Оговорюсь сразу, анонимно, так как нет уверенности, что можно раскрывать внутреннюю кухню.
Есть подозрение, что многие не до конца осознают, насколько много информации о них хранится в банках и насколько много людей имеют к этой информации полный доступ.
Итак, довелось мне поработать в трёх разных банках.
Банк, где с безопасностью всё печально:
Я, как сотрудник IT (и как все остальные сотрудники нашего подразделения) имела полный доступ к базе. То есть ФИО, серия/номер паспорта, ИНН, СНИЛС, Телефон, адрес - по всем клиентам И сотрудникам. По клиентам дополнительно - все счета и карты (номера в открытом виде), все транзакции (и входящие и исходящие), бки, результаты проверки сб, информация о родственниках и их контакты. Из того, что сходу вспомнилось из основного.
И да, информация не удаляется. Более того, информация запрещено удалять технически. Есть отдельная галочка о том, что запись удалена и при удалении она проставляется. Всё.
По биометрии. Просто к сведению. Каждый раз, когда вы авторизуетесь по лицу - вас фотографируют и эта фотография теперь навечно в базе. При каждом следующем заходе ваше лицо сверяют не с первоначальной фотографией, а с той (из всех ваших успешных авторизаций пр лицу) что больше всего похожа. Потом кроме айтишников и безопасников ваши фото увидят 100500 людей, в том числе в виде отчётов и выгрузок в excel, со всеми фотографиями. Физически удалить свою фото отовсюду, в том числе из скачанных разными, имеющими доступ сотрудниками, отчётов/excel файлов - нереально.
Дополнительно - абсолютно обыденным было скачивание рабочих файлов на личный компьютер. Более того, при сбоях в работе удалёнки начальство само предлагало прислать всё необходимое для работы на почту (которая штатно работала на личном компе, никаких ограничений на скачивание файлов с рабочей почты извне банковской сети)
Какие-то шевеления по безопасности были только когда сотрудник из отпуска, находясь на удалёнке, запросил информацию по ВИП-клиентам. Но шевеления были не долго - начальник этого сотрудника сказал безопасникам - "всё ок", и те успокоились.
Так вот, полный доступ ко всей информации имело целиком и полностью всё IT, без разграничения.
А ещё внешний подрядчик. Тоже полный доступ ко всему выше мной описанному.
А ещё стажёры-студенты. Тоже полный доступ ко всему.
Ну и дополнительно - текучка там такая, что некоторые сотрудники уходят раньше окончания испытательного срока. А больше трёх лет не рабоает почти никто, кроме руководства.
В других банках, где довелось поработать:
ФИО, паспорт, СНИЛС, ИНН, телефон, адрем - тут всё так же.
1) Маскирование номера карты. Когда только первые 4 цифры, потом звездочки, потом последние 4 цифры. Понятно, что где-то в системе лежит и полный номер. Но во всех основных витринах - маскирован. И это хорошо.
2) Нет возможности выносить рабочие файлы за пределы сети банка. Удалёнка только с корпоративного ноутбука и при подключении удалёнки все запросы в интернет с этого ноутбука перенаправляются на внутренний dns банка. Если в двух словах - когда включена удалёнка, с корпоративного ноута можно зайти только на сайт для конференций и на сайт самого банка.
В рабочую почту нельзя зайти ниоткуда, кроме рабочего компьютера.
И это всё в совокупности предотвращает вариант выноса рабочих документов вовне внутренней сети организации (как минимум осложняет), что определённо хорошо.
3) Присутствует полноценный дев и тест контуры. Доступ к реальным продовским данным не выдаётся "по умолчанию" всем новым сотрудникам подразделения. Что несколько ограничивает круг лиц, имеющих доступ к реальным данным.
В остальном примерно так же.
В общем, что я хочу сказать. Все ваши данные, в зависимости от банка (где-то больше, где-то меньше), защищены в первую очередь добросовестностью сотрудников, имеющих к этим данным полный доступ. В том смысле, что это тупо невыгодно - проще и рациональнее честно работать и в меру сил беречь перс данные клиентов. Но если что, среди сотрудников, имеющих доступ ко всем перс данным зп начинаются в районе 40к. Да, в it есть такие зарплаты и да говорю по личному опыту.