Тендеры и лиды
Информация
9 июня Госдума приняла закон о штрафах за нарушение требований к авторизации пользователей на российских сайтах и в приложениях. Для юридических лиц размер штрафа может достигать 700 тыс. рублей.
Мы в Kokoc Tech считаем, что особое внимание стоит уделить не только видимым способам входа, но и скрытым интеграциям, которые могли сохраниться в коде после обновлений продукта. Риски могут находиться на основном сайте, в личных кабинетах, мобильных приложениях, партнерских порталах и внутренних сервисах.
Аутентификация и регистрация пользователей
• В интерфейсе входа и создания аккаунта исключены кнопки входа через Google, Apple и Microsoft.
• На веб-ресурсе полностью отсутствуют OAuth-интеграции от зарубежных провайдеров.
• Все механизмы входа опираются на связку «почта и пароль», номер мобильного телефона либо вход через портал Госуслуг.
• Проведен аудит подключенных библиотек аутентификации: подтверждено отсутствие скрытых SSO-запросов к зарубежным серверам.
Внешние виджеты и подключаемые модули
• Скрипты онлайн-консультантов не содержат опций входа через Google или иные зарубежные учетные записи.
• Веб-платформа не использует OAuth-компоненты от иностранных поставщиков услуг.
• Всплывающие окна (pop-up) лишены элементов авторизации через зарубежные сервисы.
• Осуществлена проверка внешних форм сбора обратной связи.
• При использовании платформ email-рассылок, имеющих собственный кабинет, вход в них не осуществляется через Google.
Мобильное приложение
• Функции входа посредством Apple ID и Google Sign-In полностью деактивированы.
Проверять стоит не только основной сайт компании. Устаревшие механизмы авторизации могут сохраняться в мобильных приложениях, личных кабинетах и внутренних корпоративных системах даже после того, как соответствующие кнопки были удалены из интерфейса.
Такой аудит позволяет снизить риски нарушений и заранее устранить потенциальные проблемы до вступления новых требований в практику правоприменения.
