқтардың қолына түсіп қалуы немесе теріс мақсатта пайдаланылуы мүмкін деп қорқады. Соған қарамастан, халықтың тек бес адамның бірі (20%) ғана жеке деректерді қорғау және цифрлық құқықтар жөнінде жақсы хабардар екенін айтқан, ал 60% өз құқықтары мен оларды қорғау тәсілдері туралы білімнің жеткіліксіздігін сезінетіндерін жеткізген. Бұл көрсеткіштер қоғамда ақпараттандыру жұмыстарының әлі де жеткіліксіз екенін және азаматтардың дербес қауіпсіздік практикасына машықтану керектігін аңғартады.

Мемлекетке сенім деңгейі: Азаматтардың едәуір бөлігі мемлекеттік органдардың өз деректерін қалай пайдаланатынына сенімсіздікпен қарайды. Сауалнамаға қатысқандардың 66% «адамдарда таңдау жоқ, билік бәрібір өз дегенін істейді» деген пікірге қосылатындарын білдірген [profitday.kz]. Яғни азаматтардың басым бөлігі жеке ақпараттарының жиналуына ықпал ету тетіктері жоқ деп санайды. Сонымен қатар, әр үшінші адам (37%) мемлекеттік дербес деректер саясатына теріс көзқарас танытқан. Халықтың жеке деректерін үкіметтік органдардың көбірек көлемде жинауға ұмтылуы 59% респондент үшін алаңдатарлық жайт екені анықталды. Бұл деректер халық арасында «Үкімет бізді тым қатты бақылауда ұстап отыр» деген қауіп барын білдіреді. Мысалы, пандемия кезінде енгізілген Ashyq қосымшасы арқылы азаматтардың жүріс-тұрысын қадағалау, бейнебақылау (Safe City жобасы) аясында биометриялық деректерді жинау сияқты бастамалар қоғамда пікірталас тудырған еді. Бір жағынан, мұндай жүйелер қауіпсіздік пен денсаулық үшін енгізілсе, екінші жағынан, жеке өмірге қол сұғу дәрежесін арттырады деп сынға ұшырады.

Деректердің таралып кетуі және салдары: Қазақстанда соңғы жылдары бірнеше ірі дерекбазалардың интернетке шығып кетуі оқиғалары тіркелді. Мысалы, 2023 жылы киберқауіпсіздік зерттеушілері мемлекеттік органдардың 5 млн-нан астам жазба жеке деректері (азаматтардың аты-жөні, ЖСН, телефон нөмірлері және т.б.) ашық қолжетімділікте болғанын анықтады. 2021 жылы белгілі болған тағы бір оқиғада азаматтардың кредиттік тарихы, банктік қарыздары туралы мәліметтер интернетте сатылғаны әшкереленді. Мұндай жаңалықтар тұрғындардың жеке ақпараттарының шынында да қорғалмайтынын сезінуге мәжбүрлейді. Қазіргі кезде Қазақстан интернет-форумдары мен Telegram сияқты желілерде ашықтан-ашық «деректер базалары сатылады» деген хабарламаларды кездестіруге болады – мысалы, белгілі бір қаладағы тұрғындардың телефон нөмірлері мен мекенжайлары бар тізім, автокөлік иелерінің базасы, студенттердің деректері және т.б. осылай заңсыз саудаға түсетіні айтылып жүр. Бұл құбылыс, әрине, заңсыз және заң органдары тарапынан қудалануы тиіс, бірақ іс жүзінде әлі толық тоқтамаған.

Халықаралық салыстыру: Жеке деректердің қорғалуына алаңдау тек Қазақстанға ғана тән емес – бұл ғаламдық деңгейдегі тренд. Pew Research Center (АҚШ) зерттеуіне қарағанда, Америка тұрғындарының 84% үкіметтің өздері туралы жинайтын ақпаратына еш немесе өте аз бақылауымыз бар деп есептейді, ал 81% жеке компаниялар жинайтын деректерге қатысты да сол пікірде. McKinsey жүргізген сауалнамаға сай, тұтынушылардың тек шамамен үштен бірі компаниялардың деректерді жауапкершілікпен пайдаланып жатқанына сенеді. Ал Salesforce компаниясының 2020 жылғы есебінде сұралғандардың 83% интернетте жеке ақпараттарын бөлісуге алаңдайтынын айтса, 72% қандай да бір сервис немесе өнім ұсынушы компанияның құпиялылық саясатына көңілі толмаса, оны қолдануды тоқтататынын білдірген. Бұл көрсеткіштер халықтың дербес дерек құпиясына қатысты сезімталдығы өте жоғары деңгейде екенін көрсетеді. Тіпті көптеген тұтынушылар үшін компанияның құпиялылықты қорғауы – сол компанияға деген сенімнің негізгі факторының біріне айналған.

Қазақстандықтардың да дербес дерек қауіпсіздігіне байланысты көңіл күйлері осы ғаламдық тенденциямен үндес. Бір жағынан, цифрлық қызметтердің артуы өмірді жеңілдетіп, қолайлылық берсе, екінші жағынан «цифрлық ізіміздің» көлемі ұлғайып, құпия ақпарымыз әртүрлі платформаларда қалып жатыр. Халықтың бір бөлігі осыған байланысты алаңдап, қандай шара қолдану керектігін білмейді. Сауалнамадан көрінгендей, азаматтардың көбі өз деректерін қорғау үшін мемлекет пен бизнеске тәуелді, яғни дербес кибергигиена дағдылары төмен. Дегенмен, соңғы жылдары позитивті өзгеріс те жоқ емес: қоғамда киберқауіпсіздік, деректер құпиясы тақырыптары жиі талқыланып, медиа ресурстарда ақпараттық материалдар көбейді (мысалы, Factcheck.kz, Digital Rights жобалары дербес деректердің қорғалуы бойынша ағартушылық мақалалар жариялауда). 2022 жылы қабылданған «Цифрлық Қазақстан» мемлекеттік бағдарламасында халықтың цифрлық сауатын арттыру, оның ішінде деректер қауіпсіздігі бойынша оқыту да көзделген.

Kaspi Bank-ке қатысты қоғамдық пікір: Kaspi еліміздегі ең көп клиенттік базаға ие жеке компания болғандықтан, оған деген сенім мен сын қатар жүреді. Жоғарыда сөз болған Kaspi деректерін сату мүмкіндігі жайлы мәлімдеме көпшілікті ойландырды. Әлеуметтік желілерде кей қолданушылар Kaspi-дің түрлі жарнамалық SMS немесе пуш-хабарламалар жіберетінін, сол үшін клиент мінез-құлқын талдап отыратынын айтады. Мысалы, Kaspi.kz қосымшасында белгілі бір тауарды іздесеңіз, артынша соған ұқсас өнімдердің жарнамасы көрсетілуі немесе серіктес компаниялардың ұсынысы келуі – бұл Kaspi-дің экожүйе ішіндегі деректерді коммерциялық бағытта қолдануының мысалы деп қарастыруға болады. Мұндай таргеттелген ұсыныстар кей тұтынушыларға ұнаса (тиісті тауарды тез табуға көмектеседі), кейбірі үшін жеке кеңістігіне кірігу сияқты көрінуі мүмкін. Сондықтан Kaspi сияқты компанияларға айқын теңгерім керек: бір жағынан, пайдаланушы деректерінің қауіпсіздігі мен құпиялылығын сақтау, екінші жағынан, сол деректерді пайдаланып көрсетілетін қызмет сапасын жақсарту.

Қорыта келгенде, қоғамдық пікір екіұдай: көптеген қазақстандықтар Kaspi сияқты банктердің цифрлық қызметтерін жоғары бағалайды, күнделікті өмірін онсыз елестету қиын (Kaspi мобильді қосымшасын пайдалану деңгейі өте жоғары). Алайда, жұртшылық жеке мәліметтерінің сақталуына байланысты банктерден барынша жауапкершілік талап етеді. Клиенттер деректерінің сыртқа шығып кетпеуі, бөгде мақсатта пайдаланылмауы – қаржы ұйымдары үшін бедел мәселесі. Әсіресе Kaspi-дің соңғы жылдардағы танымалдылығы оны қоғам назарында ұстап отыр, сондықтан банк деректер қауіпсіздігін қамтамасыз ету бағытындағы бастамаларын бұқараға ашық жеткізіп, сенімді қолдай түсуі қажет.

Қорытынды: Қазақстандық және халықаралық тәжірибені салыстыру

Жоғарыда қарастырылған деректер негізінде бірнеше негізгі салыстыру және қорытынды жасауға болады:

Заңнамалық база және стандарттар: Қазақстан соңғы он жылда жеке деректерді қорғау бойынша заңнамасын түбегейлі жаңартып, халықаралық үрдістерге бейімдеді. 2013 жылғы заң және 2021 жылғы түзетулер GDPR моделімен көп үндеседі – деректерді өңдеуге келісім алу, деректерді жергіліктендіру, ақпараттық қауіпсіздік инциденттерін хабарлау, жауапты тұлға тағайындау сияқты талаптар енгізілді. Дегенмен, қолдану тетіктері мен жазалау шаралары жағынан айырмашылықтар бар: Еуропада деректерді қорғау ережелері бұзылса, миллиардтаған айыппұлдар салынуы мүмкін (4% айналымға дейін), ал Қазақстанда айыппұлдар салыстырмалы түрде шағын (жүздеген АЕК шамасында). Бұл ретте Қазақстанның деректерді өз аумағында сақтау талабы (локализация) Ресей, Қытай сияқты елдердің ұстанымына жақын, ал Еуроодақта мұндай қатаң локализация тікелей жоқ (тек үшінші елдерге трансфер шектеулері бар). Яғни, Қазақстан деректер қауіпсіздігін белгілі дәрежеде мемлекеттік қауіпсіздік мүдделерімен ұштастыра жүзеге асырады (деректерді елде сақтау арқылы шетелдік ықтимал тәуекелдерді азайту көзделеді).

Бизнес-тәжірибе және технологиялар: Халықаралық ірі банктер деректерді қорғау үшін IT-инфрақұрылымына орасан қаражат бөледі, үздік тәжірибелерді енгізеді (шифрлау, мониторинг, DLP, т.б.). Kaspi Bank пен қазақстандық банктер де бұл тұрғыда көп кейін қалған жоқ – мысалы, Kaspi PCI DSS, ISO 27001 сияқты сертификаттармен жұмыс істейді, бұл әлемдік деңгейдегі тәжірибеге сай.
Сонымен қатар, Kaspi өнімдерінің кең экожүйесі оған өзге банктерде жоқ көлемде деректер береді, сондықтан үлкен деректерді (Big Data) талдау, машиналық оқыту арқылы клиентті тану, оларға дербестендірілген қызмет көрсету Kaspi-дің бәсекелестік артықшылығы саналады. Осы орайда, халықаралық банктер де соңғы жылдары Customer Data Analytics-ке басымдық беруде – бірақ олар мұны GDPR аясында, яғни клиенттің құпиясын бұзбай іске асыру жолдарын іздейді. Қазақстанда бұл баланс жаңа қалыптасып келеді: Kaspi деректерді бизнес мақсатына мейлінше пайдалануға тырысса, реттеуші органдар мен қоғам оның шегін сызып беруде (мысалы, Kaspi Pay оқиғасында дербес деректерді қажетсіз ашуды тоқтатуға мәжбүр болды).
Қоғамның сұранысы: Еуропа мен АҚШ-та деректер құпиясы бойынша қоғам талабы өте жоғары, тұтынушылар өз құқықтарын біледі және белсенді талап етеді (көпшілігі қажет болса, компаниядан өз дерегін жоюды сұрап жатады). Қазақстанда да бұл мәселе маңызды болғанымен, көп адам өз құқығын толық іске асыруға дайын емес, яғни енжарлық байқалады (66% «таңдауымыз жоқ» деген пікірде). Бірақ ел ішінде цифрлық сауат артқан сайын және резонансты дерек жанжалдары (data breaches) туындаған сайын, қоғамның талабын елемеу мүмкін болмайды. Kaspi Bank жағдайында, қазірдің өзінде, клиенттердің дербес дерегін қорғау – олардың сенімінің негізі. Егер Kaspi-де ірі дерекбұзу оқиғасы орын алса немесе деректерді сыртқа сату фактісі расталса, бұл банкке деген сенімге ауыр соққы болары сөзсіз. Сондықтан Kaspi мен өзге де банктер проактивті түрде қауіпті алдын алып, ашық коммуникация арқылы клиенттердің сенімін сақтауы қажет. Мысалы, кейбір халықаралық банктер сияқты, Kaspi де жыл сайын деректер қауіпсіздігі жөнінде қоғамдық есеп беріп, онда қанша инциденттің алдын алғаны, қандай жаңашыл қауіпсіздік технологияларын енгізгені туралы ақпаратпен бөлісуі мүмкін – бұл қадам ашықтықты арттырып, пайдаланушыларды алаңсыз етуі ықтимал.
Реттеуші роль: Қазақстанда реттеуші орган (Ақпараттық қауіпсіздік комитеті) әлі де қалыптасу кезеңінде деуге болады – ресурстары, техникалық біліктілігі шектеулі болуы мүмкін. Ал Еуропа елдерінде деректерді қорғау жөніндегі уәкілетті органдар (мысалы, Франциядағы CNIL, Британиядағы ICO) өте белсенді және айыппұл салудан бастап, сотқа тартуға дейін пәрмені бар. Қазақстандық реттеуші соңғы жылдары белсенді әрекеттер бастап келеді: ірі компанияларға аудит жүргізу, прокурорлық тексерістер арқылы ұйғарым беру (Kaspi мысалындағыдай) – бірақ жүйелі профилактика әлі жеткіліксіз. Жақында Қазақстан жеке деректер жөніндегі уәкілетті органды дербес құрылым етіп құрып, оның тәуелсіздігін қамтамасыз ету мәселесін қарастыруда (бұл GDPR талабының бірі – реттеушінің тәуелсіздігі). Мұндай реформалар іске асса, болашақта Kaspi Bank секілді ұйымдар деректерді қорғау талаптарын сақтауға одан әрі ынталанатын болады, себебі қадағалаушының күші артпақ.

Қорытынды ой: Kaspi Bank мысалы Қазақстандағы деректерді қорғау саласының жалпы ахуалын көрсетеді. Бір жағынан, заманауи технологияларды енгізген, халықаралық стандарттарды ұстануға ұмтылатын жекеменшік компания бар; екінші жағынан, сол технологияларды бақылауда ұстайтын реттеуші мемлекет пен саналы қоғам бар. Деректерді қорғау – тек техникалық міндет емес, ол құқықтық, этикалық, ұйымдастырушылық мәдениетті талап етеді. Қазақстанда құқықтық негіз қаланды, енді оның тиімді іске асуы үшін бизнес, мемлекет, қоғам үштігінің үйлесімді әрекеті керек. Халықаралық тәжірибе көрсеткендей, деректердің жоғалуы немесе құпияның бұзылуы тек айыппұлмен өлшенбейді – ол қоғам сенімінің жоғалуына алып келеді. Сондықтан Kaspi Bank және басқа да қаржы институттары деректерді қорғауды корпоративтік мәдениетінің өзегіне айналдырғаны жөн.

Kaspi Bank бүгінгі күні клиент деректерінің қауіпсіздігін қамтамасыз ету бойынша кешенді шараларды қолға алған: заңнамалық талаптарға сай ішкі саясаттар, озық технологиялық қорғаныс, қызметкерлерді оқыту және клиенттерді ақпараттандыру. Алайда, киберқауіптер күн сайын күрделеніп жатқандықтан, бұл жеткіліксіз болуы мүмкін. Тәуекелдер үнемі бағаланып, жаңа шабуыл тәсілдеріне қарсы тұрақты жаңарып отыру – деректерді қорғаудың міндеті. Халық пен мемлекеттік органдардың талаптары да уақыт өте күшейе беретіні анық.

Қорытындылай келе, Kaspi Bank деректерді қорғау бағытында айтарлықтай прогресс жасаған және Қазақстанның осы саладағы флагманы болып тұр. Қазақстандық заңнама да біртіндеп халықаралық нормаларға жақындасуда. Дегенмен, құқық қолдану практикасы, қоғамдық сананы арттыру және бизнес жауапкершілігі тұрғысынан әлі атқарылатын шаруа көп. Халықаралық тәжірибе үйреткен сабақ – деректер қауіпсіздігіне салынған инвестиция және құпиялылықты құрметтеу – ұзақ мерзімде өзін ақтайтын, клиенттердің адалдығын сақтайтын ең дұрыс стратегия. Kaspi Bank және еліміздің басқа да қаржы ұйымдары осыны басты назарда ұстай отырып, Қазақстанда да қауіпсіз және сенімді цифрлық қаржы экожүйесін қалыптастыра алады.

Todayinfo.kz

What's Hot

Нұрғожайдың жеңілісі: UFC турнирінде төбелескен қазақ жеңіліп қана қоймай, айыппұл алып қалды

Терезе жуып жатқан: Алматы облысында әйел 10-қабаттан құлап мерт болды

Маңғыстауда мектеп оқушысы сыныптасының иығын сындырды

Kaspi және деректерді қорғау: Қазақстандықтар туралы бәрін білетін банк

Терезе жуып жатқан: Алматы облысында әйел 10-қабаттан құлап мерт болды

Тоқаев Арқалыққа жаңа аэровокзал салуды тапсырды

Тоқаев ЛГБТ қозғалысының артында не тұрғанын айтты

Бетті тұмшалайтын қара киімнен гөрі ұлттық киім жақсы – Тоқаев

Сырымбек Тау салық төлемегендерге несие бермеуді ұсынды

Тоқаев қазақстандықтарды Амал күнімен құттықтады

Нұрғожайдың жеңілісі: UFC турнирінде төбелескен қазақ жеңіліп қана қоймай, айыппұл алып қалды

Терезе жуып жатқан: Алматы облысында әйел 10-қабаттан құлап мерт болды

Маңғыстауда мектеп оқушысы сыныптасының иығын сындырды

78 жаста қайдағы «болашақ»?: Президент зейнеткердің мемлекеттің ақшасына шетелге оқуға кеткенін сынға алды

«Күйеуі есірткі қолданып, тұншықтырған»: Алматы облысында балконнан құлап көз жұмған келіншекке қатысты тың дерек шықты (ВИДЕО)

«Өскелең ұрпаққа лайықты үлгі» : Бейбіт Исабаев ел чемпионы «Жетісу» әйелдер волейбол командасын қабылдады

«Экономикалық жағдайлардың соңы қымбатшылыққа әкеледі»: Қоғам белсендісі Мұхтар Жәкішев елдегі жағдайды талқылады

Ақтөбеде 100 әже мен 100 келін ұлттық құндылықтарды дәріптеді

Кейбір қайырымдылық қорларының қандай мақсатта жұмыс істейтінін білмейміз – Айгүл Орынбек

«Бірінші өзіңе деген құрмет»: Сабина Алтынбекова ажырасуға не себеп болғанын айтты

What's Hot

Kaspi және деректерді қорғау: Қазақстандықтар туралы бәрін білетін банк

Қазақстандағы жеке деректерді қорғау заңнамасының талаптары

Kaspi Bank-тің деректерді қорғау шаралары

Басқа елдердегі қаржы институттарының деректерді қорғау тәжірибесі

Жеке деректердің сақталуы бойынша қоғам пікірі мен статистикасы

Қорытынды: Қазақстандық және халықаралық тәжірибені салыстыру

Оқылып жатыр