Цифровые финансы в нашей стране уже давно перестали быть какой-то космической новинкой. Мы переводим деньги, оплачиваем счета, пользуемся картами через мобильные приложения — и всё это за секунды. Казалось бы, магия! Но на самом деле за этим удобством скрывается огромная работа по защите персональной информации и денег. Без неё доверие к системе держалось бы ровно столько, сколько карточный домик на скользком столе.
Сегодня банки и финтех не просто играют в «у кого красивее приложение» — они строят настоящую крепость безопасности. Государство задаёт рамки и правила игры, а компании обязаны их соблюдать. Доверие не падает с неба — его создают законы, технологии и ответственность.
Почему мы сегодня не говорим о социальном инжиниринге
Когда речь заходит о мошенничестве, большинство людей сразу представляют вредоносные ссылки, фишинг и другие способы социального инжиниринга. Это логично: именно такие сценарии чаще всего становятся причиной потерь. Социальный инжиниринг — самый лёгкий и дешёвый метод атаки, потому что он направлен не на технологии, а на человека. И самый слабый элемент любой, даже дорогой и сложной защиты — это всегда пользователь. Ни одна антихакерская программа не спасает, если человек сам передаёт скамерам коды, реквизиты или доступ к аккаунту.
Но сегодня мы говорим не об этом. Социальный инжиниринг — объёмная тема, которая заслуживает отдельной статьи. В этом материале мы сосредоточимся на том, как банки и финтех 24/7 предотвращают хакерские атаки, технические угрозы и попытки взлома.
Решайте банковские вопросы онлайн за пару минут ⚡️
Скачайте приложение AVO bank прямо сейчас
Закон и защита данных
В Узбекистане есть 3 закона, которые определяют, как должны обрабатываться и храниться данные граждан:
Закон «О персональных данных» чётко определяет, что считается личной информацией и как её защищать
- Закон «О платежах и платёжных системах» регулирует работу банков и финтеха: лицензии, стандарты, управление рисками — всё должно быть максимально надёжным, как адамантовый сейф.
- С развитием цифровизации был принят и закон «О кибербезопасности», который впервые официально закрепил: финансы — это критически важная часть инфраструктуры страны. Компании обязаны иметь готовый план действий, если что-то пойдёт не так. С 2024 года были установлены штрафы, ограничения, аудит.
Как это работает
Законы — это не просто буквы на бумаге. Сегодня они уже часть повседневной работы финтеха. Данные клиентов хранятся на серверах внутри страны, доступ к ним строго ограничен. Банки внедряют механизмы управления рисками, оберегают транзакции и круглосуточно мониторят инфраструктуру. Регулярные аудиты и стресс-тесты убеждают, что система устойчива к атакам и сбоям. Защита — это не разовая акция, а постоянная работа серверов и сотрудников.
Стандарты и технологии
На международном уровне банки и платёжные системы работают по стандартам, признанным лучшими в мире. Например, ISO/IEC 27001 — золотой стандарт управления информационной безопасностью. Его можно представить как подробную инструкцию: какие процессы настроить, какие риски учитывать и какие правила соблюдать, чтобы данные сотрудников, клиентов и партнёров были в целости и сохранности.
Другой важный стандарт — PCI DSS . Он регулирует, как обрабатываются, передаются и хранятся реквизиты карт. Если банк или дата-центр сертифицирован по PCI DSS, это значит, что внешние аудиторы проверили: инфраструктура, процессы шифрования, обновления ПО, мониторинг уязвимостей — всё соответствует самым высоким требованиям.
Современные финтех-компании иногда идут дальше и внедряют биометрическую аутентификацию: отпечаток пальца, лицо, голос. Для этого есть ISO 19092 , который описывает, как собирать, хранить и передавать биометрические данные.
Кейс: AVO bank и PCI DSS
Пример внедрения международных стандартов в Узбекистане — AVO bank. В марте 2024 года банк успешно получил сертификат соответствия PCI DSS. Сертификация проходила в 3 этапа: оценка политики информационной безопасности, проверка IT-инфраструктуры через моделирование атак и составление отчётов с рекомендациями по усилению защиты. Аудит проводила компания QSA Compliance Control, аккредитованная Советом безопасности платёжной индустрии.
Чтобы пройти аудит, AVO bank внедрил целый арсенал технологий: DLP, SIEM, онлайн и офлайн сканеры уязвимостей, MXDR, Threat Intelligence для мониторинга актуальных угроз. Также проводились тесты на проникновение, ASV-сканирование и итоговый аудит QSA.
Зачем всё это нужно
ISO/IEC 27001, PCI DSS, биометрия — это не набор слов, чтобы звучать серьёзно. Всё нужно для одного: чтобы у скамеров не было возможности получить доступ к данным клиентов. Когда банк или финтех соответствует международным стандартам, клиенты получают уверенность, что их финансовые данные надёжно защищены.
*Информация, представленная в статье, является актуальной на момент публикации: мнения отражают личную точку зрения автора и могут не совпадать с официальной позицией AVO bank. Банк не несёт ответственности за содержание сторонних ресурсов, на которые даны ссылки, а указанные цены носят ориентировочный характер. Перед принятием решений рекомендуется сверяться с актуальными данными.
Скачайте приложение AVO
Все банковские услуги и операции доступны в вашем смартфоне 24/7