Является ли отсутствие SSL на сайте собирающим данные клиентов нарушением ФЗ № 152 «О персональных данных»?

Question

[Дмитрий Володарский]

Например есть сайт где при регистрации мне необходимо указывать не только ФИО, но и данные паспорта, если этот сайт не защищен соединением по SSL, то является ли это нарушением закона об обработке данных?

Answer 1

[other_letter]

ФЗ-152 признаёт весьма ограниченный круг средств защиты. Если Вы используете SSL от "неправильного" центра - с точки зрения ФЗ Вы также не выполняете требования.
Однако, на практике любые объективные шаги с защите ПДн - есть хорошо.

Comments

[Дмитрий Володарский]

Т.е. если SSL нет в принципе, то это точно нарушение закона?
И какие SSL подходят под исполнение закона?

[other_letter]

Mountain: Вы почитайте сам Закон и поясниловку к нему. Требований на самом деле дофига и SSL одно из самых простых. Вам нужно оформить множество документации, сертифицироваться...
Конкретно тут - непринципиально наличие шифрования, нужно лишь подобрать формулировку.

По Закон подходят сертификаты, выданные аккредитованными организациями. Нарпимер, РТК. Но таких выдаванов на самом деле много.

Answer 2

[xmoonlight]

Нет.
SSL даёт доверие, но не гарантирует защиту! (хотя, говорят всем иное...)
Явное отсутствие SSL - это конечно же только ВИДИМЫЙ недостаток для пользователей.
Данные могут шифроваться и без SSL и, также, могут быть переданы 3-им лицам после прохождения внутри SSL (или где-то на пути).
Кратко: не вводите ФИО нигде, если есть хотя бы малая доля недоверия к сервису.
(а ФЗ № 152 - здесь ни при чём)

Answer 3

[Максим Максим]

Я не стал бы вводить персональные данные на сайте без SSL.)

Comments

[Дмитрий Володарский]

Вопрос не о том стал бы или не стал, а о том нарушает ли отсутствие SSL вышеобозначенный федеральный закон.

[Максим Максим]

Mountain: Нет не нарушает, но если данные клиентов будут перехвачены, для владельца сайта могут наступить неприятные последствия – от потери клиентов и их жалоб, до штрафов и наказания за несоблюдение закона о защите персональных данных (Федеральный закон № 152-Ф3, статья 24).

[Максим Максим]

И почитайте вот эту статью https://habrahabr.ru/post/46321/

SSL не гарантирует защиту трафика, особенно если его кто-нибудь сможет расшифровать.
+ ко всему этому, когда вы регистрируете сертификат SSL у серьезной компании то там есть страховая премия на примере https://ssl.comodo.com/comodo-ssl-certificate.php?... , т.е если будет утечка с последствиями Всем пострадавшим будет выплачена страховка.

Answer 4

[zooks]

Серваки, где хранятся данные должны быть в России. Наличие SSL по данному закону необязательно.

Comments

[Дмитрий Володарский]

zooks отсутствие SSL это полное отсутствие безопасности передачи данных, а следовательно высокая вероятность перехвата личных данных, разве не так? А следовательно если сайт собирает данные пользователей, то он обязан использовать это шифрование. Если не согласны, то обоснуйте почему нет?

[zooks]

Mountain: да, SSL повышает безопасность при атаках вида "мужик посередине". В законе об этом ничего не говорится.

Answer 5

[Сергей]

Подскажите Пж ваш сайт. Я не то чтобы вводить там свои данные ... я на него заходить не буду после таких вопросов)