Рубрика «152-фз»

В настоящее время практически все ИТ-продукты работают с персональной информацией пользователя: ФИО, телефон, e-mail, паспортные и другие идентифицирующие данные. Для  обеспечения защиты прав и свобод, человека и гражданина при обработке его персональных данных в Российской Федерации существует Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных”.

Согласно пункту 2 статьи 5 обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а в Читать полностью »

1. Введение и предыстория

Проблематика и история возникновения проблемы

В нашей стране безопасность личной информации только начинает набирать обороты. Люди начинают заботиться об ограничении доступности другим их личного номера телефона, данных банковской карты, адреса проживания и т.п.

В этот же момент появляются и становятся популярными множество сервисов, облегчающих жизнь. Почти каждый сервис желает знать как можно больше информации о своем потребителе, например, телефон, по которому можно связаться с пользователем. 

Читать полностью »

Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ - 1

Доброго времени суток! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

Читать полностью »

Неделю назад мне в очередной раз позвонили и предложили купить какой-то новый автомобиль в салоне, где я точно никогда не бывал. На простой вопрос о том, откуда звонивший взял мой номер телефона и мои имя и отчество, последовал прямой ответ — мы выбрали ваш номер случайным образом из номерной емкости. В это объяснение я не поверил, и решил поинтересоваться тем, как устроен рынок данных и понять, кто может сливать информацию о пользователях и как легко и виртуозно интернет-монополисты обходят стороной закон «О персональных данных» (№152-ФЗ).

Читайте под катом о том, кто монетизирует мои данные и как они попадают в руки компаний, услугами которых я никогда не пользовался — банков, страховых компаний, медицинских центров, застройщиков и прочих организаций с надоедливыми рекламными звонками. И да, это лонгрид, всё как вы любите.
Читать полностью »

Одна из вещей, которые никогда не делают пользователи — это чтение до конца лицензионных соглашений. Тем временем, читать их стоит, даже если, казалось бы, в контексте конкретного сервиса их содержание представляется очевидным.

К таким «очевидным» сервисам относится, например, сервис проверки цифрового пропуска https://i.moscow/covid. Если раньше он позволял проверить только организацию по ИНН, то с недавних пор ДИТ Москвы стал массово аннулировать пропуска горожанам за якобы предоставление неверных сведений о месте работы — и отсылать их для подтверждения места работы на указанный сервис.

При нажатии на «Если у Вас заблокировали цифровой пропуск, перейдите по ссылке» сервис выдаёт просьбу ввести сначала номер паспорта, а потом ИНН компании, сопровождаемую непримечательной галочкой:

ДИТ Москвы при проверке пропуска получает разрешение на отправку рекламы на следующие 10 лет - 1

Абсолютное большинство людей проставят её, не читая сопутствующий документ — и очень зря.

Если говорить коротко, все граждане, попавшие на этот сервис, подписываются на передачу абсолютно всех данных, которые сервис в принципе способен о них собрать — от IP-адреса до номера паспорта и названия работодателя — любым третьим лицам с практически любыми целями, включая рассылку рекламы, на срок в 10 лет.

Читать полностью »

И какие согласия не стоит подписывать.

Как не нужно составлять согласие на обработку персональных данных - 1

Доброго времени суток!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Читать полностью »

Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать полностью »

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных - 1Читать полностью »

GDPR очень хорошо защищает персональные ваши данные, но только если вы находитесь в Европе - 1

Сравнение подходов и практики защиты персональных данных в России и ЕС

Фактически при любом действии совершаемым пользователем в интернете, происходит в той или иной форме манипуляции персональными данными пользователя.

Мы не платим за многие услуги, которые получаем в интернете: за поиск информации, за электронную почту, за хранение наших данных в облаке, за общение в социальных сетях и т. д. Однако эти услуги лишь условно бесплатны: мы расплачиваемся за них своими данными, которые эти компании затем превращают в деньги, главным образом с помощью рекламы.

В настоящее время данные о поле, возрасте и месте жительства, история поиска —
основа для индустрии рекламы в интернете, объем которой исчисляется миллиардами долларов и евро. Т.е с юридической точки зрения персональные данные это материалы для ведения бизнеса. Соответственно компании прилагают огромные усилия и тратят немалые средства для получения и обработки персональных данных. Опросы, проведенные в 2018 году, показывают, что пользователи, понимая ценность своих персональных данных все более и более недовольны тем, как компании обходятся с их персональными данными.

Читать полностью »

Сервис uLogin отправляет данные из форм (почта, телефон) на сторонний сайт и молчит об этом - 1 Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.

Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js