Бесплатно, но небезопасно. Почему не стоит вести корпоративную коммуникацию в Telegram

Удобство и простота публичных мессенджеров неоспоримы, но они не могут быть основным контуром хранения корпоративной и персональной информации, хотя многие даже крупные компании используют Telegram и WhatsApp в качестве рабочих инструментов: обсуждение задач, отправка разного рода конфиденциальной документации, а также согласование действий — все это происходит в пространстве небезопасных продуктов.

Среди основных требований любого бизнеса (будь то малый или огромные корпорации) не только удобство и простота использования, но и безопасность, которая стоит денег в конечном счете и должна стоять на первом месте. А там, где есть безопасность, есть и контроль: как хранятся данные, кто и в каких ролях имеет к ним доступ, как этот доступ ограничивается, как отслеживаются и фиксируются действия пользователей для того, чтобы в нужный момент можно было восстановить всю цепочку, соблюдение требований законодательства и требований политики обработки данных.

Как это происходит в Telegram?

Telegram не предоставляет вам автоматического соответствия Общему регламенту по защите данных (GDPR) для пользователей, не являющихся гражданами ЕС. Для GDPR важно не только, где физически хранятся данные, но и:

1. на каком основании вы их обрабатываете,
2. какие данные собираете,
3. кому передаете,
4. есть ли договорные гарантии с обработчиком,
5. как обеспечиваются права субъекта данных,
6. можно ли удалить, выгрузить, ограничить обработку,
7. есть ли законный механизм трансграничной передачи.

Если компания использует Telegram для рабочих коммуникаций и через него проходят персональные данные сотрудников, клиентов, кандидатов, то одной фразы «данные в Telegram защищены» недостаточно. Нужны организационные и юридические меры со стороны самой компании.

В рамках закона РФ о персональных данных рисков еще больше. По 152-ФЗ для многих сценариев важны:

1. определение оператора персональных данных,
2. цели и состав обработки,
3. меры защиты,
4. поручение обработки третьим лицам,
5. трансграничная передача,
6. а для сбора данных граждан РФ отдельно встает вопрос локализации.

Главная проблема с Telegram обычно не в «есть шифрование или нет», а в том, что контролировать место хранения, маршрут передачи, состав обработчика и договорные обязательства платформы для корпоративного комплаенса сложно или невозможно на нужном уровне.

Напомним, что Telegram с таким подходом при утечке персональных данных ваших сотрудников обойдется до 500 000 рублей. Это 5.5 лет Бизнес-подписки в ZentrySpace на команду 50 человек!

Именно поэтому у нас во Fusion Tech основной контур обработки данных находится не в публичных мессенджерах, а в корпоративной системе (речь не только о ZentrySpace, до него мы пользовались Slack).

То есть абсолютно все основные рабочие данные, заявки, документы, согласования, кадровую информацию, служебные действия хранит ZentrySpace в контролируемой инфраструктуре компании или в выбранном корпоративном облаке. Это формирует предсказуемую политику обработки данных, разграничивает доступы и ведет журнал событий. Публичные мессенджеры мы можем использовать для сообщений по типу «сегодня идешь на йогу?», когда у ZentrySpace плановое обновление, например.

Почему это критично?

Перенося работу в публичные мессенджеры, вы выстраиваете все бизнес-процессы вокруг него, теряя над ними контроль. Ведь помимо того, что в том же Telegram нет как такового обозримого рабочего пространства (папка с чатами не в счет), вы не можете управлять доступом к информации, централизованно удалять данные, контролировать распространение файлов, корректно обрабатывать персональные данные и обеспечивать при этом прозрачность аудита действий. А вот с ZentrySpace можете.

Наш подход:

1. ключевые данные хранятся внутри корпоративного контура;
2. документы и история согласований доступны в управляемой среде;
3. права доступа к информации и управлению предоставляются согласно ролям и организационной структуре компании;
4. критичные данные не зависят от внешнего мессенджера;
5. внешние каналы используются только в безопасном контексте переписки.

Публичные (иначе — потребительские) мессенджеры прекрасны в своей простоте (начиная с регистрации по номеру телефона), но когда речь не идет о безопасных и зрелых бизнес-процессах, им стоит доверять только корпоративные. Конкретно в нашей модели ZentrySpace встроен и синхронизирован со всеми задачами компании, это не просто чат, это единая система, в которой управление командой происходит неразрывно с коммуникацией. Вести бизнес в простой и привычной или в зрелой и безопасной среде — выбирать вам.