Когда бизнесу нужно заключать соглашения о поручении обработки персональных данных
ПД — персональные данные. Одни бизнесы пользуются услугами других бизнесов или частных исполнителей. Это база. Пример: обучающий центр хранит данные работников и учащихся в CRM. Другой пример: флористическая студия пользуется услугами курьерской компании (или самозанятого курьера) для доставки...
Shadow Data в облаке: найти и обезвредить
Shadow Data — данные, которые существуют вне поля зрения ИБ и compliance-команд. Хорошая новость в том, что такие теневые данные легко найти даже в очень крупной облачной инфраструктуре. В этой статье разберем, как сделать все без ручного перебора и буквально за час найти и геолоцировать данные....
Нужно ли брать согласие на обработку ПД, когда клиент записывается по телефону или в мессенджере
ПД — персональные данные. Пока в одних компаниях заставляют подписать согласие на обработку ПД даже «мимопроходил», другие не имеют точного представления, что это за документ и для чего он нужен. Давайте прямо сейчас поставим жирную точку в этом вопросе. Разобраться — дело пяти минут. Засекайте....
152-ФЗ для детсада. Как не упасть в обморок, если вы — заведующий
В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих...
ПДн в нашем доме или 152-ФЗ в практике ЖКХ
В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компании, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где...
Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает
Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном...
601 уголовное дело за 6 месяцев в 2025: «набеги» за нарушения в сфере персданных и ИИ
В статье кратко расскажу об изменениях в законодательстве 2025-2026, связанных с использованием искусственного интеллекта и обработке персональных данных. На примерах покажу, за что могут «прилететь» огромные штрафы и даже уголовная ответственность. Начну с шокирующей статистики, которая уже стала...
Согласие на обработку ПДн: где обязательно, где нет и как всё оформить правильно
Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :) Читать далее...
Революция доверия: как Self-Sovereign Identity меняет правила игры. Разбираемся. Часть 2
В первой части публикации рассказывается о том, как Кристофер Аллен задумал создать новый децентраизованный безопасный интернет, придумал название Self-Sovereign Identity (SSI) и в 2016 году начертал на скрижалях десять заповедей SSI. Что же было дальше… Дальше Аллен организовал упомянутые в первой...
Революция доверия: как Self-Sovereign Identity меняет правила игры. Разбираемся. Часть 1
Предуведомление Эта публикация разбита на две части для удобства чтения. Если это оказалось неудобно именно вам, приношу свои извинения за доставленные неудобства. Волны модернизации Горек хлеб того исследователя, который берется исследовать, и того писателя, который ради пропитания берется писать...
Пользователь не дал согласие на использование cookie и метрических программ, но информация о нём получена: что делать
Ситуация: пользователь зашёл на сайт. Фактически его данные уже обрабатываются метрическими программами (файлами cookie), хотя согласия на это он не давал. Пользователь не хочет, чтобы его данные собирались и обрабатывались, поэтому покидает сайт. Но данные уже получены. Что делать в этой ситуации?...
Грамотная организация обработки ПДн – первый шаг
В прошлой статье мы рассмотрели новые поправки в законодательстве об административной и уголовной ответственности за правонарушения в сфере персональных данных (ПДн). Дорогие Операторы ПДн, как вы там? Успели подать уведомление в Роскомнадзор, победив перебои в работе портала? Приступили к...
Неудовлетворительно. Результаты исследования безопасности российских frontend-приложений Q2 2025
Более 50 % приложений вызывают высокорисковые API браузера, что может быть признаком наличия вредоносного кода. Почти 64 % загружают скрипты с хостов за пределами РФ. Более 70% компаний рискуют получить штрафы от 1 до 18 млн. руб. за сбор ПД с использованием баз данных, размещенных за пределами РФ....
Собираем персональные данные правильно: рекомендации DPO
Законодательство в области персональных данных активно меняется, а институт согласий на обработку ПДн серьезно трансформируется. Согласия теперь должны оформляться отдельно от других документов, а управлять ими скоро в полной мере будет возможно через Госуслуги. Меня зовут Никита Козин. Я – Data...
Как ваши паспорта попадают в интернет и продаются за копейки?
Привет, Хабр! Бывало ли у вас такое, что вам приходит очередное смс о том, что Вам одобрен кредит! В этой статье постараемся рассказать, откуда и как ваши ПД попадают в руки мошенников. Читать далее...
Как правильно уничтожать персональные данные по требованиям Роскомнадзора
Прежде чем рассматривать порядок и случаи уничтожения, важно понимать определение этого понятия. Уничтожение персональных данных в российском законодательстве означает действия, после которых невозможно восстановить содержание персональных данных в информационной системе и/или в результате которых...
Почему посольство просит скинуть фото паспорта в WhatsApp — и что с этим не так
Казалось бы, какое отношение беспорядки в Непале могут иметь к информационной безопасности в России? Примерно так я и думал, пока мне прямо с утра в глаза не бросился выделенный брутальным красным цветом пост в официальном Telegram‑канале МИД России, призывающий сограждан передавать свои...
Как не попасть на штраф РКН из-за персональных данных на своем сайте
2025 год оказался богат на поправки в законодательство о персональных данных. Одна часть изменений вступила в силу весной, другая — летом, а некоторые начали действовать только с 1 сентября. Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. В этой статье разберем,...