Оплата за квартиру и ПДн

Аватар пользователя Jen
Автор: Шауро Евгений, Банк
(3)
()
Опубликовано в:

Я всегда оплачивал квитанции за квартиру через интернет-банки различных банков можно сказать не глядя. Сейчас же решил, что этот процесс можно контролировать, благо благодаря нашему третьему Президентуавтоматизация идет немереными темпами потихоньку развивается. Вот, что имеем на сегодня в МСК.


1.       Мосэнерносбыт


Личный кабинет здесь. Зарегистрироваться очень просто, достаточно ввести лицевой счет, номер счетчика и e-mail. По почте приходит пароль. Платежный сервис осуществляет этот банк. И никаких проблем. Присутствуют также следующие ПДн: ФИО, адрес, домашний и мобильный телефоны.


2.       МГТС


Личный кабинет здесь. Зарегистрироваться несложно. В качестве логина используем номер телефона. Для получения пароля звоним в их контактный центр и называем телефон, адрес и ФИО. Для входа даже есть виртуальная клавиатура. Платежный сервис осуществляет как бы этот банк, так как интерфейс интернет-банка к интерфейсу МГТС не прикручен. Но никаких проблем. Из ПДн присутствует только ФИО и телефон.


3.       ЖКУ


Личный кабинет здесь. Однако, зарегистрироваться на сайте и получить пароль в данном случае нельзя, и вот их объяснение почему:


В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ  "О персональных данных" необходимо согласие пользователя (гражданина) на обработку его персональных данных, поэтому при получении доступа к Личному кабинету на данном ресурсе необходимо лично обратиться в ГКУ ИС района с документом, удостоверяющим личность и подписать согласие на обработку персональных данных.


Звоним, уточняем, после чего идем ногами к ним и получаем заветный логин/пароль. Подписывать никакого согласия не потребовалось. Я даже спросил, нужно ли что-то подписывать и получил отрицательный ответ.


Платежный сервис предоставлен этойкомпанией, причем нерезидентом в России, однако имеющей комплаенс по PCI DSS. Насколько это само по себе безопасно для страны судить не берусь. А вот дальше начинается самое интересное. Привожу скриншот страницы с оплатой:


- нет никакого HTTPS


- присутствуют все поля для ввода критичных карточных  данных


- внизу приписка, что шифруется не всё подряд, а только, по-видимому, фрейм с карточными данными.


Может ли быть шифрование части страницы, я не знаю. Но с точки зрения потребителя услуг это полный ахтунг, так как гарантии, что при оплате включается шифрование ноль.


Пользоваться сервисом рекомендую только для контроля единых платежных документов, но ни в коем случае для оплаты.

Оцените материал:
Total votes: 56
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя paulmg

Цитирую переписку (справедливости ради, надо признать, что если просмотреть код страницы, то там, действительно, есть iframe с HTTPS):

Здравствуйте, Павел!

Выводящая список начислений, а также платежная части сайта gu-is.ru расположены во фрейме (элемент страницы, загружаемый с другого сайта) - https://gu-is.acquiropay.ru/. Содержимое фрейма приведено в скриншоте. Передача данных производится по протоколу HTTPS. Все данные, включая номера ЕПД и суммы начислений, передаются строго в зашифрованном виде и обрабатываются в соответствии с правилами PCI DSS, что подтверждается присвоением нашей компании сертификата PCI DSS высшего первого уровня, выдаваемого исключительно после прохождения длительной процедуры аудита деятельности компании и устройства программного обеспечения.

У Вас нет ни малейшего повода для беспокойства за безопасность Ваших персональных и карточных данных
--

С уважением,

Билецкий Антон | Директор по развитию
Тел.: +7.495.*** **** | Доб.: ***
************@acquiropay.ru | www.acquiropay.ru
ЗАО "Международные финансовые решения" | AcquiroPay [АквироПэй]
Россия, 129090, г. Москва, 1-ый Коптельский пер., д.10, стр.1

On 10.07.2013 21:17, Paul Golovlev wrote:

На сайте gu-is.ru осуществляется ввод данных карты без обеспечения защиты соединения.

Если это не будет исправлено я буду жаловаться в международные платежные системы, СМИ, Роспотребнадзор и Роскомнадзор на несоблюдение требований по защите данных платежных карт и персональных данных.
До исправления ситуации я отказываюсь осуществлять платежи через сайт.
 
С уважением,
Головлев Павел
up
26 users have voted.
Аватар пользователя Jen

А мне вот интересно, что такое "сертификат PCI DSS высшего первого уровня"
Бывают какие-то не высшие уровни? Или не первые уровни?
Мы вот уже несколько лет получаем эти сертификаты, обклеиваем ими стены, но на счет понимания высшего первого уровня зашли в тупик :-)

up
7 users have voted.
Аватар пользователя paulmg

А это супер-мега-тера-крутой сертификат, который простым смертным не выдается :-)
С ним можно HTTPS-ные ifram-ы на незащищенных страницах размещать при полном отсутствии беспокойства за безопасность персональных и карточных данных.....
Он защитит. Как индульгенция.....

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.