Аналитический центр RPPA

💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве «обработчика» ПД.

🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:

1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;

2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;

3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.

💡🇧🇾 Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) и Министерство антимонопольного регулирования (МАРТ) и торговли Республики Беларусь 2025.01.08 издали первые совместные Разъяснения – о том, как обрабатывать персональные данные при направлении рассылок.

🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.

Подписчики! Друзья!

Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!

Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!

На Евразийском конгрессе по защите персональных данных Региональное Сообщество Профессионалов Приватности (RPPA) анонсировало создание и начало практической деятельности собственного Аналитического Центра.

Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.

Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™  обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.

IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.

Крупный бизнес переходит на российские решения по управлению персональными данными клиентов. Как заявил на CDI Conf 2024 Алексей Сокольский, начальник управления «Розничный клиент» в ВТБ, после перехода на российское решение по управлению клиентскими данными от HFLabs ручные корректировки клиентских записей в ВТБ уменьшились на треть. Экономия составила более 100 млн руб. в 2024 году. По пути замещения MDM-системы от зарубежного вендора пошел и «Ингосстрах». Сейчас компания внедряет отечественную систему по управлению данными клиентов. Первые результаты уже есть: с помощью CDI компания проанализировала контактные данные клиентов и выявила популярные и массовые телефоны и электронные адреса. Российское решение «Единый клиент» также использует букмекерская компания «Лига ставок». С его помощью компания, например, находит записи-дубли — они возникают в случае, если игрок хочет получить дополнительные бонусы и регистрируется в системе повторно.

Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.

WSJ рассказала, как Telegram стал «охотничьими угодьями» для спецслужб

Несмотря на использование Telegram преступниками разного уровня, мессенджер стал незаменимым инструментом правоохранительных ведомств для проникновения в преступные группировки даже без сотрудничества с руководством платформы, пишет Wall Street Journal со ссылкой на источники среди чиновников и бывших федеральных агентов.

В последние пять лет спецслужбы США неоднократно привлекали преступников к ответственности с помощью их собственных слов, опубликованных в полностью открытых телеграм-каналах, что сделало мессенджер «охотничьими угодьями» правоохранительных ведомств, отмечает издание.

До создания Teelgram преступники обычно полагались на сильно разрозненные форумы в даркнете, недоступные обычным пользователям, и власти могли закрыть их лишь с помощью судебных постановлений, причем легко отследить пользователей не удавалось. В случае с Telegram его пользователи зачастую используют один и тот же аккаунт на десятках форумов, за счет чего следователи получают их «дорожную карту», объяснил газете бывший федеральный прокурор, расследовавший киберпреступления и онлайн-продажу наркотиков Сет Герц.

Но все же мессенджер более удобен для преступников, чем для следователей, полагает Эван Кольманн, консультант по борьбе с терроризмом, который работал в ФБР и давал показания в десятках дел, связанных с Telegram. По его оценке, находки правоохранительных ведомств в Telegram представляют собой «каплю в море».

МВД раскрыло принцип работы публичного реестра контролируемых лиц для мигрантов.

Общедоступная часть реестра контролируемых лиц, т. е. списка иностранцев и лиц без гражданства, чьи законные основания для пребывания в РФ прекращены, будет опубликована на сайте МВД. Такие данные будут предоставляться любому желающему по запросу.

Предполагается, что постановление вступит в силу с 5 февраля 2025 г. В закрытой подсистеме сайта МВД будет собрана следующая информация: наличие или отсутствие сведений об иностранце в реестре контролируемых лиц, фамилия, имя, отчество, дата рождения, пол, серия и номер документа, удостоверяющего личность, следует из текста проекта.

Крупные российские банки, по информации из базы ЦБ о мошенниках, в среднем «охлаждают» ежедневно 20 000 переводов, рассказал директор департамента информационной безопасности ЦБ Вадим Уваров.
25 июля заработали новые правила борьбы с дропперами – людьми, через чьи банковские карты, с их согласия или без него, проходят мошеннические операции. Теперь банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях.
В первый день работы поправок в закон о национальной платежной системе банки отключили порядка 30 000 электронных средств платежа, принадлежащих мошенникам, сообщил Уваров.

🔹Как заставить ChatGPT и другие LLM выдать секретные данные?
🔹Как взломать электронный замок с биометрией?
🔹Как сделать логическую бомбу с помощью ИИ?
🔹Можно ли обучать ИИ без доступа к реальным данным компании?
Все это обсуждалось на семинаре компании "Криптонит". Подробности тут

Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.

Банк России предложил ограничить возможность передавать банковским платежным агентам идентификацию клиентов, но они по-прежнему смогут проводить расчеты. Об этом заявил директор департамента финансового мониторинга и валютного контроля ЦБ Богдан Шабля.

А вот генеральный директор Агентства по страхованию вкладов (АСВ) Андрей Мельников считает, что через 10 лет платежные карты сменит биометрия.

В ЕБС через несколько лет могут остаться 10-15 млн слепков вместо нынешних 74,9 млн, предполагает “Ъ”.

Источники “Ъ” утверждают, что есть существенное перекрытие по базам, которые власти получили от банков, а счет задвоенных данных может идти на десятки миллионов, и реальных слепков может быть в 1,5–2 раза меньше, чем официально заявлено. Во-вторых, срок использования слепков ограничен 2–5 годами. Срок в 2–3 года установлен для «упрощенной» биометрии и той, например, которую граждане сдали через официальное приложение, 5 лет — для так называемой подтвержденной биометрии, которую граждане сдавали очно в банках. Но это обновление сугубо добровольное.

Кабмин намерен смягчить санкции за утечку персональных данных и подготовил поправки ко второму чтению соответствующего законопоекта.
Для смягчения наказания оператор персональных данных должен выполнить несколько условий одновременно:
✅ компания должна ежегодно инвестировать значительные средства в мероприятия по обеспечению информационной безопасности.
✅ в случае утечки оператор обязан произвести денежные выплаты пострадавшим гражданам.
✅ оператор должен подтвердить соблюдение требований к защите персональных данных при их обработке в соответствующих информационных системах.

При этом для уменьшения размера наказания не должно быть обстоятельств, отягчающих административную ответственность.

Депутаты Государственной думы приняли в первом чтении законопроект, позволяющий гражданам открывать эскроу-счета для расчетов по договорам долевого участия в строительстве (ДДУ) в удаленном режиме.

Для того чтобы покупатель мог открыть счет эскроу дистанционно, предполагается несколько условий:
✅достоверность сведений о человеке должна быть подтверждена в ЕСИА. Для этого необходима усиленная квалифицированная электронная подпись. Можно все сделать и с помощью обычной электронной подписи, но в этом случае понадобится подтвердить личность при очном приеме во время выдачи ключа;
✅физическое лицо должно быть идентифицировано при помощи Социального фонда, ФОМС или государственной информационной системы.

В пояснительной записке к законопроекту также отмечено, что люди, покупающие жилье с помощью эскроу, очень часто обращаются в два разных банка. Первая кредитно-финансовая организация предоставляет целевой кредит застройщику, а вторая выдает ипотечный кредит физлицу. Это создает неудобства. Если в регионе строительства объекта недвижимости отсутствуют подразделения банка, который финансирует строительство, то гражданин несет существенные транспортные расходы либо вынужден отказаться от приобретения жилья, замечают авторы законопроекта.

Минцифры подтвердило, что Google ограничил создание аккаунтов россиянам.
Российские пользователи в начале сентября столкнулись с проблемами при регистрации новым аккаунтов по СМС и восстановлении доступа к существующим.
В министерстве добавили, что подтверждение авторизации через СМС для ранее созданных аккаунтов пока работает, «но нет уверенности, что эта возможность сохранится».

В 2025 году для всех российских банков может быть создано единое целевое решение для оплаты по биометрии с помощью лица. Об этом РБК рассказал директор дивизиона «Биометрия» Сбербанка Олег Евсеев. Он напомнил, что сейчас биоэквайринг параллельно развивают Сбербанк и Национальная система платежных карт (НСПК).
«Сейчас заплатить биометрией может только клиент «Сбера» в терминале «Сбера». Мы стремимся создать сервис, в котором гражданин нашей страны может оплачивать покупки биометрией независимо от того, клиентом какого банка он является, и до конца года реализуем данную возможность. В параллель НСПК готовится сделать то же самое и хранить у себя базу связок карты с биометрией. Эта фаза, которую мы вместе пройдем. В результате получим единое целевое решение для всех банков в 2025 году», — отметил Евсеев.
Сбербанк уже установил750 тыс. платежных устройств, считывающих биометрию, до конца года их число должно составить не менее 1 млн терминалов.

Грузинская служба по защите персональных данных оштрафовали «Яндекс Такси» за возможную передачу данных в Россию.

Госдума приняла в первом чтении законопроект, позволяющий машинам Минобороны, Росгвардии и ФСБ бесплатно передвигаться по платным трассам.
Однако в правительстве РФ указывают на отсутствие механизма идентификации машин сотрудников трех ведомств. Заранее вносить информацию о такой технике в системы операторов платных трасс опасно из-за возможных утечек данных.
Адвокат водительского движения «Свобода выбора» Сергей Радько обращает внимание, что данные о передвижении военной техники в принципе засекречены и вводить такую информацию в коммерческую систему «можно только при стопроцентной гарантии надежности, ведь мы знаем, как утекают все данные, включая персональные». По этой же причине пропускать военные машины на платные трассы без оплаты операторы должны «на глаз», считает эксперт. Это возможно лишь на дорогах со шлагбаумами, а не на трассах с системой free flow, такой как ЦКАД.

Сотовые операторы в разных странах мира внедряют блокчейн в сим-карты для повышения безопасности и упрощения доступа к криптокошельку. Российские компании тоже рассматривают такую возможность, но мешают регуляторные ограничения.
Среди российских операторов МТС изучает возможность внедрения блокчейн-технологий в смартфоны, рассказал РБК источник, знакомый с планами компании. По его словам, основная идея заключается в привязке сим-карт к цифровой идентификации и криптокошелькам.
Цифровой кошелек, интегрированный в сим-карту, может быть использован для хранения цифровых рублей и оплаты этой валютой офлайн. В Китае уже есть подобный кейс — владелец цифровых юаней может выпустить сим-карту, которая с помощью интеграции с приложением «Цифровой юань» дает возможность пользоваться валютой, даже когда телефон выключен

В конце года должна выйти книга одного из самых известных специалистов в области информационной безопасности Адама Шостака "Угрозы. Чему Звездные Войны учат каждого инженера”. Автор — бывший главный "белый хакер" Microsoft — не просто разложил все угрозы по полочкам, но и поразмышлял и пошутил о сущности ИБ.
Почему ее должен прочитать каждый ИТ-шник и специалист в области ПД, читайте в блоге компании IDX. Обзор книги написал ее переводчик Владимир Беленкович

Минцифры и Минюст обсуждают увеличение штрафов за утечки персональных данных.
Одновременно Правительство России прорабатывает поправки ко второму чтению законопроекта о штрафах за утечки персональных данных, предусматривающие смягчение наказания в случае одновременного выполнения оператором данных нескольких условий.
Как рассказал сенатор Артем Шейкин , что для смягчения наказания оператор персональных данных должен
✔️осуществлять ежегодные расходы на мероприятия по обеспечению информационной безопасности не ниже определенного размера,
✔️произвести денежные выплаты пострадавшим от утечки гражданам,
✔️подтвердить соблюдение требований к защите персональных данных при их обработке в соответствующих информационных системах.
Кроме того, для уменьшения размера наказания не должно быть обстоятельств, отягчающих административную ответственность.