По ситуации https://t.me/taxidigest/644 и https://t.me/itsorm/1739 с передачей данных сервисов такси в Дептранс Москвы. Возник интересный казус: сервисы такси, которые уже передают данные в Дептранс, передают эти данные в незащищенном виде. Что вероятно нарушает требования статьи 19 152-ФЗ 2006 года "О персональных данных", если персональные данные передавались:
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных."
и нарушает требования статьи 11 22-ФЗ 2009 года "Защита информации о средствах навигации и об объектах навигационной деятельности от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации осуществляется в соответствии с законодательством Российской Федерации."
http://www.consultant.ru/document/cons_doc_LAW_84895/a9b33b0cba7d915d21137cccc2521b3af984ea61/
Сейчас нет уверенности в невозможности неправомерного доступа, модифицирования, копирования и распространения подобных данных. Получается, фактические дела с передачей данных противоречат официальным заявлениям сервисов такси последние 4 года, например:
https://driver.yandex/ru-ru/base/personal-data-protection
"Конфиденциальность данных и безопасность сервиса — основные приоритеты Яндекс.Такси. Всё, что вы указываете в Таксометре, защищено в соответствии с законом и стандартами безопасности."
Выходит, что приняв условия Дептранса Москвы по работе с незащищенным протоколом сервисы отступили от своих публичных обещаний по защите данных.
По ссылке https://rnis.mos.ru/login/doc/pril7.doc уже лежит оперативно измененный документ, в котором вместо протокола HTTP, указан протокол HTTPS. Из этого следует два вывода:
1. В Дептрансе уже озабочены проблемой и пытаются сохранить лицо. Это хорошо. Значит, изменения по вопросу будут и фактически есть осознание, что 4 года данные передавались в открытом виде и это неприемлемо.
2. Простая замена HTTP на HTTPS без привязки к доменному имени не позволяет получить сертификат SSL. Сомнения в квалификации сотрудников Дептранса подтверждается и тем фактом, что невозможно работать по протоколу HTTPS без указания доменного имени.
Остается благодарить конфликт сервиса Wheely и Дептранса Москвы за вклад в укрепление защиты данных.
И конечно отдельно стоит пожурить странную позицию остальных сервиса такси, которые 4 года не замечали этой нехорошей ситуации и видимо продолжают передавать данные в открытом виде.
