среда, 18 сентября 2013 г.

Оплата за квартиру и ПДн


Я всегда оплачивал квитанции за квартиру через интернет-банки различных банков можно сказать не глядя. Сейчас же решил, что этот процесс можно контролировать, благо благодаря нашему третьему Президенту автоматизация идет немереными темпами потихоньку развивается. Вот, что имеем на сегодня в МСК.

1.       Мосэнерносбыт

Личный кабинет здесь. Зарегистрироваться очень просто, достаточно ввести лицевой счет, номер счетчика и e-mail. По почте приходит пароль. Платежный сервис осуществляет этот банк. И никаких проблем. Присутствуют также следующие ПДн: ФИО, адрес, домашний и мобильный телефоны.

2.       МГТС

Личный кабинет здесь. Зарегистрироваться несложно. В качестве логина используем номер телефона. Для получения пароля звоним в их контактный центр и называем телефон, адрес и ФИО. Для входа даже есть виртуальная клавиатура. Платежный сервис осуществляет как бы этот банк, так как интерфейс интернет-банка к интерфейсу МГТС не прикручен. Но никаких проблем. Из ПДн присутствует только ФИО и телефон.

3.       ЖКУ

Личный кабинет здесь. Однако, зарегистрироваться на сайте и получить пароль в данном случае нельзя, и вот их объяснение почему:

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ  "О персональных данных" необходимо согласие пользователя (гражданина) на обработку его персональных данных, поэтому при получении доступа к Личному кабинету на данном ресурсе необходимо лично обратиться в ГКУ ИС района с документом, удостоверяющим личность и подписать согласие на обработку персональных данных.

Звоним, уточняем, после чего идем ногами к ним и получаем заветный логин/пароль. Подписывать никакого согласия не потребовалось. Я даже спросил, нужно ли что-то подписывать и получил отрицательный ответ.

Платежный сервис предоставлен этой компанией, причем нерезидентом в России, однако имеющей комплаенс по PCI DSS. Насколько это само по себе безопасно для страны судить не берусь. А вот дальше начинается самое интересное. Привожу скриншот страницы с оплатой:

- нет никакого HTTPS

- присутствуют все поля для ввода критичных карточных  данных

- внизу приписка, что шифруется не всё подряд, а только, по-видимому, фрейм с карточными данными.

Может ли быть шифрование части страницы, я не знаю. Но с точки зрения потребителя услуг это полный ахтунг, так как гарантии, что при оплате включается шифрование ноль.

Пользоваться сервисом рекомендую только для контроля единых платежных документов, но ни в коем случае для оплаты.

Комментариев нет:

Отправить комментарий