חברות פיננסים וייעוץ: קובצי PDF עם מידע בנקאי, נשמרים פרטיים
דפי חשבון, דוחות מס, אישורי יתרה. עבודת פיננסים וייעוץ מתנהלת על קובצי PDF מלאים במידע בנקאי. הנה איך לטפל בהם ולחתום עליהם בלי להעלות.
משרד פיננסים מתנהל על מסמכים שנקראים כמו מפה של חיים שלמים של מישהו. דפי חשבון שמראים כל קפה וכל הפקדת משכורת. דוחות מס. אישורי בעלות על חשבון. הסכמי הלוואה עם מספרי IBAN מודפסים לרוחב הראש. סיכומי השקעות עם יתרות עד האגורה. אם אתם עובדים בייעוץ, ניהול הון או תכנון פיננסי, זה חומר הגלם שלכם, וכמעט כולו מגיע כ-PDF.
ואז מגיע החלק המשעמם. דף החשבון צריך את שלושת החודשים האחרונים מאוחדים לקובץ אחד. ההרשאה החתומה צריכה להיות מכווצת כדי להתאים למגבלת העלאה של פורטל. מכתב ההתקשרות צריך חתימה לפני שהבנק יזיז משהו. שום דבר מזה אינו קשה. השאלה היא איפה זה קורה.
מה באמת מודפס על הדפים האלה
כדאי להיות ספציפי לגבי מה נמצא על הדף כש-PDF פיננסי עוזב את ידיכם.
דף חשבון בודד בדרך כלל נושא את מספר החשבון המלא או ה-IBAN, את שם בעל החשבון וכתובתו, ורישום עסקה-אחר-עסקה של איך האדם הזה חי. דוח מס מוסיף את מספר הזהות הלאומי, ההכנסה המוצהרת, הניכויים, ולעיתים קרובות גם את פרטי בן הזוג. אישור יתרה קושר אדם אמיתי ליתרה אמיתית. שימו כמה כאלה יחד ויש לכם מספיק כדי להתחזות למישהו בבנק שלו עצמו, או לבנות פרופיל מבהיל בשלמותו של מצבו הפיננסי.
זה המידע שאתם מזיזים בכל פעם שאתם מסדרים PDF לפני שאתם שולחים אותו הלאה.
ההעלאה שאף אחד לא חושב עליה כהעלאה
רוב כלי ה-PDF המקוונים עובדים אותו דבר מתחת למכסה המנוע. הקובץ שלכם עולה לשרת שלהם, האיחוד או הכיווץ רץ שם, והתוצאה חוזרת. הדף שמבטיח “קבצים נמחקים אחרי שעה” אולי מתכוון לזה. עדיין אינכם יכולים לאמת זאת, ורגולטור לא יקבל “האתר אמר כך” כבדיקת הנאותות שלכם.
ברגע שדף החשבון של לקוח יושב על שרת של צד שלישי, אפילו לדקה, השליטה אבדה. לוגים וגיבויים יכולים להחזיק עותקים מעבר לחלון המובטח. השרת יכול להיפרץ. הכלי עשוי לרוץ על תשתית שאינו בעליה, ומעביר את הקובץ דרך תורי אחסון ועיבוד שאף אחד לא סיפר לכם עליהם. דף חשבון שלעולם אינו עוזב את המכונה שלכם אינו יכול לצוף בהפרה במקום אחר.
עבור חברות פיננסים זה אינו דאגה מופשטת. אתם עסק מפוקח שמטפל בדיוק במידע שכנופיות הונאה רוצות הכי הרבה. מספר חשבון ושם שנשלפו מדף חשבון שדלף הם נקודת התחלה להנדסה חברתית נגד הבנק של הלקוח. ההפרה לא חייבת להיות שלכם כדי שההשלכות ינחתו עליכם.
מה הכללים מצפים מכם
כשחברת פיננסים או ייעוץ מטפלת במסמכים של לקוח, GDPR מתייחס למידע הזה כמשהו שאתם מחזיקים בנאמנות, לא משהו שאתם יכולים לנתב דרך כל אתר חינמי שמהיר. אתם מעבדים מידע אישי בשם אחרים, וזה מגיע עם חובות.
מצופה מכם להחיל אמצעים טכניים מתאימים כדי לשמור עליו מאובטח (סעיף 32). מידע פיננסי נושא משקל נוסף, כי הנזק מחשיפה ישיר ומיידי. אתם אמורים להכיר כל גורם בשרשרת, ואתר PDF אקראי שמקבל קובץ מועלה הוא צד שלישי בשרשרת הזו, בדרך כלל בלי חוזה ובלי מושג מי אתם. אם האתר הזה נפרץ, הלקוח שדף החשבון שלו נחשף הוא זה שמשלם, וחברתכם היא זו שצריכה להסביר למה הקובץ היה שם.
העלאת דוח מס של לקוח לכלי לא מוכר כדי לחסוך שלושים שניות קשה להגן עליה מול מי שישאל לאחר מכן. רוב האנשים שעושים זאת פשוט מעולם לא דמיינו את הקובץ עוזב את הבניין. הכלי הרגיש כמו מחשבון.
שמרו את הקובץ על המכשיר
יש סוג שונה של כלי PDF. במקום לשלוח את הקובץ שלכם לשרת, הוא מריץ את כל הפעולה בתוך הדפדפן. הקוד יורד למכשיר שלכם פעם אחת, ה-PDF נפתח ומשתנה בזיכרון של הדפדפן עצמו, והקובץ המוגמר נשמר ישר חזרה לאותה מכונה. המסמך לעולם אינו נוסע.
כך reader.me עובד, וזו הסיבה שהוא מתאים למסמכים פיננסיים. כשאתם מכווצים PDF כדי להכניס הרשאה חתומה מתחת למגבלת הגודל של פורטל, הקובץ מעובד על המחשב שלכם, בדפדפן שלכם. שום דבר אינו מועלה אלינו, כי אין שלב שרת להעלות אליו. סגרו את הלשונית והזיכרון העובד נעלם.
אינכם צריכים לקבל זאת באמון. פתחו את ה-DevTools של הדפדפן, עברו ללשונית Network, הריצו כיווץ, וצפו. אף בקשה אינה נושאת את הקובץ שלכם החוצה. אם דף החשבון אינו בגוף של אף בקשה, הוא לא נשלח לשום מקום. זו בדיקה שאתם יכולים להריץ פעם אחת ולהראות לממונה הציות שלכם.
הגנה וחתימה, עדיין על המכונה שלכם
שתי משימות עולות כל הזמן בעבודת פיננסים, ושתיהן יכולות להישאר מקומיות.
הראשונה היא נעילת קובץ. לפני שאתם שולחים במייל ללקוח את דף החשבון שלו או שולחים סיכום מס לצד שלישי, אתם יכולים להוסיף סיסמה ל-PDF כך שרק האדם המיועד יפתח אותו. ההצפנה מוחלת בדפדפן שלכם, על המכשיר שלכם. המקור הלא מוגן לעולם אינו עוזב את המכונה שלכם, וגם הסיסמה לא.
השנייה היא חתימה. מכתבי התקשרות, הרשאות וייפויי כוח כולם צריכים חתימה, והרפלקס הרגיל הוא להדפיס, לחתום, לסרוק ולהעלות לאיזה אתר חתימה. אתם יכולים לחתום על ה-PDF בדפדפן במקום, להניח את החתימה שלכם על הדף, ולשמור את הקובץ החתום מקומית. בלי מדפסת, בלי העלאה, בלי צד שלישי שמחזיק מסמך שמאשר תנועת כסף.
הפכו את זה להרגל, לא לאירוע חד-פעמי
השינוי קטן. לפני שכל PDF פיננסי של לקוח נכנס לכלי רשת, שאלו אם הוא מעבד בדפדפן או בשרת. אם אינכם יכולים לדעת, הריצו את בדיקת ה-DevTools פעם אחת וסגרו את העניין. בחרו כלי שרץ בצד הלקוח והפכו אותו לברירת המחדל של החברה, ואז כתבו אותו לתוך הנהלים שלכם כך שישרוד את העובד החדש הבא.
זה גם מהיר יותר. בלי הלוך-ושוב של העלאה-והורדה, וזה ממשיך לעבוד כשחיבור המשרד נופל. עבור מסמך שמפרט את ה-IBAN של לקוח ושלושה חודשים של ההוצאות שלו, לעשות את זה נכון אינו עבודה נוספת. זו העבודה.
לתמונה הרחבה יותר על למה העלאת קבצים רגישים היא בעיה מלכתחילה, קראו את המאמר שלנו על GDPR והעלאת קובצי PDF.