Финансови и консултантски фирми: PDF с банкови данни, пазени поверително
Банкови извлечения, данъчни декларации, удостоверения за сметки. Финансовата и консултантската работа се крепи на PDF файлове, пълни с банкови данни. Ето как да ги обработвате и подписвате, без да ги качвате.
Един финансов офис се крепи на документи, които се четат като карта на нечий цял живот. Банкови извлечения, показващи всяко кафе и всяко постъпване на заплата. Данъчни декларации. Удостоверения за собственост на сметка. Договори за кредит с изписани отгоре IBAN-и. Инвестиционни обобщения с салда до стотинка. Ако работите в консултиране, управление на богатство или финансово планиране, това е вашата суровина, и почти всичко от нея пристига като PDF.
После идва скучната част. Извлечението трябва да има последните три месеца обединени в един файл. Подписаното пълномощно трябва да бъде компресирано, за да се събере в лимита за качване на портал. Договорът за услуга се нуждае от подпис, преди банката да задвижи нещо. Нищо от това не е трудно. Въпросът е къде се случва.
Какво всъщност е отпечатано на тези страници
Помага да бъдем конкретни какво има на страницата, когато финансов PDF напуска ръцете ви.
Едно банково извлечение обикновено носи пълния номер на сметката или IBAN, името и адреса на титуляря, и запис транзакция по транзакция за това как живее този човек. Данъчната декларация добавя ЕГН, декларирания доход, приспаданията, а често и данните на партньор. Удостоверението за сметка свързва реален човек с реално салдо. Съберете няколко от тези заедно и имате достатъчно, за да се представите за някого пред собствената му банка или да изградите плашещо пълен профил на финансите му.
Това са данните, които премествате всеки път, когато подреждате PDF, преди да го изпратите нататък.
Качването, което никой не мисли за качване
Повечето онлайн PDF инструменти работят по един и същ начин под капака. Файлът ви се качва на техния сървър, обединяването или компресирането се изпълнява там, и резултатът се връща обратно. Страницата, която обещава „файловете се изтриват след един час“, може и да го мисли. Все пак не можете да го проверите, а регулатор няма да приеме „уебсайтът така каза“ като ваша надлежна проверка.
Щом банковото извлечение на клиент седи на сървъра на трета страна, дори за минута, контролът е изгубен. Логове и резервни копия могат да задържат копия отвъд обещания прозорец. Сървърът може да бъде пробит. Инструментът може да работи върху инфраструктура, която не притежава, прекарвайки файла през хранилища и опашки за обработка, за които никой не ви е казал. Извлечение, което никога не напуска машината ви, не може да изплува при пробив някъде другаде.
За финансовите фирми това не е абстрактна тревога. Вие сте регулиран бизнес, боравещ точно с данните, които измамническите групи искат най-много. Номер на сметка и име, извлечени от изтекло извлечение, са отправна точка за социално инженерство срещу банката на клиента. Пробивът не е нужно да е ваш, за да паднат последствията върху вас.
Какво очакват правилата от вас
Когато финансова или консултантска фирма борави с документите на клиент, GDPR третира тези данни като нещо, което държите на доверие, а не нещо, което можете да прекарате през всеки безплатен уебсайт, който е бърз. Вие обработвате лични данни от името на други, а това идва със задължения.
Очаква се да прилагате подходящи технически мерки, за да ги пазите сигурни (Член 32). Финансовите данни носят допълнителна тежест, защото вредата от излагане е пряка и непосредствена. Очаква се да познавате всяка страна във веригата, а случаен PDF сайт, който получава качен файл, е трета страна в тази верига — обикновено без договор и без представа кой сте. Ако този сайт бъде пробит, клиентът, чието извлечение е изложено, е този, който плаща, а вашата фирма е тази, която трябва да обясни защо файлът е бил там.
Качването на данъчна декларация на клиент в непознат инструмент, за да спестите тридесет секунди, е трудно за защита пред когото и да било, който по-късно попита. Повечето хора, които го правят, просто никога не са си представяли файла да напуска сградата. Инструментът е изглеждал като калкулатор.
Дръжте файла на устройството
Има друг вид PDF инструмент. Вместо да изпраща файла ви на сървър, той изпълнява цялата операция вътре в браузъра. Кодът се изтегля на устройството ви веднъж, PDF файлът се отваря и променя в собствената памет на браузъра, и завършеният файл се записва направо обратно на същата машина. Документът никога не пътува.
Така работи reader.me, и затова приляга на финансовите документи. Когато компресирате PDF, за да вкарате подписано пълномощно под лимита за размер на портал, файлът се обработва на вашия компютър, във вашия браузър. Нищо не се качва при нас, защото няма сървърна стъпка, към която да се качи. Затворете раздела и работната памет изчезва.
Не е нужно да го приемате на доверие. Отворете DevTools на браузъра, отидете в раздела Network, изпълнете компресиране и наблюдавайте. Нито една заявка не изнася файла ви. Ако банковото извлечение не е в тялото на нито една заявка, то не е изпратено никъде. Това е проверка, която можете да направите веднъж и да покажете на вашия отговорник по съответствие.
Защита и подписване, все още на вашата машина
Две задачи изникват постоянно във финансовата работа, и двете могат да останат локални.
Първата е заключването на файл. Преди да изпратите по имейл на клиент неговото извлечение или да изпратите данъчно обобщение на трета страна, можете да добавите парола към PDF, така че само предвиденият човек да го отвори. Криптирането се прилага в браузъра ви, на вашето устройство. Незащитеният оригинал никога не напуска машината ви, нито пък паролата.
Втората е подписването. Договори за услуга, пълномощни и упълномощавания — всички се нуждаят от подпис, а обичайният рефлекс е да се отпечата, подпише, сканира и качи на някакъв сайт за подписване. Можете вместо това да подпишете PDF в браузъра, да поставите подписа си върху страницата и да запишете подписания файл локално. Без принтер, без качване, без трета страна, държаща документ, който упълномощава пари да се движат.
Направете го навик, а не еднократно нещо
Промяната е малка. Преди финансов PDF на който и да е клиент да отиде във уеб инструмент, попитайте дали се обработва в браузъра или на сървър. Ако не можете да разберете, направете теста с DevTools веднъж и го разрешете. Изберете инструмент от страна на клиента и го направете стандарт на фирмата, после го запишете в процедурите си, за да оцелее до следващото ново назначение.
И без това е по-бързо. Няма цикъл качване-и-изтегляне, и продължава да работи, когато връзката на офиса падне. За документ, който изброява IBAN на клиент и три месеца от харченето му, да направите това правилно не е допълнителна работа. Това е работата.
За по-широката картина защо качването на чувствителни файлове е проблем на първо място, прочетете нашия материал за GDPR и качването на PDF файлове.
Разгледай по категория