Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🔸Telegram причислят к числу иностранных мессенджеров, в которых будет ограничена передача платежной информации, сообщили в Роскомнадзоре. Запреты, вводимые новым законом с 1 марта, распространятся на интеграцию Telegram со средствами оплаты пожертвований и подписок, а также на банки.
🔸В ВТБ и ПСБ, которые в свете невозможности публиковать приложения в App Store развивают банкинг через Telegram, отмечают, что все операции проводятся на их стороне. Впрочем, закон не допускает даже отправки вспомогательных банковских сообщений. Юристы полагают, что при реализации новых норм для Telegram Роскомнадзор может сделать определенные исключения.
🇷🇺🏦 #мессенджеры #банки #privacy #ркн
🔸Комитет Госдумы РФ по финансовому рынку изучает поступающие обращения в связи с работой банковских сервисов в Telegram и при необходимости предложит поправки в закон, согласно которому с 1 марта передача платежной информации и персональных данных через иностранные мессенджеры ограничена, заявил глава этого комитета Анатолий Аксаков.
🔸"Есть обращения, мы их сейчас изучаем с тем, чтобы, если будет необходимость, то внесем поправки, чтобы до 1 марта поменять", - ответил он на вопрос агентства о работе банковских сервисов в данном мессенджере после 1 марта.
🇷🇺🏦 #мессенджеры #банки #privacy
🔸Управлением Роскомнадзора по Южному федеральному округу в отношении администрации муниципального образования Выселковскийрайон проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам мониторинга официального интернет-ресурса Администрации - https://viselki.net установлено, что на данном интернет-ресурсе используется метрическая программа «Яндекс.Метрика», однако, отсутствует механизм информирования посетителей о сборе информации посредством вышеуказанной метрической программы.
🔸Также размещенный на сайте Администрации документ, определяющий политику оператора в отношении обработки персональных данных, не соответствует положениям ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
🇷🇺👻🏛️ #ркн #мониторинг #комплаенс #web
🇷🇺👨‍💻🔥 #рф #нпа #инициативы #регулирование
Обновление дайджеста значимых событий и инициатив (общее количество за две недели 6→17), влияющих на регулирование защиты ПД в РФ.

Добавлены пункты (отмечены как New):
3. Постановление Правительства РФ от 14.01.2023 № 18
4. Постановление Правительства РФ от 16.01.2023 № 24
7. Проект постановления Правительства РФ об изменении государственного контроля (надзоре) в сфере биометрической идентификации и (или) аутентификации
8. Проект постановления Правительства РФ о правилах направления запроса в ЕБС о предоставлении результатов проверки биометрических персональных данных
9. Проект постановления Правительства РФ о правилах аккредитации на владение информсистемами для биометрии
10. Проект постановления Правительства РФ о правилах отказа от предоставления биометрических персональных данных
11. Проект постановления Правительства РФ о перечне угроз безопасности, актуальных при обработке биометрических персональных данных
12. Проект постановления Правительства РФ об аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных
13. Проект постановления Правительства РФ о правилах ведения и развития единой базы данных для развития, организации и пропаганды донорства крови и её компонентов
14. Проект приказа Минцифры России о методиках проверки соответствия предоставленных биометрических персональных данных векторам ЕБС
15. Проект приказа Минцифры России о порядке направления оператором ЕБС запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы
Авиакомпания случайно раскрыла список "запрещенных к полетам" людей. Незащищенный сервер, обнаруженный исследователем безопасности, содержал личные данные сотен тысяч людей из базы данных “террористического скрининга” и "Списка нелетающих" правительства США.
🇺🇸🤬🛬 #инцидент #полеты #запрет
На ярмарке вакансий RPPA опубликована новая позиция:
Privacy Senior consultant в Kept
🇷🇺👨‍💻 #вакансия #privacy #consultant #kept
🔸В Беларуси определены обязанности специалиста по внутреннему контролю за обработкой персональных данных. Это закреплено постановлением Министерства труда и социальной защиты №62 от 31 октября 2022 года.
🔸На специалиста по внутреннему контролю за обработкой персональных данных возлагаются организационные, консультативные, контрольные, информационно-образовательные и иные функции. В частности, ему необходимо изучать и анализировать процессы обработки персональных данных, определять риски, связанные с их обработкой, вырабатывать предложения по их минимизации, разрабатывать и поддерживать в актуальном состоянии документы, определяющие политику оператора в отношении обработки персональных данных, участвовать в определении и осуществлении мер технической и криптографической защиты персональных данных.
🇧🇾🏛️ #рекомендации #dpo #пд
Биометрические персональные данные, где и когда бы человек их ни сдавал, можно запретить хранить и использовать. Но в любой момент можно передумать и снова поделиться с государством своей биометрией, чтобы по лицу или голосу получать различные услуги. Об этом говорится в опубликованном 18 января проекте постановления Правительства, который проходит общественное обсуждение. Как отказаться от обработки своих персональных данных, узнала «Парламентская газета».
🇷🇺🏛️ #биометрия #ебс #проект #нпа
​​📣Положение о государственной системе защиты информации в Российской Федерации

Для общественного обсуждения представлен проект Указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
🔸Банк России опубликовал перечень конкретных шагов для проверки личности заемщика, по которым микрофинансовые организации (МФО) будут обязаны проверять клиентов. ЦБ считает, что таким образом получение онлайн-микрозаймов будет безопаснее.
🔸В частности, рекомендуется убедиться в действительности паспорта потенциального заемщика, подлинности его фотографии в документе, сведений о кредитной истории, а также в том, что именно он, а не мошенники использует указанные в заявлении счет и номер телефона. Всего в документе предлагается 10 способов проверки. МФО будут обязаны использовать как минимум три из них.
🇷🇺🏛️ #мфо #цб #идентификация #нпа
Информация о доходах, расходах и имуществе депутатов Госдумы и сенаторов будет публиковаться в интернете без персональных данных. Такую поправку поддержал ко второму чтению думский комитет по госстроительству и законодательству на заседании в понедельник.
🇷🇺🏛️ #пд #законопроект #распространение
Фейк или нет? Если да, то интересна реакция регулятора ИБ, который меньше чем за полгода второй раз сталкивается с компрометацией и утечкой. Опять сошлются на то, что это не у них и вообще вся информация публичная?

Если нет, то кому РКН должен сообщать об утечке из РКН и как отреагирует Минцифры на косяк своей «дочки»? А, кстати, кто мониторит ИБ РКН?

ЗЫ. Мы, кстати, сейчас пишем руководство по тому, как общаться с внешним миром в случае утечки.
Объем утечек персональных данных россиян в 2022 году вырос в 40 раз по сравнению с предыдущим годом, следует из аналитического отчета компании Group-IB. В открытом доступе появилась та или иная личная информация (телефоны, адреса, подробности покупок и почтовых отправлений) примерно 100 млн человек — это две трети граждан страны.
🇷🇺🤬🖥️ #аналитика #утечки #инциденты
🔸31 января 2023 года в 11:00 по местному времени, Управлением Роскомнадзора по Дальневосточному федеральному округу будет проведен традиционный День открытых дверей, приуроченный к Международному дню защиты персональных данных.
🔸Мероприятие пройдет в дистанционном формате в режиме видеосвязи, посредством сервиса «Яндекс.Телемост». Подключиться смогут все желающие. Зарегистрироваться для участия в мероприятии можно по телефонам (423) 239-08-23, 239-08-22.
🔸Вопросы, на которые желают получить ответы участники мероприятия в рамках Дня открытых дверей, необходимо направить до 27 января 2023 года на электронную почту Управления [email protected]
🇷🇺💡🏛️ #ркн #пд #дод
🔸Управлением Роскомнадзора по Южному федеральному округу в отношении администрации муниципального образования Мостовской район проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам мониторинга официального интернет-ресурса Администрации - https://mostovskiy.ru установлено, что на данном интернет-ресурсе используется метрическая программа «Яндекс.Метрика», однако, отсутствует механизм информирования посетителей о сборе информации посредством вышеуказанной метрической программы.
🔸Также размещенный на сайте Администрации документ, определяющий политику оператора в отношении обработки персональных данных, не соответствует положениям ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
🇷🇺👻🏛️ #ркн #мониторинг #комплаенс #web
🔸Кто: Commission nationale de l'informatique et des libertés (Франция)
🔸Кого: VOODOO SAS
🔸Когда: 2023.01
🔸За что: нарушение нарушение ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности"
🔸Как: штраф €3,000,000 + предписание в течение 3 месяцев устранить нарушение (доп. штраф €20,000 просрочки исполнения предписания)
🔸Причина: в период с августа 2021 года по июль 2022 года было проведено несколько проверок сайта voodoo.io и различных мобильных приложений компании VOODOO (например, игра Helix Jump). Когда издатель размещает приложение в App Store, Apple Inc. предоставляет ему систему технической идентификации "IDentifier For Vendors" ("IDFV"), которая позволяет издателю отслеживать использование его приложений пользователями, что позволяет персонализировать рекламу. VOODOO использовала IDFV без явного и свободного согласия пользователей, которые не дали своего согласия на эту операцию через окно в приложении.
🇪🇺🇨🇵🏛️ #apple #id #реклама #аналитика #штраф
В открытый доступ попал второй фрагмент базы данных, содержащей информацию клиентов предположительно «Почты России».

Первая часть этого дампа была выложена в середине декабря прошлого года и содержала 141,780 строк. Появившийся сейчас второй фрагмент содержит 141,211 строк:

🌵 ФИО
🌵 адрес (регистрации и фактический)
🌵 телефон
🌵 адрес эл. почты (не для всех)
🌵 СНИЛС/ИНН (не для всех)
🌵 пол
🌵 дата рождения
🌵 серия/номер паспорта, кем и когда выдан

Судя по информации из дампа он был сделан не раньше 30.11.2022. 😎

На связь с «Почтой России» указывают такие специфичные поля, как:

pepactivate - ПЭП (простая электронная подпись)
flag_abox - abox.pochta.ru (абонентский почтовый ящик)
flag_digitalf22 - почтовое извещение форма 22
post_office - коды почтовых отделений
Privacy Advocates
В открытый доступ попал второй фрагмент базы данных, содержащей информацию клиентов предположительно «Почты России». Первая часть этого дампа была выложена в середине декабря прошлого года и содержала 141,780 строк. Появившийся сейчас второй фрагмент содержит…
Комментарий от представителя Почты России (департамент внутреннего контроля):
После июльского инцидента мы провели полный аудит безопасности информационных систем, и никаких утечек из них не было. Наши специалисты информационной безопасности исследовали упомянутую в запросе базу данных. Злоумышленники продолжают выкладывать неактуальные данные с подменой даты создания записей. Это компиляция из других утечек информации.
🇷🇺👨‍💻 #утечки #инциденты #почтароссии
Законодатели готовят поправки, согласно которым граждане смогут давать в электронном виде разрешение на обработку персональных данных банкам и страховщикам только с помощью усиленной электронной подписи. При этом в ходе соответствующего эксперимента на протяжении трех лет использовалась простая электронная подпись, которая имеется более чем у ста миллионов россиян. Изменение этой подписи на усиленную, по мнению участников рынка, снизит конверсию до 10–15%, что делает использование цифрового профиля гражданина неинтересным для коммерческих организаций.
🇷🇺🏛️ #пэп #кэп #пд #банки