ЭКСПРЕСС-АУДИТ САЙТА

Хостинг — это услуга по размещению вашего сайта в интернете. проще говоря, аренда места для размещения вашего сайта на специальном сервере, который работает круглосуточно и обеспечивает постоянный доступ к сайту для всех пользователей сети. На этом сервере хранятся все файлы сайта: тексты, изображения, видео и прочее.

Что проверяет автоматический экспресс-аудит?

• геолокацию сервера, на котором размещён сайт;
• организацию или ИП, на которого зарегистрирован хостинг-Провайдер;
• наличие аккредитации хостинг-провайдера в реестре Роскомнадзора;
• другие влияющие критерии.

Чем вы рискуете?

1. Штрафы:

• за трансграничную передачу ПДн — до 800 000 ₽
• за невыполнение требований по локализации ПДн – от 1 до 6 млн. ₽ (ст. 13.11.1 ч.4 КоАП)

2. Полная потеря сайта

• при блокировке или прекращении работы неаккредитованного хостинга.

Google-сервисы — инструменты для вебмастеров и маркетологов, которые частично интегрируются в ваш сайт. Экспресс-аудит проверяет наличие в вашем сайте как видимых, так и скрытых от посетителя механизмов — программного кода самых популярных сервисов Google, в том числе:

Google Analytics

это бесплатный сервис для сбора статистики о посетителях сайта. C его помощью можно узнать:
— сколько человек заходят на сайт и откуда они приходят (например, из поиска или рекламы),
— какие страницы сайта самые популярные, что интересует посетителей, а что нет.

Google tag manager  

это система управления тегами — небольшими кодами, которые добавляются на сайт для аналитики, в том числе для выводов по эффективности рекламы.

Google maps

интеграция карты google на сайт.

Google recaptcha

это бесплатный сервис от google, который защищает ваш сайт от спама и

автоматических атак (ботов). вы наверняка встречали галочку «я не робот» или задачи с выбором светофоров или витрин — это и есть recaptcha. Также есть скрытая от посетителя версия Google Recaptcha v.3, которая не просит посетителя что-то вводить или выбирать, а понимает по поведению посетителя – человек это или робот.

С помощью этого инструмента вы:

• защищаете формы на сайте (обратная связь, регистрация, подписка) от нежелательных сообщений,
• предотвращаете массовую отправку фальшивых заявок,
• снижаете нагрузку на сайт и повышаете его безопасность.

Однако сегодня использование на сайте этих сервисов на сайтах, зарегистрированных в России, несет в себе ряд юридических рисков.

В чем проблема?

• Эти сервисы встроены в сайт через скрипты и автоматически передают данные за рубеж.
  • Передаются не только обезличенные данные, но и сведения о геолокации, браузере, языке, ip, действиях пользователя и другие.
  • Google не уведомляет пользователей, а владельцы сайтов часто не включают это в политику конфиденциальности и согласие.

Что проверяет наш аудит?

• Он проверяет, есть на сайте эти сервисы или нет в рабочем состоянии;
• Проверка идёт как активных сервисов, так и тех, которые когда-то интегрировались в сайт вебмастерами/разработчиками и не были полностью удалены, соответственно, их код может функционировать.

Чем вы рискуете?

Использование на сайте этих сервисов может привести к:

• штрафам до 6 млн рублей (ст. 13.11 КоАП РФ),
• предписаниям на удаление нарушений,
• блокировке ресурса.

пиксели и трекеры — это невидимые скрипты, встроенные в код сайта программистами или smm-специалистами для отслеживания трафика (facebook pixel, instagram, tiktok, x и др.).

Почему их наличие на сайте нарушает закон?

• эти трекеры передают информацию напрямую в социальные сети (зарубежные платформы), зачастую без уведомления и согласия пользователя.
• пользователь не может увидеть эти скрипты без технической экспертизы.

Почему это важно?

• по аналогии с Google, это трансграничная передача ПДн.
• Роскомнадзор использует автоматическую систему анализа «Ревизор», которая выявляет такие скрипты.

Даже если у вас есть согласие на использование cookies, это не охватывает автоматическую передачу данных в социальные сети.

Что проверяет Экспресс-аудит?

он проверяет, есть на вашем сайте эти пиксели и трекеры или нет

Чем вы рискуете?

• за сам факт передачи — от 100 000 до 800 000 ₽;
• за утечку данных — штрафы измеряются десятками миллионов рублей.

Политика конфиденциальности (или «Политика в отношении обработки персональных данных») — это важный документ, который обязателен для большинства сайтов согласно закону многих стран (в том числе рф), особенно если на сайте есть формы, собирающие личные данные (например, имя, телефон, email, комментарии). она объясняет посетителям, какие данные вы собираете, как вы их используете и как защищаете.

Почему важно, чтобы она была на сайте?

• без неё ваш сайт может нарушать закон о персональных данных, что чревато штрафами и блокировкой ресурса.
• наличие корректной ссылки — базовое требование роскомнадзора. если ссылка отсутствует, нерабочая или ведёт «не туда», это уже квалифицируется как нарушение.
• она повышает доверие пользователей — люди охотнее оставляют данные, если видят, что вы заботитесь об их конфиденциальности.

Что проверяет экспресс-аудит?

• наличие активной ссылки на политику конфиденциальности на всех страницах сайта;
• работоспособность ссылки — ведёт ли она на существующую страницу;
• существование целевой страницы Политики;
• наличие Политики на указанной странице.

Что не проверяет экспресс-аудит?

• содержимое самой политики не анализируется;
• структура, юридическая корректность, перечень данных и описание обработки — не входят в область автоматического анализа.

Чем вы рискуете?

• отсутствие политики конфиденциальности (13.11 ч. 1), штраф до 150 000 ₽
• обработка пдн без согласия (13.11 ч. 2 и 3), штраф 150 000 ₽ — 300 000 ₽ за каждый эпизод

Формы обратной связи на сайте позволяют потенциальным клиентам бизнеса оставлять свои персональные данные (фио, телефон и пр.), в основном для того, чтобы с ними могли связаться представители компании и помочь приобрести какой-либо продукт (товар или услугу). Однако без правильной настройки формы (например, чекбокса согласия с политикой конфиденциальности) сайт может нарушать правила обработки персональных данных, что может обернуться для бизнеса серьёзными штрафами.

Что проверяет экспресс-аудит?

• наличие формы на сайте: определяется факт присутствия любой формы, в том числе всплывающей, скрытой, контактной, записи и пр.
• структура формы;
• наличие и корректность Согласия на обработку ПДн

Чем вы рискуете?

• отсутствие ссылки на политику — до 800 000 ₽
• сбор данных без согласия — от 150 000 ₽ до 300 000 ₽
• претензии роскомнадзора, блокировка сайта, предписания

Необходимость уведомлять пользователей о cookie (о сохранении их данных) действует во многих странах, включая страны СНГ. Без такого уведомления сайт может нарушать требования по защите данных.

Согласно последним требованиям закона:

• баннер теперь является обязательным элементом;
• должен быть оформлен по европейскому формату (GDPR-подобный), с возможностью выбора параметров.

Что проверяет экспресс-аудит?

• наличие баннера-уведомления при первом посещении сайта;
• возможность отказаться от отдельных видов обработки (анализ, реклама и т.д.);
• реализация согласия — не только «ок», но и выбор параметров;
• прочие критерии соответствия.

Чем вы рискуете?

• отсутствие явного уведомления об обработке ПДн — до 300 000 ₽
• обработка данных без согласия — от 150 000 ₽ до 300 000 ₽
• при использовании зарубежной интеграции Cookie-уведомления – до 800 000 ₽

SSL-сертификат — как защищённый замок на двери вашего сайта. он шифрует все данные, которые передаются между пользователем и сайтом — например, когда человек заполняет форму или вводит пароль. Такой сайт начинается с https://, а не просто http://, и в адресной строке браузера рядом с адресом отображается значок замка.

Зачем он нужен?

Без ssl-сертификата данные передаются в открытом виде, и злоумышленники могут их перехватить. Кроме того, современные браузеры предупреждают пользователей, что сайт «не защищён», а некоторые мобильные браузеры вовсе блокируют сайты с некорректными SSL. Это мешает пользователям зайти на сайт и отпугивает потенциальных клиентов.

Кроме того, в соответствии со 152-ФЗ Оператор Персональных данных должен обеспечить должные меры по защите их сбора, хранения и обработки. Что просто невозможно сделать на сайте с некорректным SSL. Это прямое техническое нарушение, которое приводит к утечкам ПДн.

Что проверяет экспресс-аудит?

• наличие SSL – сертификата шифрования;
• издателя сертификата;
• актуальность установленного сертификата безопасности.
• корректность работы протоколов шифрования;

Чем вы рискуете?

• нарушение условий защиты пдн (13.11 ч. 1 и 4) — штраф до 300 000 ₽
• утечка или угроза безопасности пдн (13.11 ч. 11) — штраф от 3 000 000 ₽
• грубое или повторное нарушение (13.11 ч. 12) — 1 – 3% годовой выручки (не менее 20 млн руб.)
• возможна приостановка деятельности