Вчасно.Звіт — безпека при роботі з ключами ЕЦП
Останнім часом ключі ЕЦП стали популярним, а іноді єдиним способом ідентицікації особи в інтеренеті. Держвні сервіси надають розробникам АПІ для отримання/відправки данних завірених ключами. В законодавстві прямо вказано, що всі дії з ключами ЕЦП повинні відбуватися саме на пристрої користувача. У разі витоку інформації, ключ вважається зкомпрометованим. В такому разі, необхідно відкликати сертифікат.
Нажаль деякі сервіси нехтують цим обмеженням та відправляють конфіденційні данні користувачів на сервер. Мотиви зрозумілі — це зручність у подальшій роботі, але і ризики дуже великі — маючи ключ та пароль, можна без відома та згоди виконувати дії з державними сервісами.
Я особисто зіштовхнувся з такою проблемою, сервіс Вчасно.Звіт (zvit.vchasno.ua/app/profile/settings) при реєстрації запитав підтвердження через ключ ЕЦП і зберіг його. Без моєї згоди, та навіть без повідомлення, що ключ буде переданий на серевер.
Питання до спеціалістів з безпеки, на скільки безпечно передавати конфіденційні данні з браузера на сервер у відкритому вигляді?
2 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарівПривіт, дякуємо за ваш коментар та за те, що користуєтесь «Вчасно.Звіт».
Я Богдан Янків, адвокат та співзасновник Вчасно.Звіт. Оскільки я є адвокатом, безпека та захист моїх клієнтів для мене № 1. Адвокатська таємниця, конфіденційність податкових даних і все навколо цього — це пріоритет для наших сервісів. Тому, в даному випадку ви підписали запит через криптографічний підпис для оновлення даних з податковою.
Це стандартна практика для сервісів, які працюють із державними API, зокрема і для «Вчасно.Звіт».
Хочу вас запевнити, що доступу до ваших даних не маю ні я особисто, ні будь-хто з команди. Також технічно виключена можливість їх передачі стороннім особам. Ми відповідально ставимось до безпеки та приватності кожного користувача.
Дякуємо вам за довіру та зворотний зв’язок. Сподіваюсь, мені вдалося прояснити ситуацію та зняти ваші хвилювання
В разі чого — я на зв’язку та радий відповісти на будь-які Ваші питання :)
не тільки, будь який договір (наприклаж куплі продажу) із ЕЦП приривнюється до фізичного підпису