Новые требования к авторизации на сайтах: что нужно знать владельцам интернет-магазинов

В России усиливаются требования к авторизации пользователей на сайтах и в мобильных приложениях. Отдельное внимание уделяется использованию иностранных сервисов, таких как Google, Apple ID и других систем.

Компания СкикС внимательно изучает изменения законодательства и оценивает, как они могут повлиять на интернет-магазины наших клиентов.

Мы планируем доработать систему авторизации и отправки уведомлений в SkeekS CMS на основании действующих требований. О том, какие именно изменения будут реализованы и потребуется ли обновление вашего сайта, мы расскажем после завершения разработки и тестирования.

Какие требования действуют сейчас

Требования к авторизации установлены частью 10 статьи 8 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Данная норма была введена Федеральным законом от 31 июля 2023 года № 406-ФЗ и действует с 1 декабря 2023 года.

Она распространяется на российских владельцев:

  • сайтов;
  • интернет-магазинов;
  • информационных систем;
  • мобильных приложений;
  • других программ, предоставляющих доступ к информации после авторизации.

Для пользователей, находящихся на территории России, закон предусматривает следующие способы авторизации:

  • с использованием номера мобильного телефона;
  • через ЕСИА — Единую систему идентификации и аутентификации;
  • через Единую биометрическую систему;
  • с использованием другой системы авторизации, принадлежащей российскому юридическому лицу или гражданину России и соответствующей требованиям по защите информации.

Это означает, что владельцам российских сайтов необходимо внимательно проверить, какие технические системы участвуют в регистрации и входе пользователей.

Что не так с кнопкой «Войти через Google»

Необходимо различать два совершенно разных способа входа.

Первый вариант — пользователь нажимает кнопку «Войти через Google». В этом случае проверку учётной записи проводит Google, а сайт получает подтверждение от иностранной информационной системы.

Аналогичным образом может работать вход через:

  • Apple ID;
  • Microsoft Account;
  • GitHub;
  • другие иностранные сервисы авторизации.

Использование таких систем российскими сайтами требует отдельной правовой и технической оценки.

Второй вариант — пользователь вводит на сайте свой email и получает одноразовый код для входа. Проверку кода при этом выполняет система самого сайта.

Это уже другой механизм авторизации.

Можно ли входить с адресом Gmail

Наличие у пользователя почтового адреса gmail.com само по себе не является нарушением.

Например, покупатель:

  1. Нажимает «Войти по email».
  2. Указывает адрес example@gmail.com.
  3. Получает письмо с одноразовым кодом.
  4. Вводит код на сайте.
  5. Система интернет-магазина проверяет код и открывает личный кабинет.

авторизация в SkeekS CMS

проверочный код при авторизации в SkeekS CMS

В данном случае Gmail используется для получения письма. Пользователь не нажимает кнопку «Войти через Google», а Google не подтверждает его учётную запись для интернет-магазина.

При этом техническая система, создающая и проверяющая одноразовый код, должна соответствовать требованиям законодательства. Поэтому необходимо оценивать не только внешний вид формы входа, но и всю архитектуру авторизации.

Блокировать адреса Gmail и предлагать покупателю использовать другую почту только на основании домена gmail.com не требуется.

Как устроена авторизация в проектах СкикС

При разработке интернет-магазинов мы никогда не использовали и не используем авторизацию через зарубежные сервисы: Google, Apple ID, Microsoft Account и другие иностранные системы.

Вход в личный кабинет реализуется собственными механизмами СкикС: по номеру телефона либо по email с одноразовым кодом. Даже если покупатель указывает адрес gmail.com, Google используется только для получения письма и не участвует в проверке пользователя.

Поэтому проблема входа через иностранные сервисы не затрагивает клиентов СкикС. Тем не менее мы продолжаем внимательно изучать законодательство, проверять наши решения и при необходимости дорабатывать их.

Наша задача — заранее учитывать новые требования, обеспечивать стабильную работу интернет-магазинов и создавать условия для безопасного развития бизнеса наших клиентов.

Можно ли отправлять на Gmail уведомления о заказах

После оформления заказа интернет-магазин обычно отправляет покупателю письмо. Оно может содержать:

  • номер заказа;
  • наименование товаров;
  • количество;
  • стоимость;
  • статус оплаты;
  • способ и адрес доставки;
  • контактные данные покупателя.

Отправка такого уведомления на указанный покупателем Gmail не относится к авторизации через Google.

Однако здесь начинают действовать требования Федерального закона № 152-ФЗ «О персональных данных».

Email, имя, фамилия, телефон и адрес доставки являются персональными данными. Почтовый сервис технически участвует в доставке сообщения и получает доступ как минимум к адресу отправителя, адресу получателя и содержимому письма.

Поэтому владельцу интернет-магазина необходимо проверить:

  • какие персональные данные включены в письмо;
  • действительно ли они нужны покупателю;
  • где первоначально собираются и сохраняются данные;
  • какие почтовые сервисы участвуют в отправке;
  • соответствует ли фактическая обработка политике сайта;
  • возникает ли трансграничная передача персональных данных.

Согласно статье 5 Федерального закона № 152-ФЗ, содержание и объём обрабатываемых данных должны соответствовать заявленным целям. Обрабатываемые данные не должны быть избыточными.

Вопросы трансграничной передачи регулирует статья 12 Федерального закона № 152-ФЗ, а требования при сборе персональных данных установлены статьёй 18.

Как можно снизить риски

Мы рассматриваем возможность изменения состава писем, которые интернет-магазин отправляет после оформления заказа.

Например, в уведомлении можно оставить:

  • номер заказа;
  • список товаров;
  • общую стоимость;
  • способ оплаты;
  • текущий статус заказа;
  • ссылку на личный кабинет.

Полный телефон, email, фамилию и подробный адрес доставки можно не дублировать в письме, если эти сведения не нужны покупателю для проверки заказа. Необходимая информация останется доступна в защищённом личном кабинете.

Это позволит уменьшить количество персональных данных, передаваемых через почтовые сервисы, и снизить последствия ошибочной отправки или получения доступа к почте посторонним лицом.

Что проверит компания SkeekS

Мы внимательно изучаем действующее законодательство и новые инициативы, связанные с авторизацией и обработкой персональных данных.

В интернет-магазинах на SkeekS CMS будут проверены:

  • содержание уведомлений о заказах;
  • письма для восстановления доступа;
  • объём передаваемых персональных данных;
  • политика обработки персональных данных;
  • согласия, размещённые в формах сайта.

После завершения анализа мы внесём необходимые изменения в систему для наших клиентов.

Сейчас мы намеренно не публикуем окончательную техническую схему. Для правильной реализации необходимо учитывать итоговые формулировки нормативных актов, официальные разъяснения и особенности работы каждого интернет-магазина.

О выполненных доработках и порядке обновления сайтов мы расскажем в отдельной публикации.

Мы заботимся о развитии бизнеса наших клиентов

Изменения законодательства не должны становиться неожиданностью для владельца интернет-магазина.

Наша задача — своевременно изучать новые требования, оценивать возможные риски и разрабатывать понятные технические решения. Мы хотим, чтобы сайты наших клиентов оставались удобными для покупателей, соответствовали актуальным требованиям и продолжали эффективно выполнять свои задачи.

Мы заинтересованы в стабильной работе, процветании и развитии бизнеса каждого нашего клиента.

Поэтому продолжит следить за изменениями законодательства, совершенствовать систему и информировать владельцев сайтов о необходимых действиях.

Материал носит информационный характер и не является индивидуальной юридической консультацией.

Основные документы: