Hosting
Information Security
Data storages
Legislation in IT
February 25

О хранении персональных данных, Роскомнадзоре и сайтах знакомств



Всем привет.

Написание этой статьи продиктовано чтением вот этого материала. Ну и истории о Фёдоре Власове с его Kate Mobile тоже, но об этом — в конце.

А также случайным изучением логов соединений от рабочих компьютеров сотрудников в одном небольшом офисе.

Изучение показало, что сотрудники в рабочее время сидят на IP 185.203.72.22, что есть Служба Знакомств Мамба. Но речь пойдёт вовсе не о работоспособности сотрудников и рабочем времени. Речь пойдёт о соответствии Федеральным Законам.

Итак, Сайт Знакомств Мамба (mamba.ru) принадлежит ЗАО «МАМБА» с 2003 года. ЗАО «МАМБА» (ИНН 7714548885, КПП 770301001, ОГРН 1047796286020, ОКПО 72777958) зарегистрирована по адресу г.Москва, ул.Звенигородская 2-я, д.13, стр.42, помещение 1 этаж 4, 123022.

Эта скучная информация говорит о том, что mamba.ru полноценно попадает под действие Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных». Кстати, по этому закону, «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», так что номер телефона, указываемый при регистрации — уже персональная информация, даже если фото чужие и имя придуманное.

В настоящий момент mamba.ru имеет IP 185.203.72.22. Этот адрес принадлежит компании Variti International Gmbh, Denkmalstrasse 2, 6006, Luzern, Switzerland

Позвольте, что? То есть данные сайта знакомств хранятся в Швейцарии?

Но ведь согласно ст.18 п.5 Федерального закона, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Не спешите звонить в Роскомнадзор, на самом деле Variti International Gmbh не предоставляет хостинг, а осуществляет анти-DDOS-защиту. И данные хранятся на диапазоне 193.0.170.0 — 193.0.171.255, которые в России.

При этом, как сообщают швейцарцы, работают они так:

  • Мы пропускаем весь входящий трафик защищаемого веб-сайта через распределённую сеть фильтрующих узлов VARITI.
  • Мы анализируем трафик в реальном времени по нескольким характеристикам.
  • Используя собственные математические алгоритмы, мы фильтруем трафик, обеспечивая запросы только от реальных пользователей.
  • Все запросы классифицируются — от реальных пользователей или же от ботов.
  • Мы разделяем трафик от одного IP (мобильный или беспроводной интернет, провайдеры с NAT, Wi-Fi открытого доступа).
  • Подозрительные пользователи журналируются незаметно; расширенный анализ производится по поведенческим факторам.
  • В случае регистрации атаки DDoS или угрозы автоматического сканирования, защита немедленно блокирует злонамеренный трафик (скорость реагирования менее 50 мс).


Я тут повыделял некоторые моменты, которые ну никак не обеспечивают сохранность персональных данных, сертифицирование в ФСБ и ФСТЭК средств шифрования и прочего.

Итого:

  1. Как это факту проверяется расположение хостинга? Любой whois, пинг да и что угодно по mamba.ru выдаёт именно швейцарский адрес. Роскомнадзор так тщательно отслеживает реальную работу и хостинг? Проверяет сервера доменных имён? Проверяет ответы серверов доменных имён? Отслеживает реальный трафик? Хммм...
  2. Как по факту проверяется слив информации при использовании анти-DDOS-служб, подобно приведённой выше?
  3. Недавно одного человека арестовали за то, что его сервисом пользовался педофил. Как поступят компетентные службы (ФСБ, МИД, ФСТЭК, МВД и т.д.) в отношении анти-DDOS-сервисов при аналогичной ситуации? Конкретно в примере, рассмотренном выше, я могу найти очень много действий, ответственность за которые предусматривается статьёй 241 УК РФ.
  4. Заботится ли Федеральное законодательство о моих личных данных на самом деле?

P.S. В ходе написания статьи не один сотрудник из офиса за сидение на сайте знакомств не пострадал.
P.P.S. Спасибо уважаемому Sabubu — оказывается, можно звонить в Роскомнадзор и банить Мамбу:
Однако, по данным источников «whois» установлено, что услуги по предоставлению вычислительной мощности для размещения баз данных, содержащих персональные данные граждан Российской Федерации, посредством которых обеспечивается запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, постоянно подключенных к сети «Интернет»… осуществляется посредством серверных мощностей компании Cloudflare, Inc., расположенной на территории Соединенных Штатов Америки

К списку можно добавить ещё много других.
К сожалению, остальных ответов на свои вопросы я так и не нашёл.
+17
12.5k 27
Support the author
Comments 50
Top of the day