Как соблюдать UK‑правила записи звонков VoIP: PCI DSS, FCA, GDPR
Для соответствия записи звонков VoIP требованиям UK необходимо соблюдать PCI DSS, FCA и GDPR: хранить записи в зашифрованном виде, получать согласие и вести журнал доступа.
С 2023 года британские регуляторы усилили контроль над записью звонков VoIP в игровом секторе, требуя от операторов полной соответствия PCI DSS, FCA и GDPR. Это значит, что каждая запись должна быть зашифрована, доступ к ней ограничен, а пользователь — явно согласен на её хранение. Нарушения могут привести к штрафам до 5 % годового оборота, но правильный подход обеспечивает доверие игроков и безопасность данных.
Каковы основные требования PCI DSS к записи звонков VoIP?
Требования PCI DSS к VoIP‑записям сводятся к шифрованию, контролю доступа и аудиту. Сначала необходимо установить AES‑256 шифрование для всех записей, затем ограничить доступ только авторизованным сотрудникам и вести журнал всех действий.
- Шифрование: использовать TLS 1.3 и AES‑256 при передаче и хранении.
- Контроль доступа: внедрить двухфакторную аутентификацию (2FA) для администраторов.
- Аудит: сохранять логи доступа минимум 12 месяцев.
- Проверка: проводить внутренний сканер уязвимостей каждые 90 дней.
Почему FCA требует согласие игроков на запись звонков?
FCA (Financial Conduct Authority) требует явного согласия, потому что запись может содержать финансовую информацию и персональные данные, подпадающие под GDPR. Без согласия оператор рискует получить штраф в размере до 150 000 ₽ за каждое нарушение.
- Получайте согласие в начале каждого звонка через голосовое меню.
- Записывайте дату, время и идентификатор согласия в базе данных.
- Обеспечьте возможность отзыва согласия в любой момент.
- Отображайте пользователю политику конфиденциальности в виде короткого текста (не более 150 символов).
Что делать, если ваш сервис нарушил GDPR в 2026 году?
Если в 2026 году ваш игровой сервис нарушил GDPR, первым шагом следует уведомить ICO (Information Commissioner's Office) в течение 72 часов и начать внутреннее расследование.
- Сформировать план реагирования: назначить ответственного, собрать доказательства.
- Уведомить пострадавших игроков, предложив компенсацию в размере 5 000 ₽.
- Провести аудит всех записей и удалить нелегально хранимые файлы.
- Внедрить новые процессы контроля доступа и повторно пройти сертификацию PCI DSS.
Как обеспечить безопасное хранение записей в 2026 году?
В 2026 году лучшие практики включают использование облачных хранилищ с сертификатом ISO 27001 и автоматическое вращение ключей каждые 90 дней.
- Выбирайте провайдера с локализацией данных в ЕС или UK.
- Настройте шифрование «на лету» (in‑flight) и «в покое» (at‑rest) с RSA‑4096.
- Включите мониторинг аномалий: любые попытки доступа без 2FA фиксируются и отправляются в SIEM.
- Проводите тесты восстановления данных минимум раз в квартал, проверяя восстановление за 5 минут.
Какие штрафы ждут за нарушения в игровом бизнесе?
Штрафы за нарушения могут достигать 4 % мирового годового оборота компании или 20 млн ₽, в зависимости от того, что выше.
- Нарушение PCI DSS: до 2 % оборота, но не менее 500 000 ₽.
- Нарушение FCA: штрафы от 100 000 ₽ до 5 % оборота.
- Нарушение GDPR: до 4 % оборота, но минимум 30 000 ₽ за каждое нарушение.
- Повторные нарушения в течение 12 месяцев удваивают размер штрафа.
Воспользуйтесь бесплатным инструментом «VoIP Compliance Checker» на toolbox-online.ru — работает онлайн, без регистрации.
Теги