Warszawskie biletomaty

Na początku stycznia pewien obywatel Warszawy zainteresował się monitoringiem przy biletomatach. Zauważył, że przecież biletomat przetwarza dane o płatnościach, a skoro ten sam biletomat nagrywa osoby, istnieje teoretyczna możliwość połączenia nagrań z danymi z karty płatniczej.

Zauważcie Państwo, że biletomat nie wyposażony w monitoring jest urządzeniem, które przetwarza moje dane osobowe (dane z karty miejskiej, oraz związane z płatnością, jeśli następuje drogą elektroniczną). Biletomat więc ma dostęp do mojego imienia, nazwiska, potencjalnie innych danych osobowych, oraz informacji z karty płatniczej. Dodatkowo, po tym kiedy [wyposażono] biletomaty w kamery, które skierowane są na ekran i klawiaturę biletomatu (więc de facto, na ręce osoby prowadzającej dane!), to z nagrań wideo najprawdopodobniej bez większego problemu możliwe jest odczytanie kodu PIN karty płatniczej (z ruchów ręki osoby je wprowadzającej – takie eksperymenty były już przeprowadzane, z sukcesem, w przypadku innych urządzeń przez badaczy zajmujących się tą tematyką), oraz jeśli kamery są wystarczająco wysokiej rozdzielczości, to prawdopodobnie, po odpowiedniej obróbce zdjęć, umożliwiają odczyt informacji z karty płatniczej (imię, nazwisko, numer karty, kod CVC karty).
Uwagę na powyższym zdjęciu zwraca kamera, która wydaje się być skierowana na ekran i pinpad. Tylko czy naprawdę dochodzi do nagrywania rąk wpisujących kody PIN? Zwróciliśmy się do ZTM w Warszawie z pytaniami w tej sprawie.

Warszawski ZTM nie udzielił nam odpowiedzi, ale skierował nas do firmy ASEC, która odpowiada za biletomaty wyposażone w monitoring (ZTM ma również urządzenia Mennicy Polskiej, które nie mają monitoringu).

Odpowiedzi udzielił nam przedstawiciel ASEC pan Tomasz Boryczko.

Celem stosowanego przez nas monitoringu wizyjnego jest zapobieganie i wykrywanie aktów wandalizmu, przestępstw na szkodę naszej spółki oraz bezpieczeństwo osób dokonujących zakupu. Wobec powyższego monitoring zapisuje wizerunek osób dokonujących transakcji w automatach biletowych, bez możliwości natychmiastowego zidentyfikowania tych osób. Powyższe dane przechowujemy przez okres do 60 dni, bądź przez czas podyktowany potrzebą zabezpieczenia prawidłowego toku postępowania karnego. Dane z monitoringu są automatycznie niszczone (nadpisywane kolejnymi nagraniami) w rejestratorze znajdującym się w automacie. Czas przechowywania nagrania jest ściśle związany z ilością transakcji dokonywanych w automacie.
Dopiero kiedy stwierdzimy, że doszło do popełnienia przestępstwa lub wykroczenia na szkodę ASEC S.A., bądź klienta lub na wniosek Policji, wizerunki osób podejrzanych przekazywane są do organów ścigania, które dokonują identyfikacji sprawców tych czynów. We własnym zakresie nie mamy możliwości ustalenia tożsamości osoby nagranej.
Dodatkowo wskazujemy również, iż monitoring wizyjny nie obejmuje nagrania samej karty płatniczej, jej numeru czy też PIN.
Ponadto w trakcie transakcji zakupu biletu komunikacji miejskiej zapisywane są wyłącznie numery kart miejskich i ostatnie cyfry kart płatniczych (przy płatności kartą), tj. dane które nie pozwalają nam na zidentyfikowanie osoby dokonującej transakcji. W systemie sprzedaży posługujemy się jedynie numerem Warszawskiej Karty Miejskiej. Dane osobowe właściciela karty są w posiadaniu Zarządu Transportu Miejskiego w Warszawie, który może je połączyć z numerem karty.
Administratorem danych monitoringu wizyjnego jest ASEC S.A. z siedzibą w Krakowie przy ul. Olszańskiej 5, a dostęp do danych osobowych posiadają osoby nadzorujące system obsługi sieci sprzedaży biletów. Nasza firma okresowo co najmniej raz w roku dokonuje audytów bezpieczeństwa systemów informatycznych.
Podajemy również, iż na naszej stronie internetowej pod adresem https://www.asec.pl/kontakt/ znajduje się regulamin monitoringu wizyjnego.

Niektórzy mogą nie wierzyć firmie ASEC, że tak umieszczona kamera nie uchwyci PIN-u. Inni mogą mieć podejrzenia, że taka kamera, podobnie jak skimmery na bankomatach, może nie być elementem biletomatu? Dopytaliśmy o to Pana Tomasza.

W naszej sieci pracuje 36 automatów tego typu z zamontowaną kamerą jak na zdjęciu.
Obraz z kamery nie obejmuje panelu kart płatniczych, gdyż obszar ten został zamaskowany na etapie montażu i konfiguracji systemu monitoringu. W miejscu panelu płatniczego kamera widzi czarny obszar.
Takie rozwiązanie jest powszechnie stosowane w systemach monitoringu celem ograniczenia pola widzenie kamery.

Przejrzeliśmy też regulamin monitoringu i szczególnie spodobał nam się ten zapis.

4. Każda nagrana osoba ma prawo wglądu do zapisanych danych w siedzibie ASEC S.A. (lub BOK) po wcześniejszym ustaleniu czy dane ze wskazanej lokalizacji, daty i czasu zostały zapisane i nadal są przechowywane.

Jeśli więc nie do końca wierzycie i macie trochę wolnego czasu, możecie sprawdzić w jaki sposób monitoring was uwiecznił. Dajcie znać, kiedy otrzymacie swoją fotkę.

Potrzebujemy ustawy o monitoringu!

Karolina Iwańska Panoptykonu w komentarzu powyżej słusznie zauważyła, że w Polsce nie ma ustawy o monitoringu, a powinna ona powstać dawno temu. Obiecano to w 2013 roku (już wtedy była to ustawa do zrobienia “na wczoraj”). Ówczesne MSW opracowało projekt założeń, wydało efektowne komunikaty i nawet “sensacyjne” klipy o “ograniczaniu Wielkiego Brata”. I na tym się skończyło, choć Rzecznik Praw Obywatelskich wcześniej i później przypominał, że “naprawdę potrzebujemy regulacji monitoringu”.

Obecnie w Polsce monitoruje kto chce, jak chce i kiedy chce. Nie ma ujednoliconych przepisów dotyczących administrowania danymi. Nie ma ujednoliconego sposobu informowania o monitoringu. Nie uregulowano kwestii stosowania monitoringu wizyjnego wraz z nagrywaniem dźwięku czy przetwarzającego inne dane (takie jak te o tablicach rejestracyjnych). Tymczasem nagrywani jesteśmy w coraz ciekawszych sytuacjach. Niebawem poruszymy problem monitorowania klientów banków.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *