Требование контроля периметра
Финансовые торговые площадки работают под строгими контролями сетевого периметра. Внешний доступ в интернет ограничен или полностью заблокирован на рабочих станциях трейдеров — не как выбор политики, а как необходимость соблюдения норм и управления рисками. Требования SEC и FINRA по конфиденциальности рыночных данных, обязательства MiFID II для европейских торговых операций и конкурентная чувствительность данных торговых стратегий все поддерживают одно и то же заключение: данные на рабочих станциях трейдеров не могут пересекать внешние сети.
Это создает прямой конфликт со стандартной моделью SaaS для инструментов соблюдения норм. Аналитик по соблюдению норм на торговой площадке, которому необходимо анонимизировать торговые отчеты перед подачей в финансовый регулятор, не может использовать облачный сервис анонимизации: рабочая станция не имеет внешней связи, и даже если бы имела, передача торговых данных — которые могут включать позиции клиентов, параметры стратегии и детали исполнения — во внешний сервис создает регуляторные риски.
То же ограничение касается команд инвестиционных исследований, готовящих анонимизированные материалы для внешнего распространения, команд управления рисками, создающих регуляторные документы, и сотрудников операций, обрабатывающих данные клиентских счетов для сторонних поставщиков услуг. В каждом случае данные не могут покидать периметр без соответствующих контролей, а облачные инструменты находятся за этим контролем периметра.
Проблема документации
Официальное мнение ABA 512 (2023) касается пересечения юридических и финансовых требований: оно требует разумных мер для предотвращения непреднамеренного раскрытия информации в электронном расследовании, включая документацию шагов анонимизации в журналах привилегий (Правило FRCP 26(b)(5)).
Данные судебных разбирательств LexisNexis 2024 показали, что 42% споров о waiver привилегий связаны с недостаточной документацией по редактированию. Проблема документации является операционным следствием использования недостаточных инструментов анонимизации — инструментов, которые не создают журналы аудита, показывающие, что было обнаружено, что было изменено и когда — оставляя организации неспособными продемонстрировать соблюдение норм, когда привилегия оспаривается.
Для финансовых компаний, одновременно управляющих раскрытием информации и регуляторными производствами, требование документации пересекается с требованием контроля периметра: инструмент должен работать локально (контроль периметра) и должен создавать документацию (журнал привилегий/журнал аудита).
Специфические типы сущностей для финансового сектора
Финансовые документы содержат типы сущностей, которые инструменты PII общего назначения не были разработаны для обнаружения.
IBAN: Международные номера банковских счетов следуют специфическим для страны форматам (DE + 2 контрольные цифры + 8-значный код банка + 10-значный номер счета для немецких IBAN; всего 34 специфических формата для стран). Инструменты только с регулярными выражениями могут реализовать алгоритм контрольной суммы IBAN для проверки; сопоставление без контекста без проверки контрольной суммы приводит к ложным срабатываниям.
SWIFT/BIC: Коды Общества всемирной межбанковской финансовой телекоммуникации — 8 или 11 символов алфавитно-цифровых идентификаторов для финансовых учреждений. Финансовые документы, ссылающиеся на корреспондентские банки и клиринговые агенты, могут содержать десятки кодов SWIFT.
Номера счетов: Форматы номеров счетов являются специфическими для учреждения. Номера счетов брокерских компаний следуют внутреннему формату, который стандартные инструменты PII не распознают. Настройка типа сущности позволяет финансовым командам добавлять формат номера счета своего учреждения в качестве цели обнаружения.
Адреса криптовалют: Адреса Bitcoin (Base58Check, 26–35 алфавитно-цифровых символов), адреса Ethereum (0x + 40 шестнадцатеричных символов) и другие форматы адресов криптовалют появляются в финансовых документах, охватывающих операции с цифровыми активами.
Сочетание возможностей оффлайн-обработки и специфических для финансовых типов сущностей создает технический профиль, соответствующий требованиям соблюдения норм торговых площадок.
Источники: