Проблем, който почти никой не вижда
Адвокат получава чувствителен документ от клиента си. Лекар обсъжда диагноза с колега. Психолог координира лечение с психиатър. Данъчен консултант изпраща данните на декларация. Всички го правят чрез съобщения. И почти никой не е помислил къде отиват тези съобщения.
Отговорът в повечето случаи е: на сървър, който не контролират, в държава, чието законодателство не познават, управляван от компания, чийто бизнес модел е именно натрупването на данни. Съобщението може да е криптирано по време на пренос, но щом стигне до сървъра, то е съхранено копие в инфраструктурата на трета страна.
Какво казва законът
Европейският GDPR е ясен: който обработва лични данни на трети лица, е отговорен да ги защитава с адекватни технически мерки. Не е достатъчна добрата воля. Не е достатъчно приложението да казва, че криптира. Ако данните на клиента ти са на сървър, който не отговаря на европейските норми, ти си отговорен.
И не е само GDPR. Професионалната тайна — регламентирана за адвокати, лекари, психолози, одитори и много други — изисква комуникацията с клиента да бъде конфиденциална. Не конфиденциална "доколкото е възможно". Конфиденциална наистина. Ако каналът, който използваш, не може да го гарантира технически, поемаш риск, който не би трябвало.
Какво е нужно на професионалиста?
Това, което е нужно на професионалист, който работи с чувствителна информация, е изненадващо просто. Нужен е канал, при който съобщенията отиват директно от устройството му до това на получателя, без да минават през междинен сървър. Без копие в облака. Без да е нужен личен телефонен номер. И с инфраструктура, която изцяло спазва европейското законодателство.
Не е нужно сложно приложение. Не е нужно обучение. Не е нужно да променя начина си на работа. Нужно е точно това, което вече използва — мигновени съобщения — но с техническата гаранция, че информацията не напуска устройствата на двамата участници в разговора.
Разликата между криптиране и несъхраняване
Да криптираш съобщение и да го съхраниш на сървър е като да сложиш документ в сейф и да го оставиш в дома на непознат. Сейфът е добър, да. Но документът все още е в чужд дом. А този друг може да получи съдебна заповед, може да бъде хакнат, или може просто да промени условията за ползване.
Алтернативата е документът никога да не напуска кабинета ти. Да отиде директно от бюрото ти до бюрото на клиента, без посредник. Точно това прави директната комуникация между устройства: премахва посредника. Не че посредникът е лош. Просто е ненужен. А ненужното, в сигурността, винаги е риск.
Въпрос на отговорност
В крайна сметка въпросът, който всеки професионалист трябва да си зададе, е: ако утре изтече разговор с клиента ми, мога ли да докажа, че съм използвал технически сигурен канал? Мога ли да докажа, че данните никога не са напускали устройствата ни? Мога ли да докажа, че не съм зависел от добрата воля на компания от друг континент?
Инструментът, който избираш за комуникация с клиентите си, казва много за това как цениш тяхното доверие. А има инструменти, проектирани точно за това: доверието да не зависи от обещания, а от архитектурата.