dpo что это такое
Что такое DPO?
Исключение посредников из публичного размещения значительно снижает стоимость капитала DPO. Поэтому DPO привлекательны для небольших компаний и компаний с постоянной и лояльной клиентской базой. DPO также называют прямым размещением или прямым публичным листингом (DPL – Direct Public Listing).
При прямом публичном размещении (DPO), компания привлекает капитал, размещая свои ценные бумаги непосредственно на бирже.
Самостоятельное привлечение денежных средств позволяет фирме избежать ограничений на банковское и венчурное финансирование; условия размещения устанавливаются исключительно компанией-эмитентом.
До проведения IPO компания должна представить документы о соответствии требованиям регулирующим органам каждого государства, в котором она планирует разместить ценные бумаги; но, в отличие от IPO, компании, как правило, не нужно регистрироваться в SEC (Комиссии по ценным бумагам-КЦББ).
Как работает прямое публичное предложение?
Когда фирма выпускает ценные бумаги посредством прямого публичного размещения (DPO), она привлекает деньги самостоятельно без ограничений, связанных с банковским и венчурным финансированием. Условия размещения определяются исключительно эмитентом, который направляет и адаптирует процесс в соответствии с наилучшими интересами компании. Эмитент устанавливает цену размещения, минимальный размер инвестиций на одного инвестора, лимит на количество ценных бумаг, которое может купить один инвестор, дату расчетов, а также срок размещения, в течение которого инвесторы могут приобрести ценные бумаги и после которого предложение будет закрыто.
22 декабря 2020 года Комиссия по ценным бумагам и биржам США объявила, что она позволит компаниям привлекать капитал посредством прямых листингов, прокладывая путь для обхода традиционного процесса первичного публичного размещения (IPO). При прямом листинге компания размещает свои акции на бирже, не нанимая инвестиционные банки для андеррайтинга сделки в качестве первичного публичного размещения. Помимо экономии на комиссионных, компании, которые следуют процессу прямого листинга, могут избежать обычных ограничений в отношении IPO, включая периоды блокировки (Lock Up period), которые не позволяют инсайдерам продавать свои акции в течение определенного периода времени.
Как формально объявляется DPO
После получения одобрения регулирующих органов компания-эмитент, управляющая DPO, использует объявление о размещении своего нового предложения для официального объявления общественности. Эмитент открывает ценные бумаги для продажи аккредитованным и неаккредитованным инвесторам или инвесторам, которых эмитент уже знает, с учетом каких-либо ограничений со стороны регулирующих органов. К таким инвесторам могут относиться знакомые, клиенты, поставщики, дистрибьюторы и сотрудники фирмы. Предложение закрывается после того, как все предложенные ценные бумаги были проданы, или после того, как была назначена дата закрытия периода предложения.
DPO, имеющее предполагаемое минимальное и максимальное количество ценных бумаг, подлежащих продаже, аннулируется, если проценты или количество полученных по ценным бумагам заказов не достигают минимально необходимого уровня. В этом случае все полученные средства будут возвращены инвесторам. Если количество заказов превысит максимальное количество предлагаемых акций, то инвесторы будут обслуживаться в порядке очередности или их акции будут пропорционально распределены между всеми инвесторами.
Как торговать акциями после DPO?
Теперь же цена открытия торгов будет определяться по заявкам на продажу и покупку акций в первый день торгов. По собранным заявкам брокеры NYSE будут сопоставлять цены заявок, формируя единую цену акций.
Продать акции можно будет также на бирже NYSE, таким же способом, как и обычные акции на вторичном рынке.
Популярный музыкальный стриминговый сервис Spotify (SPOT) запустил прямое публичное размещение 3 апреля 2018 года. Spotify решила андеррайтинговать свои собственные акции посредством прямого листинга. В то же время, DPO компании Spotify было уникальным среди предложений такого рода: SPOT также котируется на Нью-Йоркской фондовой бирже. Будучи компанией, которая уже пользовалась большой популярностью и положительными денежными потоками до публичного размещения акций, Spotify смогла обойти типичные усилия по публичному размещению акций и привлечению средств, связанные с IPO.
20 июня 2019 года компания по разработке программного обеспечения для предприятий Slack (NYSE: WORK) дебютировала на Нью-Йоркской фондовой бирже посредством прямого листинга; акции были открыты по цене акции 38,50 долларов, что более чем на 48% выше референтной цены в 26 долларов за акцию, установленной на Нью-Йоркской фондовой бирже.
Если это так выгодно для компании, выйти на биржу путем DPO, то может возникнуть резонный вопрос: “почему же большинство компаний выбирает путь IPO, а не DPO?”
Так что только компании, которые уверенны в высоком спросе на свои акции, могут выходить на биржу путем прямого листинга. Так как если минимально установленный процент акций не буте продан, то DPO аннулируется.
Data Protection Officer — GDPR обновляет профессию
25 мая 2018 года вступил в силу новый европейский регламент по защите персональных данных (далее GDPR – General Data Protection Regulation). Этот регламент известен своим экстерриториальным действием: он обязателен к применению во всех странах ЕС, а при некоторых условиях распространяет своё действие и на неевропейские компании или вынуждает их приводить свою деятельность в соответствие требованиям GDPR, чтобы не потерять европейского партнера. Следовательно, российский бизнес тоже может быть затронут новым законом, общий анализ которого доступен здесь. GDPR усиливает ранее установленный режим защиты персональных данных, а также вводит новые обязательства для организаций, обрабатывающих такие данные.
В частности, регламент провёл модернизацию уже существовавшей профессии ответственного по защите данных (далее DPO — Data Protection Officer). Эта должность была предусмотрена ещё рамочной директивой 1995 года, которая и была заменена новым текстом. Предыдущее законодательство регламентировало деятельность такого специалиста, но не настаивало на его назначении в обязательном порядке.
В каких случаях нужно назначать DPO?
Сегодня, в эру GDPR, назначение DPO стало обязательным в следующих случаях (статья 37 GDPR):
Такое нововведение европейского законодателя легко объясняется философией самого регламента: усиленный режим защиты данных; повышенная ответственность лиц, обрабатывающих данные; огромные санкции в случае нарушения диспозиций GDPR. Чтобы привести свою деятельность в соответствие с новыми требованиями, предприятия нуждаются в поддержке узконаправленных специалистов.
Дефицит на рынке услуг DPO
Правда парламентарии не учли или просто проигнорировали тот факт, что нынешний рынок услуг в сфере защиты персональных данных не готов выдержать такой наплыв новых клиентов, вынужденных рекрутировать DPO. Несмотря на то, что эта профессия существует уже не один день, количество специалистов оставляет желать лучшего даже на европейском рынке. Так, согласно исследованиям IAPP (International Association of Privacy Professionals), 28 тыс. специалистов должно быть нанято в 2018 году только в ЕС и США. А по всему миру эта цифра вырастает вплоть до 75 тыс.
Очевидно, что такой спрос не может быть удовлетворён исключительно ин-хаус профессионалами (внутренние работники компаний). В связи с этим, многие компании обращаются к внешним консалтинговым организациям, оказывающим услуги DPO. Например, для представителей среднего и малого бизнеса это может оказаться намного проще, чем наём нового сотрудника. В любом случае, внешний или внутренний статус почти никак не влияет на деятельность самого DPO.
DPO — юрист или специалист IT?
В первую очередь необходимо понимать, что DPO должен обладать юридическими знаниями. Такой вывод прямо следует из статьи 39 европейского регламента, которая перечисляет задачи и миссии DPO. В большей степени, это, конечно же, юрист. К тому же, это должен быть юрист, который обладает крепкими управленческими навыками и должной технической экспертизой, то есть менеджер.
Реже в роли DPO выступают и специалисты в сфере информационных технологий, которые имеют лишь базовые представления о праве. Правда такая ситуация характерна для западных стран. На отечественном рынке защиты персональных данных доминируют именно IT-специалисты, а вовсе не юристы. Уже вступивший в силу GDPR должен склонить чашу весов на сторону правоведов и в России, точнее сказать специализированных правоведов.
Так или иначе, крупные корпорации, разумеется, предпочитают нанимать одних специалистов для обеспечения IT безопасности и других — для персональных данных. Малый и средний бизнес стараются делать выбор в пользу одного сотрудника, компетентного в обеих сферах.
Почему же так происходит? Ответ лежит на поверхности: GDPR возлагает на компании слишком широкий спектр обязанностей.
С одной стороны, нужно обеспечивать безопасность персональных данных, правильно реагировать в случае их утечки. Этим обычно занимаются «айтишники». С другой стороны, нужно заключать договоры, юридически соответствующие требованиям регламента, вести специально предусмотренные реестры, контактировать с надзорными органами и выполнять другие «бумажные» обязанности. А этим обычно занимаются именно юристы, иногда еще менеджеры.
В результате, хороший специалист в сфере персональных данных представляет собой своеобразный микс всех этих профессий.
Чем занимается DPO?
Что касается периметра деятельности DPO, то такой сотрудник займётся всем необходимым, чтобы компания полностью соответствовала европейскому регламенту и другим актам в сфере защиты персональных данных и, таким образом, избежала крупных санкций, а также договорных рисков с партнерами.
DPO проведёт общий аудит деятельности, выявит все категории персональных данных, обрабатываемых компанией, предложит меры по обеспечению их безопасности, а также общую стратегию развития в направлении законного использования данных. Он же будет вести переговоры с надзорным органом в случае необходимости. Он же поможет правильно реагировать на запросы лиц, чьи данные обрабатываются компанией. В общем и целом, практически все, что касается персональных данных попадёт под периметр деятельности DPO.
Стоит ли пренебрегать таким сотрудником в эпоху GDPR, а также в разгар крупных скандалов с утечкой персональных данных, решать уже самим компаниям. Но еще раз, решать это необходимо только тем, кто не имеют прямой обязанности назначать DPO.
Особенности предоставления услуг DPO
Когда организация задумывается над рекрутированием DPO, важно при этом понимать, что существует два основных вида оказания услуг в этой области: вышеупомянутые ин-хаус и консалтинг. В первом случае наём сотрудника происходит по трудовому договору, во втором — внешняя консалтинговая компания оказывает услуги DPO по гражданско-правовому договору. Независимо от выбранного варианта, юридически ответственным лицом по-прежнему останется сама компания. DPO ни в каком случае не несёт ответственность за несоблюдение компанией диспозиций GDPR.
К тому же, европейский регламент строго предусматривает полную независимость специалиста по защите персональных данных. В случае ин-хауса, DPO может быть подотчетен только лицу, занимающему наивысший пост в иерархии. В случае внешнего консалтинга, DPO не должен оказаться в ситуации конфликта интересов, что часто бывает если это, например, адвокат.
В любом случае, конфликт интересов и независимость DPO всегда проверяются надзорным органом в сфере защиты персональных данных. Это обязательный процесс и любое назначение DPO должно декларироваться регулятору. Иначе говоря, каждый раз, когда назначается DPO, надзорный орган должен быть об этом извещен.
Более подробно о всевозможных тонкостях связанных с назначением DPO как в обязательном порядке, так и не в обязательном, а также о его функциях и миссиях можно узнать из Гайдлайна рабочей группы WP29. Эта организация существовала в эпоху рамочной директивы 1995 года, и её главной задачей было толкование законодательства в сфере защиты персональных данных. Со вступлением в силу GDPR, на смену рабочей группе пришёл Европейский совет по защите данных (European Data Protection Board), но работы WP29 не потеряли своего значения.
Немного инсайдов о профессии DPO
На сегодняшний день, совершенно непонятно, каким бэкграундом должен обладать соискатель должности DPO в России. Образовательные учреждения почти не предоставляют специальных программ в сфере цифрового права или защиты персональных данных. Конечно, и спрос на отечественном рынке в разы меньше, чем на европейском, но не настолько, чтобы оправдать такой пробел. Крупные юрфаки только начинают вводить спецкурсы по направлению IT.
Многие международные организации давно предоставляют различные способы сертификации. Например, уже упомянутая IAPP предлагает подготовительный курс по GDPR и сертифицирует успешно сдавших экзамен. Такой курс доступен всем желающим и аккредитация IAPP высоко ценится по всему миру.
Что касается доходности профессии, то если верить, например, французской ассоциации ответственных по защите персональных данных, заработок среднестатистического DPO в Европе составляет от 2,5 тыс. до 4 тыс. евро. Эта вилка примерно соответствует среднему доходу европейского программиста. Как вывод, стоит ожидать приблизительное равенство между доходами этих двух профессий и на отечественном рынке.
Подводя итоги, необходимо подчеркнуть, что Data Protection Officer – это молодая профессия, которая получила существенный толчок к развитию благодаря вступлению в силу нового европейского регламента GDPR. На сегодняшний день, защита персональных данных по GDPR — это научный тренд, на который нужно обратить внимание компаниям по всему миру, а не только в Европе. В скором времени, полноценное сотрудничество с европейскими партнерами станет возможным исключительно при соблюдении GDPR, что трудно себе представить без интеграции профессии DPO как минимум в секторе консалтинговых услуг.
Краткий обзор технологии DPI — Deep Packet Inspection
Основы
Система DPI, как видно из названия, выполняет глубокий анализ всех проходящих через неё пакетов. Термин «глубокий» подразумевает анализ пакета на верхних уровнях модели OSI, а не только по стандартным номерам портов. Помимо изучения пакетов по неким стандартным паттернам, по которым можно однозначно определить принадлежность пакета определённому приложению, скажем, по формату заголовков, номерам портов и т.п., система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных. Яркий пример тому – Bittorrent. Для их идентификации осуществляется анализ последовательности пакетов, обладающими одинаковыми признаками, таким как Source_IP:port – Destination_IP:port, размер пакета, частота открытия новых сессий в единицу времени и т.д., по поведенческим (эвристическим) моделям, соответствующим таким приложениям. Естественно, сколько производителей такого железа – столько и интерпретаций поведенческих моделей соответствующих протоколов, а значит и точность детектирования также разнится. Раз речь зашла о производителях, стоит отметить, что наиболее крупными игроками и их продуктами на рынке standalone DPI являются Allot Communications, Procera Networks, Cisco, Sandvine. Всё более и более популярными становятся интегрированные в маршрутизаторы решения DPI. Так поступают многие — Cisco, Juniper, Ericsson и т.д. по списку. Такие решения, как правило, достаточно компромиссные, и не могут предоставить весь спектр сервисов, доступных standalone решениям. Однако, для большинства задач этого вполне достаточно. Софтварные продукты, крутящиеся на серверах (такие как OpenDPI) я умышленно не указываю, их рынок весьма узок и, как правило, ограничивается корпоративными/кампусными сетями, а это немного не мой профиль. Важной отличительной особенностью настоящего DPI является возможность аналитики трафика за счёт сбора различного рода статистики с разбивкой по приложениям, по тарифным планам, по регионам, по типам абонентских устройств и т.д. По этой причине замечательный NBAR имени Cisco хоть и позволяет детектировать и осуществлять контроль трафика по приложениям, полноценным решением DPI не является, т.к. в нём отсутствует ряд важных компонентов.
Система DPI, как правило, устанавливается на границе сети оператора в разрыв существующих аплинков, уходящих от пограничных маршрутизаторов. Тем самым, весь трафик, который покидает или входит в сеть оператора, проходит через DPI, что даёт возможность его мониторинга и контроля. Для решения специфических задач можно устанавливать эту систему не на границе сети, а спускать её ниже, ближе к конечным пользователям, на уровень BRAS/CMTS/GGSN/… Это может быть полезно тем операторам, которые по ряду причин помимо утилизации внешних каналов также хотят решать задачу контроля внутренних. Естественно, здесь речь идёт о достаточно крупных сервис-провайдерах с большой распределённой сетью масштабов страны и с достаточно дорогими канальными ёмкостями.
На рынке DPI есть модели на самый разный кошелёк. Производительность представленных на рынке устройств плавает в пределах от сотен Мбит/с до 160 Гбит/с FDX в рамках одной отдельно взятой коробки, которые, как правило, можно объединять в кластеры. Соответственно, и стоимость плавает весьма серьёзно — от нескольких тысяч до миллионов долларов США. В случае с корпоративным сегментам решения предполагают низкоскоростные подключения по медным интерфейсам типов 10/100/1000. Операторские решения рассчитаны на подключение множества линков 1GE и 10GE. Что касается совсем взрослых решений, то пока что рынок 100GE интерфейсов на сетевом оборудовании достаточно скуден и дорог, но как только появится первый реальный бизнес-кейс, вендоры DPI предложат соответствующие решения, ибо у некоторых из них заготовки уже имеются.
Что дальше?
Теперь возникает логичный вопрос – ну и что теперь со всем этим делать? У оператора появляется достаточно мощный инструмент, при умелом использовании которого можно решать различные задачи по эксплуатации сети и её развитию.
Реализация QoS
С точки зрения эксплуатации, оператор может контролировать утилизацию подключенных через DPI каналов на уровне приложений. Раньше он решать задачи реализации QoS (Quality of Service) исключительно средствами построения очередей на основании маркировки трафика служебными битами в заголовках IP, 802.1q и MPLS, выделяя наиболее приоритетный трафик (разного рода VPN’ы, IPTV, SIP и т.д.), и гарантируя ему определённую пропускную способность в любой момент времени. Трафик типа Best Effort, к которому относится весь интернет трафик домашних абонентов (HSI — High Speed Internet), оставался фактически без контроля, что давало возможность тому же Bittorrent забрать себе всю свободную полосу, что, в свою очередь, вело к деградации любых других веб-приложений. С использованием DPI у оператора появляется возможность распределить канал между различными приложениями. К примеру, в ночные часы разрешить трафику Bittorrent забирать себе больше полосы, чем днём, в часы-пик, когда в сети ходит большое количество другого веб-трафика. Другая популярная мера у многих мобильных операторов – блокировка Skype-трафика, а также любых видов SIP-телефонии. Вместо полной блокировки оператор может разрешать работу данных протоколов, но на очень низкой скорости с соответствующей деградацией качества предоставления сервиса у конкретного приложения, чтобы вынудить пользователя платить за услуги традиционной телефонии, либо за специальный пакет услуг, разрешающий доступ к VoIP-сервисам.
Subscriber Management
Важным моментом является то, что правила, на основании которых выполняется шейпинг/блокировка, могут быть заданы посредством двух основных базисов – per-service или per-subscriber. В первом случае простейшим образом оговаривается, что конкретному приложению позволяется утилизировать определённую полосу. Во втором привязка приложения к полосе осуществляется для каждого подписчика или группы подписчиков независимо от других, что производится через интеграцию DPI с существующими OSS/BSS системами оператора. Т.е. можно настроить систему таким образом, что подписчик Вася, который за неделю накачал торрентов на 100 гигабайт, до конца месяца будет ограничен по скорости скачивания этих же торрентов на уровне 70% от купленного им тарифа. А у подписчика Пети, который купил дополнительную услугу под названием «Skype без проблем», трафик приложения Skype не будет блокироваться ни при каких условиях, но любой другой – легко. Можно сделать привязку к User-Agent и разрешить браузинг только при помощи рекомендуемых браузеров, можно делать хитрые редиректы в зависимости от типа браузера или ОС. Иными словами, гибкость тарифных планов и опций ограничена лишь здравым смыслом. Если же речь идёт о трафике мобильных операторов, то DPI позволяет контролировать загрузку каждой базовой станции в отдельности, справедливо распределяя ресурсы БС таким образом, чтобы все пользователи остались довольны качеством сервиса. Разумеется, данную задачу можно решать силами мобильного ядра, но это не всегда бюджетно. Раз уж я упомянул мобильных операторов, то хотелось бы отметить, что каждый уважающий себя производитель пакетного ядра EPC (Evolved Packet Core) для LTE интегрирует в свой PDN-GW функционал DPI, заточенный под решение задач мобильных операторов.
Зачем это всё надо?
Новая модель услуг
Мы плавно перешли к задаче развития сети и её услуг. Глядя на то, как подписчики пользуются купленной ими полосой, какие приложения используют, оператор может изучать потребности каждой категории подписчиков и предлагать им более гибкие и совершенные тарифные планы. К примеру, основываясь на том, что подписчики тарифа Silver активно пользуются услугами сторонней SIP-телефонии, можно предложить им дополнительный пакет, позволяющий использовать аналогичный сервис, предоставляемый оператором, но со скидкой. Остальные подписчики при желании воспользоваться более дешёвой телефонией будут мотивированы переходить на более дорогой тариф, приобретая дополнительные бонусы в виде повышения скорости. Можно придумать много кейсов, это лишь один из них. Своё видение персонализированных сервисов представила компания Allot в своей презентации, выдержки из которой упоминаются в материале, когда-то опубликованном на хабре. Подход очень интересный, и выгодный как для пользователя, так и для оператора. Тенденции развития телекоммуникационного рынка таковы, что для операторов продавать трубу, как они делают сейчас, скоро будет просто невыгодно, есть масса исследований, подтверждающих это. ARPU не увеличивается, конкуренция высока, оборудование необходимо апгрейдить всё чаще и чаще, расходы операторов растут, а желание получать прибыль никуда не девается. Задача DPI в данном разрезе — реализовать новые модели предоставления услуг конечному пользователю. Некоторые мировые операторы маленькими шагами уже двигаются к данной идее. В России, очевидно, процесс этот будет долгим и мучительным, т.к. для достижения задачи необходимо перестраивать мозги абонентов на другую частоту, что очень непросто, т.к. отучить человека не качать торренты, а покупать легальный контент — непросто. Я бы не хотел сейчас запускать дискуссию на тему «А где мне брать легальный контент?», это отдельная песня, и я очень рад, что это сдвинулось с мёртвой точки (на примере ivi, omlet, zabava и т.п. совместно с возрастающими продажами Smart TV). Надеюсь, данные проекты не заглохнут. О Netflix я пока не мечтаю, но было бы здорово.
DPI отлично умеет работать в связке с различными VAS (Value Added Services) системами, такими как антиспам, антивирус, видеооптимизаторы и т.п. Суть функционала заключается в отводе части трафика по заданным администратором критериям, на сторонние устройства, для осуществления более глубокого анализа и обработки.
Довольно легко можно организовать предоставление пользователям услуг по родительскому контролю, которые становятся всё более и более актуальными.
Спецслужбы
В конце хотелось бы сказать пару слов о том, для чего также закупается DPI, кроме как для издевательств над абонентами. Оборудование DPI, в связи со своим умением видеть всё и вся, что происходит на сети, является весьма интересным устройством для товарищей в погонах, без которых сейчас никуда. При помощи DPI спецслужбы могут вести наблюдение за сетевой активностью того или иного пользователя. Можно перекрыть ему VPN, HTTPS и прочие прелести, делающие невозможным анализ контента. Разумеется, можно закрывать доступ пользователей к неугодным властям сайтам, что очень актуально в связи с последними событиями в законотворческой деятельности в России.