वित्त और सलाहकार फ़र्में: बैंक डेटा वाली PDF, निजी रखी हुई
बैंक स्टेटमेंट, टैक्स रिटर्न, खाता प्रमाणपत्र। वित्त और सलाहकार काम बैंक डेटा से भरी PDF पर चलता है। इन्हें बिना अपलोड किए कैसे संभालें और हस्ताक्षर करें, यह रहा।
एक वित्त दफ़्तर ऐसे दस्तावेज़ों पर चलता है जो किसी की पूरी ज़िंदगी के नक़्शे जैसे पढ़े जाते हैं। बैंक स्टेटमेंट जो हर कॉफ़ी और हर सैलरी जमा दिखाते हैं। टैक्स रिटर्न। खाता-स्वामित्व के प्रमाणपत्र। ऋण-अनुबंध जिनके ऊपर IBAN छपे होते हैं। निवेश-सारांश जिनमें शेष राशि पैसे-पैसे तक दर्ज होती है। अगर आप सलाहकार, संपदा या वित्तीय नियोजन में काम करते हैं, तो यही आपका कच्चा माल है, और इसका लगभग सब कुछ PDF के रूप में आता है।
फिर आता है उबाऊ हिस्सा। स्टेटमेंट के पिछले तीन महीनों को एक ही फ़ाइल में जोड़ना है। हस्ताक्षरित मैंडेट को किसी पोर्टल की अपलोड-सीमा में फ़िट करने के लिए संपीड़ित करना है। बैंक के आगे बढ़ने से पहले एंगेजमेंट लेटर पर हस्ताक्षर चाहिए। इनमें से कुछ भी मुश्किल नहीं है। सवाल यह है कि यह सब कहाँ होता है।
इन पन्नों पर असल में क्या छपा होता है
यह साफ़ कर लेना मददगार है कि जब कोई वित्तीय PDF आपके हाथ से निकलती है, तो उस पन्ने पर क्या होता है।
एक अकेला बैंक स्टेटमेंट आम तौर पर पूरा खाता-नंबर या IBAN, खाताधारक का नाम और पता, और यह लेन-देन-दर-लेन-देन का ब्योरा रखता है कि वह व्यक्ति कैसे जीता है। एक टैक्स रिटर्न इसमें राष्ट्रीय पहचान-संख्या, घोषित आय, कटौतियाँ, और अक्सर किसी साथी का ब्योरा भी जोड़ देता है। एक खाता-प्रमाणपत्र किसी असली इंसान को किसी असली शेष राशि से बाँध देता है। इनमें से कुछ को साथ रख दीजिए और आपके पास इतना कुछ हो जाता है कि किसी का उसके अपने बैंक में रूप धरकर ठगी की जा सके, या उसकी वित्तीय हालत का डरावनी हद तक पूरा खाका बनाया जा सके।
यही वह डेटा है जिसे आप हर बार इधर-उधर ले जाते हैं जब किसी PDF को आगे भेजने से पहले उसे संवारते हैं।
वह अपलोड जिसे कोई अपलोड समझता ही नहीं
ज़्यादातर ऑनलाइन PDF टूल भीतर से एक जैसे ही काम करते हैं। आपकी फ़ाइल उनके सर्वर पर चढ़ती है, merge या compress वहीं चलता है, और नतीजा वापस नीचे आता है। जो पन्ना “फ़ाइलें एक घंटे बाद हटा दी जाती हैं” का वादा करता है, हो सकता है उसका मतलब सच हो। फिर भी आप इसे सत्यापित नहीं कर सकते, और कोई नियामक “वेबसाइट ने ऐसा कहा था” को आपकी उचित सावधानी के रूप में स्वीकार नहीं करेगा।
एक बार किसी क्लाइंट का बैंक स्टेटमेंट किसी तीसरे पक्ष के सर्वर पर बैठ जाए, चाहे एक मिनट के लिए ही, तो नियंत्रण ख़त्म हो जाता है। लॉग और बैकअप वादे की गई अवधि के बाद भी कॉपियाँ रख सकते हैं। सर्वर में सेंध लग सकती है। हो सकता है वह टूल ऐसे बुनियादी ढाँचे पर चले जो उसका अपना नहीं है, और फ़ाइल को ऐसे भंडारण और प्रोसेसिंग क़तारों से गुज़ारे जिनके बारे में किसी ने आपको बताया ही नहीं। जो स्टेटमेंट आपकी मशीन से कभी बाहर न जाए, वह कहीं और हुए किसी उल्लंघन में उभर ही नहीं सकता।
वित्तीय फ़र्मों के लिए यह कोई काल्पनिक चिंता नहीं है। आप एक नियमन के दायरे में आने वाला कारोबार हैं जो ठीक वही डेटा संभालता है जिसकी ठगी-गिरोहों को सबसे ज़्यादा चाह होती है। लीक हुए स्टेटमेंट से निकाला गया एक खाता-नंबर और एक नाम क्लाइंट के बैंक के ख़िलाफ़ सोशल इंजीनियरिंग की शुरुआत बन जाता है। उल्लंघन आपका हो, यह ज़रूरी नहीं — नतीजा फिर भी आप पर आ गिरता है।
नियम आपसे क्या उम्मीद करते हैं
जब कोई वित्त या सलाहकार फ़र्म किसी क्लाइंट के दस्तावेज़ संभालती है, तो GDPR उस डेटा को ऐसी चीज़ मानता है जिसे आप अमानत के तौर पर रखते हैं, न कि ऐसी चीज़ जिसे आप किसी भी झटपट मुफ़्त वेबसाइट से गुज़ार दें। आप दूसरों की ओर से व्यक्तिगत डेटा प्रोसेस कर रहे हैं, और इसके साथ कर्तव्य आते हैं।
आपसे अपेक्षित है कि आप इसे सुरक्षित रखने के लिए उपयुक्त तकनीकी उपाय लागू करें (अनुच्छेद 32)। वित्तीय डेटा का वज़न और भी ज़्यादा होता है, क्योंकि उजागर होने से होने वाला नुक़सान सीधा और तत्काल होता है। आपसे अपेक्षित है कि आप शृंखला के हर पक्ष को जानें, और कोई अनजान PDF साइट जो अपलोड की गई फ़ाइल लेती है, उस शृंखला में एक तीसरा पक्ष है — आम तौर पर बिना किसी अनुबंध के और बिना यह जाने कि आप कौन हैं। अगर उस साइट में सेंध लगती है, तो जिस क्लाइंट का स्टेटमेंट उजागर हुआ, क़ीमत वही चुकाता है, और यह समझाना आपकी फ़र्म को पड़ता है कि वह फ़ाइल वहाँ थी ही क्यों।
तीस सेकंड बचाने के लिए किसी क्लाइंट के टैक्स रिटर्न को किसी अनजान टूल पर अपलोड करना, बाद में पूछने वाले किसी के भी सामने बचाव करना मुश्किल है। ऐसा करने वाले ज़्यादातर लोगों ने बस यह कल्पना ही नहीं की कि फ़ाइल इमारत से बाहर जा रही है। टूल किसी कैलकुलेटर जैसा महसूस हुआ।
फ़ाइल को डिवाइस पर ही रखिए
एक अलग तरह का PDF टूल भी है। आपकी फ़ाइल को किसी सर्वर पर भेजने के बजाय, यह पूरा काम ब्राउज़र के भीतर ही चलाता है। कोड एक बार आपके डिवाइस पर उतरता है, PDF ब्राउज़र की अपनी मेमोरी में खुलती और बदलती है, और तैयार फ़ाइल सीधे उसी मशीन पर वापस सहेज ली जाती है। दस्तावेज़ कभी कहीं नहीं जाता।
reader.me इसी तरह काम करता है, और इसीलिए यह वित्तीय दस्तावेज़ों पर फ़बता है। जब आप किसी हस्ताक्षरित मैंडेट को पोर्टल की आकार-सीमा के नीचे लाने के लिए PDF compress करते हैं, तो फ़ाइल आपके कंप्यूटर पर, आपके ब्राउज़र में प्रोसेस होती है। हमें कुछ अपलोड नहीं होता, क्योंकि अपलोड करने को कोई सर्वर-चरण है ही नहीं। टैब बंद कीजिए और काम-चलाऊ मेमोरी ख़त्म।
आपको इसे भरोसे पर लेने की ज़रूरत नहीं। ब्राउज़र का DevTools खोलिए, Network टैब पर जाइए, एक compression चलाइए, और देखिए। कोई रिक्वेस्ट आपकी फ़ाइल बाहर नहीं ले जाती। अगर बैंक स्टेटमेंट किसी भी रिक्वेस्ट-बॉडी में नहीं है, तो वह कहीं भेजा ही नहीं गया। यह एक ऐसी जाँच है जिसे आप एक बार चलाकर अपने अनुपालन प्रमुख को दिखा सकते हैं।
सुरक्षित करना और हस्ताक्षर करना, अब भी आपकी मशीन पर
वित्त के काम में दो काम बार-बार सामने आते हैं, और दोनों स्थानीय रह सकते हैं।
पहला है फ़ाइल को लॉक करना। किसी क्लाइंट को उसका स्टेटमेंट ईमेल करने या किसी तीसरे पक्ष को टैक्स-सारांश भेजने से पहले, आप PDF में पासवर्ड जोड़ सकते हैं ताकि सिर्फ़ इच्छित व्यक्ति ही उसे खोले। एन्क्रिप्शन आपके ब्राउज़र में, आपके डिवाइस पर लागू होता है। असुरक्षित मूल फ़ाइल कभी आपकी मशीन से बाहर नहीं जाती, और न ही पासवर्ड।
दूसरा है हस्ताक्षर करना। एंगेजमेंट लेटर, मैंडेट और प्राधिकरण — सबको हस्ताक्षर चाहिए, और आम आदत है प्रिंट करना, हस्ताक्षर करना, स्कैन करना, और किसी हस्ताक्षर-साइट पर अपलोड करना। इसके बजाय आप PDF पर हस्ताक्षर सीधे ब्राउज़र में कर सकते हैं, अपना हस्ताक्षर पन्ने पर रख सकते हैं, और हस्ताक्षरित फ़ाइल को स्थानीय रूप से सहेज सकते हैं। न कोई प्रिंटर, न कोई अपलोड, न कोई तीसरा पक्ष जो पैसे के हस्तांतरण को अधिकृत करने वाला दस्तावेज़ अपने पास रखे।
इसे आदत बनाइए, एक बार का काम नहीं
बदलाव छोटा है। किसी भी क्लाइंट की वित्तीय PDF को किसी वेब टूल में डालने से पहले पूछिए कि वह ब्राउज़र में प्रोसेस होता है या सर्वर पर। अगर आप बता न सकें, तो DevTools जाँच एक बार चलाइए और मामला तय कर लीजिए। एक क्लाइंट-साइड टूल चुनिए और उसे फ़र्म का डिफ़ॉल्ट बना दीजिए, फिर इसे अपनी प्रक्रियाओं में लिख दीजिए ताकि यह अगली नई भर्ती के बाद भी टिका रहे।
वैसे भी यह तेज़ है। न कोई अपलोड-और-डाउनलोड की आवाजाही, और दफ़्तर का कनेक्शन गिर जाने पर भी यह चलता रहता है। ऐसे दस्तावेज़ के लिए जो किसी क्लाइंट का IBAN और तीन महीने के ख़र्च गिनाता है, इसे ठीक से करना कोई अतिरिक्त काम नहीं है। यही तो काम है।
यह बड़ी तस्वीर देखने के लिए कि संवेदनशील फ़ाइलें अपलोड करना सबसे पहले समस्या क्यों है, GDPR और PDF अपलोड करने पर हमारा लेख पढ़िए।