1с битрикс политика конфиденциальности где
Сегодня мы поговорим о защите персональных данных клиентов и других, не менее важных, аспектах информационной безопасности веб-проектов.
Скорость и сложность разработки — постоянно растет
В последнее время область разработки переживает довольно стремительный переход от классических практик создания программного обеспечения — долгого, медленного, обстоятельного, досконального подхода, при котором все тщательно проектируется, продумывается, испытывается десятки раз — к Agile методикам, обеспечивающим быстрое создание продукта с одновременным постоянным потоком изменений в его функционал как во время разработки, так и после выхода первого релиза.
- Интенсивный непродолжительный мозговой штурм концепции проекта
- Грубое «прикидывание» плана итераций релиза (на 1-6 месяцев) с упорядочиванием описанных простым языком фич веб-проекта по убыванию приоритета. Причем стараются выпустить первый релиз в продакшн как можно быстрее, даже «по частям».
- Выбор и экспресс-оценка наиболее приоритетных фич, которые можно сделать за 2-4 недели командой разработки (не больше дня)
- Быстрое проектирование (не больше дня) с использованием досок и других средств коллективных коммуникаций и разработка выбранного приоритетного функционала
- Демонстрация «быстро сделанного» функционала, получение обратной связи от пользователей (сначала внутри компании), тестирование пользователями
- Вывод сделанного функционала в продакшн для скорейшего получения обратной связи и… более интенсивного тестирования :-)
- Переход к п.3 и так далее по кругу
Проблемы «быстрой» разработки веб-проектов
- Пользователи получают наиболее востребованный функционал максимально быстро
- Разработчики занимаются только самыми приоритетными задачами
- Веб-проект шагает в ногу со временем, оперативно реагируя на вызовы рынка и запросы Пользователей и адекватно меняясь
- Бюрократия, среднесрочное и долгосрочное планирование сведены практически сведены на нет — все силы брошены на выявление и планирование ближайших задач
- Из-за недостатка времени и ограниченности бюджета, плохо продумывается архитектура веб-проекта, из-за чего он может, например, начать «тормозить» или его станет сложно и дорого развивать
- Из-за недостатка времени и ограниченности бюджета, а также возможно недостаточной квалификации IT-специалистов, вопросам безопасности веб-проектов уделяется недостаточное внимание, если этим вообще кто-нибудь занимается
Что же делать?
Одним из возможных решений поставленной выше задачи: «делать веб-проекты быстро, качественно и без дыр» — использовать готовые инструменты, библиотеки и фреймворки, спроектированные и реализованные экспертами в области информационной безопасности. Инструменты, шагающие в ногу со временем и защищающие нас от постоянно возникающих угроз.
Платформа Битрикс — просто нашпигована эффективными инструментами обеспечения информационной безопасности веб-проектов.
Ядро платформы Битрикс — «крепкий орешек»
Наверно многие знают, что в нашей компании имеется отдел информационной безопасности, в задачи которого входит тщательный аудит всего создаваемого программного кода платформы Битрикс. Поэтому ядро платформы — максимально защищено, о чем свидетельствуют в том числе хорошие результаты на фестивале хакеров CC9 и результаты независимого аудита от известного эксперта в области безопасности — Positive Technologies.
Более того, благодаря политике тотальной проверки данных, передаваемых API ядра платформы (да, немного в ущерб производительности), распространенная угроза веб-проектов «SQL-инъекция» — исключена (если код веб-проекта работает строго через API, что входит в наши стандарты качества интеграции), а вероятность XSS-атак — серьезно снижена.
Также, специалисты отдела информационной безопасности проводят постоянный мониторинг внешних информационных угроз и создают/развивают проактивные инструменты защиты веб-проектов — которые мы далее рассмотрим.
«Визуализация» состояния защиты веб-проекта
У вас имеется перед глазами «Панель безопасности» и ваша задача — выполнить рекомендуемые настройки для повышения, в случае необходимости, «текущего уровня безопасности» с «Начального» до «Стандартного» и выше. Просто и наглядно — хотите больше безопасности, значит повышайте уровень, выполняя рекомендации экспертной системы.
Выглядит эта панелька так:
Фильтруем входные данные веб-проекта
«Проактивный фильтр (Web Application Firewall)» — подсистема фильтрует все передаваемые веб-проекту данные (посты, куки и т.п.) на предмет эксплуатации известных уязвимостей: XSS, SQL Injection, PHP Including и ряда других. Конечно, ложные срабатывания могут быть, поэтому инструмент настраивается.
Важно отметить, что инструмент защищает не ядро платформы Битрикс, которое безопасно само по себе (см. выше), а именно «надстройку над платформой», выполненную программистами — веб-проект на базе 1С-Битрикс. К сожалению, из-за недостатка бюджета, времени и квалификации, программный код «иногда» не достаточно хорошо проверяется программистами на предмет информационной безопасности — и именно от возможных ошибок и дыр подобного вида страхует вас данный мощный инструмент. Поэтому, если разработку на платформе ведет, на ваш взгляд, «слабоватая» команда разработчиков — инструмент для вас!
И конечно, все атаки — регистрируются в журнале событий.
Вот так это работает:
Веб-антивирус
Этот инструмент работает несколько иначе, чем предыдущий — он фильтрует информацию, передаваемую в браузер клиентов веб-проекта.
К сожалению, нередко компьютеры администраторов и менеджеров веб-проектов — заражены вирусами. Вирусы достают пароли из браузеров, FTP-клиентов и других инструментов управления веб-проектом и… заражают сами файлы веб-проекта. Утром вам начинают звонить клиенты и говорить, что на сайт нельзя зайти, т.к. он заражен и вместо сайта открывается красное окно с предупреждением — а все из-за того, что один из менеджеров веб-проекта ночью из дома зашел с персонального зараженного компьютера и добавил… зараженную новость на сайт.
Данный инструмент, конечно, не заменяет антивирусное программное обеспечение, а действует с ним в унисон и определенно страхует вас от ошибок в политике безопасности эксплуатации веб-проекта. И, как любой антивирус — периодически обновляется через Интернет.
Политики безопасности групп
Идея тут в том, что учетные записи пользователей и администраторов веб-проекта привязываются к группам, имеющим разные уровни безопасности (чем выше безопасность, тем как правило ниже удобство работы с системой).
Можно выбрать уровень безопасности группы из списка, а можно поиграть «вкусными» параметрами вручную (если понимаете, что они означают). Чем больше у сотрудников группы полномочий, тем более высокий уровень безопасности она должна, по-хорошему, иметь:
Защита сессий
После авторизации между клиентом и веб-проектом начинает гулять идентификатор сессии, который нередко является целью хакеров. Для защиты сессии на разделяемых хостингах мы предлагаем их хранить в базе данных, а для затруднения атак на сессию мы даем возможность менять ее идентификатор.
Защита административного раздела
Полезно разрешить доступ к административному разделу веб-проекта с определенных подсетей средствами системного администрирования — но мы также предоставляем инструмент, облегчающий эту задачу. Инструмент достаточно популярный и удобный — особенно на разделяемых хостингах:
SSL или не SSL?
А это как вам удобно. Весь трафик клиентов с веб-проектом шифровать — расточительно и неудобно (хотя для обеспечения секьюрности это некоторым очень хочется сделать). А вот определенные разделы, содержащие персональные данные и точки авторизации — весьма полезно.
Напрямую в платформе мы не занимаемся этим — возлагая задачу обеспечения SSL на службу системного администрирования и проектировщика веб-решения.
На летней партнерской конференции мы анонсировали выход в ближайшем релизе платформы технологии защиты от передачи пароля в открытом виде (не у всех есть возможность настроить SSL) — на базе асимметричной криптографии (шифруем пароль JavaScript-ом в браузере клиента, RSA 1024 bit).
Одноразовые пароли
Конечно, вы можете защитить процедуру авторизации на веб-проекте посредством SSL от перехвата паролей грозными хакерами, но… это не спасет от утечки паролей, особенно административных, по другим каналам — е-мейл, бумажечки на столе и в тумбочке, записи на рабочем столе и т.п.
Для максимальной защиты паролей нередко пользуются двухфакторной авторизацией. В платформе Битрикс реализована разновидность этой технологии. Вы раздаете сотрудникам симпатичные брелочки или используете софт для генерации одноразовых паролей. Теперь можно быть уверенным в том (до определенной степени), что а) перехват пароля становится бесполезной задачей, б) если на сайте авторизовался Василий Пупкин, то это именно он по собственному желанию, либо Василий — но под дулом пистолета.
Выводы
Благодаря встроенным в платформу Битрикс профессиональным инструментам обеспечения информационной безопасности и защиты персональных данных — массово создаваемые решения на ее основе можно считать «довольно прочными и устойчивыми».
Создавая веб-проект на 1С-Битриксе вы (или наш Партнер) можете сконцентрировать усилия и бюджет на решаемой задаче, доверяя вопросы обеспечения безопасности платформе и ее инструментам.
Однако, нужно хорошо понимать, что борьба за безопасность веб-проекта должна постоянно идти по всем фронтам, серебряной пули нет и только системный подход, четко продуманные бизнес-процессы и политики обеспечения информационной безопасности сделают ваш веб-проект неприступной крепостью на… 99.9%.
С уважением, руководитель направления контроля качества интеграции и внедрений
Александр Сербул
УСЛОВИЯ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
Группа компаний «1С-Битрикс» (далее – 1С-Битрикс) уважает право каждого человека на конфиденциальность.
Настоящие Условия о конфиденциальности регулируют отношения между 1С-Битрикс и любым физическим лицом, индивидуальным предпринимателем, юридическим лицом (далее – Пользователь) по обработке Персональной информации, включая, помимо прочего, сбор, использование, сохранение и безопасность предоставленной Пользователем и/или собранной у Пользователя информации. Действие настоящих Условий о конфиденциальности распространяются на всю информацию, которую 1С-Битрикс и/или его аффилированные или иные уполномоченные лица, действующие от имени 1С-Битрикс, могут получить о Пользователе во время использования им любого из Продуктов 1С-Битрикс.
Обращаем Ваше внимание: использование Продуктов «1С-Битрикс» означает Ваше полное согласие со всеми положениями настоящих Условий о конфиденциальности и указанными в них условиями обработки Вашей персональной информации. Если Вы не согласны безоговорочно принять все положения настоящих Условий о конфиденциальности, Вы не имеете права использовать Продукты 1С-Битрикс и должны удалить все их компоненты со своего компьютера (ЭВМ).
1. Персональная информация, собираемая и обрабатываемая 1С-Битрикс
В рамках настоящих Условий о конфиденциальности под персональной информацией понимается:
1.1. Информация (включая, но не ограничиваясь, персональные данные), которую Пользователь самостоятельно предоставляет 1С-Битрикс при осуществлении действий, направленных на регистрацию Продуктов 1С-Битрикс (в т.ч. активация) либо в рамках их использования (в т.ч. создание учетной записи, обращение в службу поддержки). Информация предоставляется путем заполнения Пользователем соответствующих форм, при этом объем предоставления информации при заполнении необязательных полей указанных форм определяется Пользователем самостоятельно.
1.3. Пользовательские данные – любая информация загруженная (внесенная) Пользователем в Продукты 1С-Битрикс.
1.4. Иная информация о Пользователе, которую получает 1С-Битрикс исключительно в указанных в разделе 2 настоящих Условий о конфиденциальности целях.
2. Цели сбора и обработки персональной информации пользователей
Сбор, хранение и обработка указанной в разделе 1 настоящих Условий о конфиденциальности информации осуществляется исключительно в следующих конкретных целях:
2.1. Для идентификации Пользователя при использовании Продуктов 1С-Битрикс;
2.2. Для персонализации учета посещений (в том числе с целью предоставления персонализированных услуг Пользователю) и регистрации действий Пользователя 1С-Битрикс использует Cookies.
2.3. Для осуществления взаимодействия с Пользователем в рамках заключенных с 1С-Битрикс договоров или соглашений.
2.4. Проведение статистических и иных исследований на основе обезличенных данных (в т.ч. для выяснения мнения Пользователей о различных продуктах и услугах, оказываемых 1С-Битрикс).
3. Условия обработки персональной информации пользователя и её передачи третьим лицам
3.1. Хранение (в том числе изменение и удаление) персональной информации Пользователей осуществляется в соответствии с функциональным назначением конкретных Продуктов 1С-Битрикс, технической документацией к ним, а также Лицензионным соглашением на их использование.
3.2. Раскрытие персональной информации третьим лицам осуществляется следующих случаях:
3.2.1. Пользователь заблаговременно выразил свое согласие на такое раскрытие.
3.2.2. Передача необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Пользователь, а также для заключения договора по инициативе Пользователя или договора, по которому Пользователь будет являться выгодоприобретателем или поручителем.
3.2.3. Передача необходима для защиты прав и законных интересов 1С-Битрикс или третьих лиц в случаях, когда Пользователь нарушает авторские права 1С-Битрикс и/или соответствующее Лицензионное соглашение.
3.2.4. Передача необходима для подключения и/или регистрации сторонних программных продуктов (см. раздел Каталог сторонних приложений «Маркетплейс») на имя Пользователя или организации, интересы которой представляет Пользователь.
3.2.5. Передача необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве либо иных предусмотренных действующим законодательством РФ случаях.
3.3. При обработке персональных данных пользователей 1С-Битрикс руководствуется Федеральным законом РФ «О персональных данных»
4. Каталог сторонних приложений «Маркетплейс»
4.1. Каталог «Маркетплейс» –это вебслужба, позволяющая скачивать, приобретать, устанавливать и оценивать продукты и сервисы сторонних разработчиков, совместимых с Продуктами 1С-Битрикс.
4.2. При подключении продуктов и сервисов из Каталога «Маркетплейс», регулирование вопроса о конфиденциальности Персональной информации, передаваемой Пользователем разработчикам сторонних продуктов и сервисов, целиком и полностью лежит на указанном стороннем разработчике и подпадает под условия соответствующих документов о конфиденциальности Персональной информации.
4.3. Устанавливая и используя в той или иной форме сторонние продукты или сервисы, используемые для обработки Пользовательских данных, внесенных в Продукты 1С-Битрикс, Пользователь предоставляет 1С-Битрикс разрешение на обеспечение доступа для этих сторонних продуктов и сервисов к Пользовательским данным. 1С-Битрикс не несет никакой ответственности за раскрытие, модификацию или удаление Пользовательских данных в результате такого доступа.
5. Ограничения ответственности
5.1. 1С-Битрикс не инициирует размещение персональной информации при использовании Продуктов 1С-Битрикс, не контролирует ее достоверность и актуальность, однако 1С-Битрикс оставляет за собой право требовать подтверждения достоверности переданной ему информации Пользователем.
5.2. При размещении (предоставлении 1С-Битрикс) персональной информации третьих лиц Пользователь гарантирует, что получил все необходимые разрешения и согласия на указанные действия, а также гарантирует полное и безоговорочное согласие этих лиц со всеми положениями с положениями настоящих Условий о конфиденциальности.
5.3. 1С-Битрикс не несет ответственности за сбор, хранение и обработку персональной информации программным обеспечением сторонних разработчиков, включенных в Продукты 1С-Битрикс.
5.4. 1С-Битрикс не может сохранить конфиденциальность персональной информации Пользователя, публичный доступ к которой предоставлен самим Пользователем в силу функциональных назначений соответствующего Продукта 1С-Битрикс; Пользователь соглашается с тем, что при использовании таких Продуктов определённая часть его персональной информации становится доступной для неограниченного круга лиц.
6. Защита персональной информации
1С-Битрикс принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональной информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональной информации, а также от иных неправомерных действий в отношении персональной информации, в том числе:
Курс предназначен для базовой подготовки администраторов сайтов, созданных на "1С-Битрикс: Управление сайтом". Изучив курс, вы освоите основные методы администрирования системы, а также пополните знания по темам, изученным в курсе Контент-менеджер.
Если вы добросовестно изучите курс, то научитесь:
- управлять доступом к системе, сайтами, пользователями, группами пользователей;
- работать с инструментами системы;
- использовать возможности интерфейса по управлению системой;
- работать с модулями "1С-Битрикс: Управление сайтом", связанными с оптимизацией и безопасностью работы сайта;
- выполнять работу по конфигурированию веб-системы для оптимальной работы.
Если вам предстоит самостоятельная установка системы или перенос сайта на хостинг, то без курса Установка и настройка Курс Установка и настройка предназначен для специалистов устанавливающих "1С-Битрикс: Управление сайтом" или "Битрикс24 в коробке".
Начальные требования
Необходимый минимум знаний для изучения курса:
- базовые навыки компьютерной грамотности и навыки работы с ОС Windows;
- базовые знания о WWW и организации доступа к веб-серверу;
- знание системы в рамках курса Контент-менеджер Мы считаем, что вы этот курс уже прошли и знаете многое о Битриксе. Поэтому подсказок во всплывающих окнах будет намного меньше, чем в курсе Контент-менеджер. , чтобы банально не путаться в интерфейсе.
Неплохо было бы иметь базовые навыки установки и администрирования *nix-систем.
У нас часто спрашивают, сколько нужно заплатить
Курс полностью бесплатен. Изучение курса, прохождение итоговых тестов и получение сертификатов - ничего из этого оплачивать не нужно.
Ещё у нас есть Академия 1С-Битрикс, где можно обучиться на платной основе на курсах нашей компании либо наших партнёров.
Баллы опыта
В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
окно подтверждения:
уроке.
Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.
Тесты и сертификат
После изучения курса пройдите тесты на сертификацию. При успешной сдаче последовательности тестов на странице Моё обучение вы увидите результат обучения и там же - ваш сертификат в формате PDF.
Иконка успешно сданного вами курса отображается в вашем профиле на Freelance, если вы укажите ссылку на ваш профиль на сайте компании 1С-Битрикс.
Комментарии к урокам
Для преподавания офлайн
Если данный курс берётся в качестве основы для офлайнового преподавания, то рекомендуемая продолжительность: 3 дня (24 академических часа).
Если нет интернета
iPhone:
FBReader
CoolReader
iBook
Bookmate
Windows:
Calibre
FBReader
Icecream Ebook Reader
Плагины для браузеров:
EpuBReader – для Firefox
Readium – для Google Chrome
iOS
Marvin for iOS
ShortBook
обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса. Версия файла - от 11.04.2022.
Как проходить учебный курс?
С 1 июля 2017 года будет сильно ужесточена административная ответственность за нарушения при работе с персональными данными физических лиц. Это касается и владельцев сайтов, которые собирают такую информацию о посетителях. Как быть тем пользователям Битрикс24, кто собирал персональные данные автоматизированно, с помощью CRM-форм или Открытых линий? Мы решили помочь своим клиентам соблюсти закон и избежать штрафов. Автоматизируем и это!
Мы подготовили универсальное «Согласие на обработку персональных данных» для и разместили его в CRM-формах и Открытых линиях.
В CRM-формах
Что нужно сделать:
- Заполнить реквизиты своей компании в настройках CRM. Также это можно будет сделать при настройке согласия в CRM-форме.
- Указать e-mail, на который клиенты смогут отправлять запросы на удаление персональной информации. Согласно закону, на такие запросы необходимо отреагировать. Сейчас указан только пример e-mail адреса, можно оставить его или сменить в настройках формы.
- Проверить в настройках активных форм, что согласие подключено и корректно отображается для клиента.
-
Два варианта подтверждения:
В Открытых линиях
Сначала в настройках открытой линии нужно включить отправку предупреждения о сборе персональных данных.
Если человек продолжит писать в открытую линию, то это будет считаться согласием. А если промолчит или прямо ответит, что не согласен, то его данные нужно удалить.
В целях соблюдения Федерального закона №152-ФЗ "О персональных данных", мы рассмотрим, как создать согласие на обработку персональных данных и выведем форму обратной связи с ней.
1) Создадим согласие на обработку персональных данных в административной панели сайта.
Для этого переходим в "Настройки" - "Настройки продукта" - "Соглашения".
Создаем новое соглашение, нажимая кнопку "Добавить".
Заполняем поля конструктора соглашений.
Если у Вас есть текст собственного соглашения, то Вы его вставляете в поле "Текст согласия". Если нет, выбираете один из имеющихся вариантов. Так как у меня готового текста нет, то выбираю "Стандартное согласие на обработку персональных данных «Russian»".
Ознакомиться с соглашением Вы можете нажав напротив кнопку "Посмотреть".
Выбираю "Источник данных" значение "указывается вручную" и заполняю поля ниже (Название компании и адрес регистрации компании).
Если Вам не подходит вариант использования персональных данных в стандартном соглашении, то Вы его можете изменить, выбрав галочку "Указать свой вариант использования персональных данных" и заполнить появившееся поле.
Если информация передается третьим лицам, то Вы ставите галочку на против соответствующего поля и перечисляете все организации, куда передаются данные.
.Нажимаем "Сохранить" и можем перейти к добавлению компонента формы обратной связи.
2) Добавление формы.
Переходим на страницу, где будем добавлять форму и заходим в режим редактирования страницы.
Компонент расположен в разделе "Служебные" - "Форма обратной связи". Перетаскиваем компонент из списка или два раза щелкаем по нему. Открываются его настройки.
Нажимаем "Сохранить" и снова "Сохранить".
3) Добавляем соглашение к форме.
Так как мы будем добавлять вызов компонента согласия в компонент формы, сначала мы скопируем шаблон формы обратной связи. Для этого в режиме правки, навести на кнопку настройки формы, "Форма обратной связи" - "Копировать шаблон компонента".
В открывшемся окне пишем новое название шаблона формы на английском языке, я указал "feedback152FZ", и указываем копировать в шаблон сайта в "текущий". Остальное оставляем как есть.
Открылось окно с шаблоном формы, советую на ссылке "Редактировать файл в панели управления" нажать правой кнопкой мыши и открыть в новом окне, а в текущем окне нажать кнопку "Сохранить". Так как если Вы допустите ошибку и форма перестанет открываться, Вам придется искать куда сохранился новый шаблон, а так он у Вас уже будет открыт в новом окне для исправлений.
Находим код отвечающий за отправку формы
И перед ним копируем ниже представленный фрагмент кода
Сохраняем шаблон и возвращаемся на страницу с формой.
Теперь надо настроить компонент соглашения. Для этого в режиме правки, навести на кнопку настройки формы, "Запрос согласия пользователя" - "Редактировать параметры компонента".
В настройках указываем соглашение (если их несколько), галку согласия проставлена по умолчанию я не буду ставить, остальное оставлю как есть и нажимаю "Сохранить".
Читайте также: