Заказы на доработку 1С (сервис удаленной работы)

Хранилище

База знаний
Бесплатные отчеты, обработки, конфигурации, внешние компоненты для 1С Статьи, описание работы, методики по работе с 1С

Здравствуйте, гость ( Вход | Зарегистрироваться )



> Безпека мобільного застосунку Дія          
Деня Шмыгаль Подменю пользователя
сообщение 22.05.20, 23:50
Сообщение #1

Крутой
**********
Группа: Пользователи
Сообщений: 1793
Спасибо сказали: 0 раз
Рейтинг: 0

Щодо мобільного застосунку Дія існує безліч запитань, особливо – про захист персональних даних користувачів. Ми не лише розуміємо важливість захисту персональних даних, а й несемо за це відповідальність перед українцями.

Тому відповідаємо на головні запитання про безпеку застосунку Дія та пояснюємо, чому користуватися цифровими документами безпечно, а витік даних практично неможливий.

Чи можливо витягнути дані з Дії?

Дія не зберігає персональних даних користувачів, а лише в разовий запит ідентифікованого громадянина відображає інформацію з реєстрів. Через Дію неможливо оцифрувати документи, завантажити їх чи зробити щось подібне. На смартфонах Android навіть нереально зробити скрін із застосунку. Дія – це винятково віддзеркалення вже наявних у громадян документів.

Архітектура застосунку Дія побудована таким чином, що на серверній частині взагалі не здійснюється зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається у зашифрованому вигляді, а на деяких етапах – використовується подвійне шифрування. Усі сервери мобільного застосунку Дія розташовані в Україні, тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі – КСЗІ. Єдине місце, де було залучено зарубіжну компанію, – це захист від атак розподіленого доступу (DDOS-атак). Для цього було використано інфраструктуру компанії Amazon, яка частково розташована в Німеччині.

Крім того, важливо зауважити, що мобільний застосунок Дія пройшов низку позитивних аудитів – як приватних, так і державних (ДССЗЗІ).

Як здійснюється захист персональних даних?

Захист персональних даних у мобільному застосунку Дія виконаний за кращими практиками безпеки для рішень такого типу – використаний підхід "глибокого захисту" (defense-in-depth). Також проведено відповідні пен-тести, тобто тестування безпеки застосунку компанією EPAM.

Які тести пройшов застосунок Дія?

Дію тестувала внутрішня команда EPAM, яка не була залучена до розроблення. Для них це був новий, незнайомий продукт, що дозволило зберегти об'єктивність дослідження. Всього – близько 20 експертів із кібербезпеки, серед яких – і фахівці EPAM Security Competence Center. З точки зору безпеки вони перевіряли і production backend, і мобільний застосунок. Також разом із компанією EPAM команда Дії проводила тестування, до якого залучали білих хакерів, щоб виявити вразливі місця. Тому застосунок Дія є доволі надійним та захищеним.

Чи можливо отримати персональні дані та доступ до банківських рахунків через BankID?

Коли користувач встановлює Дію, перше, що він робить, – проходить ідентифікацію за допомогою технології BankID. Однак безліч людей бояться, що через BankID зловмисники зможуть дістати доступ до банківських рахунків.

Банки зберігають про користувачів два типи інформації: personal identifiable information (PII) – і personal credit card information (PCI). За вимогами безпеки ці дані мають зберігатися окремо і з різними API. Для роботи застосунку Дія користувач надає доступ суто до personal identifiable information (PII). Усі банки, що належать до системи BankID Національного банку України, у тому числі Приватбанк, повідомляють, до яких саме даних буде відкрито доступ, і лише сам користувач може надати згоду на передачу цієї інформації про себе. Йдеться про ПІБ, паспорт, ІПН, телефон, адресу і електронну пошту. Перевірити цей перелік можна на сайті [необходимо зарегистрироваться для просмотра ссылки]

Отримана інформація передається на смартфон користувача у вигляді зашифрованого і підписаного криптопримітива. Він не розшифровується на пристрої, а лише слугує ключем, за яким застосунок отримує доступ до документів.

Які дані передаються через QR-код?

Для того щоб перевірити достовірність документів у Дії, використовується QR-код.

Багато користувачів турбуються про те, які дані передаються через нього. У QR-коді зашифрований одноразовий пароль, який дозволяє верифікувати документ. Він дійсний лише три хвилини. Ризик того, що хтось устигне сфотографувати ваш код, скористається ним упродовж трьох хвилин і так дістане доступ до вашого документу, – мінімальний.



По материалам: [необходимо зарегистрироваться для просмотра ссылки]

Не нашли ответа на свой вопрос?
Зарегистрируйтесь и задайте новый вопрос.


Ответить Новая тема
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

RSS Текстовая версия Сейчас: 06.06.20, 5:17
1С Предприятие 8.3, 1С Предприятие 8.2, 1С Предприятие 8.1, 1С Предприятие 8.0, 1С Предприятие 7.7, Литература 1С, Общие вопросы по администрированию 1С, Методическая поддержка 1С - всё в одном месте: на Украинском 1С форуме!