Для каких целей сайту суо эиос самгупс необходимо разрешение браузера на прием cookies
Политика использования файлов cookie (далее — «Политика») применяется в дополнение к общей Политике конфиденциальности, которая распространяется на продукты и сервисы (далее — «Сервисы») ООО «ЯНДЕКС» и/или его аффилированных лиц (далее — «Яндекс»). Политика описывает типы файлов cookie, цели их использования и способы, с помощью которых можно от них отказаться.
1. Что такое файлы cookie и для чего их использует Яндекс
Файлы cookie — это небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер отправляет на ваше устройство. Файлы cookie запоминают информацию о ваших предпочтениях, позволяют в более удобном для вас режиме просматривать посещенные сайты в течение определенного времени. Например, благодаря файлам cookie Сервисы предлагают вам просматривать информацию на том языке, которым вы обычно пользуетесь.
Яндекс использует файлы cookie для того, чтобы:
На основании данных, полученных с помощью файлов cookie, Яндекс разрабатывает наиболее полезный функционал для Сервисов, которыми вы пользуетесь, проводит статистические и маркетинговые исследования, исправляет ошибки в Сервисах и тестирует новые функции для повышения производительности Сервисов, персонализирует их и показывает наиболее релевантную для вас информацию.
2. Какие файлы cookie использует Яндекс
Яндекс использует различные типы файлов cookie. Основная задача в их использовании - это обеспечить удобство вашей работы с Сервисами, поддерживать высокий уровень безопасности в их работе, вести подсчет аудитории, помогать в проведении оплат, переходах по страницам и прочее. Все файлы cookie Яндекса относятся к одному из следующих типов:
(i) Технические файлы cookie, которые необходимы для правильной работы и предоставления полного функционала Сервисов. Одними из самых распространённых технических файлов cookie, например, являются yandex_uid или session_id. Они устанавливаются автоматически и обеспечивают возможность аутентификации и последующей авторизации в Сервисах. Файлы сookie secure_session_id используются для авторизации пользователей и обеспечения безопасности учетных данных при проведении оплат.
(ii) Аналитические и маркетинговые файлы cookie, которые позволяют:
распознавать пользователей, подсчитывать их количество и собирать информацию, например, о произведенных операциях, посещенных страницах и просмотрах на Сервисах;
идентифицировать ваше аппаратное или программное обеспечение, например, тип браузера или устройство (с помощью cookie device_id);
собирать информацию о том, как вы взаимодействуете с Сервисами, например, приобретены ли услуга или продукт;
(iii) Прочие файлы cookie выполняют различные служебные функции и делают удобнее работу с сайтами и сервисами Яндекса. Эти файлы помогают запомнить состояние страницы, выбрать регион (например, с помощью файла cookie yandex_gid), сохранить персональные предпочтения, например, такие настраиваемые элементы сайта, как размер текста, шрифт (например, с помощью файла cookie font_loaded) и прочее.
Яндекс может применять веб-маяки (пиксельные теги) для доступа к файлам cookie, ранее размещенным на вашем устройстве. Их использование необходимо для анализа ваших действий при работе с Сервисами путем доступа и использования файлов cookie, хранящихся на Вашем устройстве, для сбора статистики о работе самих Сервисов или продуктов и утилит Яндекса.
Яндекс также использует Y-cookie – контейнеры, которые содержат множественные значения. Например, cookie-контейнер с именем ys сохраняет данные портала на время сессии (то есть пока вы не закрыли страницу или окно браузера). С помощью Y-cookie уменьшается количество cookie-файлов, обрабатываемых вашим браузером, и обеспечивается повышенная производительность при загрузке страниц, в том числе их более быстрая загрузка.
Отключение некоторых указанных типов файлов cookie может привести к тому, что использование отдельных разделов или функций Сервисов станет невозможным. Например, доступ к разделам Сервисов, для которых нужна авторизация, обеспечивается техническими файлами cookie и без их использования сайт может работать некорректно.
3. Как долго файлы cookie хранятся на вашем устройстве
Яндекс использует сессионные файлы cookie, чтобы вам было удобнее работать с Сервисами. Например, при помощи файла cookie cookie_check , запоминаются данные вашей авторизации в Сервисах и при переходе в другую доменную зону уже не нужно заново проходить процесс авторизации. Срок действия сессионных файлов cookie истекает в конце сессии (когда вы закрываете страницу или окно браузера).
Яндекс также может использовать файлы cookie, которые сохраняются в течение более длительного периода, например, чтобы запомнить ваши предпочтения на Сервисах, такие как язык или местоположение. Срок хранения данных зависит от типа файлов cookie. Такие файлы cookie будут автоматически удалены после того, как выполнят свою задачу.
Яндекс использует информацию, содержащуюся в файлах cookie в течение сроков и на условиях, указанных в настоящей Политике, а также в Политике конфиденциальности.
4. Управление файлами cookie
При первом посещении Сервисов во всплывающем окне (либо с помощью другого технического решения) вам может быть предложено выбрать типы файлов cookie, которые будут записаны на вашем устройстве . При этом, технические файлы cookie устанавливаются автоматически при загрузке страницы, если иное не указано в настройках браузера. Если вы одобрили использование файлов cookie, но потом захотели изменить свое решение, то сделать это можно самостоятельно удалив сохраненные файлы в Вашем браузере.
Если Вы одобрили использование файлов cookie на одном из сервисов Яндекса, это будет означать, что такое согласие дано вами для использования файлов cookie на всех Сервисах Яндекса.
5. Кто, кроме Яндекса, имеет доступ к информации, содержащейся в файлах cookie
Партнеры Яндекса также могут собирать информацию о пользователях с помощью файлов cookie или пиксельных тегов в рамках использования Сервисов. Использование файлов cookie и других технологий позволяет Яндексу и его партнерам анализировать активность при использовании Сервисов, подсчитывая количество посещений или показываярекламу, адаптированную под услуги Сервиса.
Информация, собранная с помощью файлов cookie, размещенных на вашем устройстве, может быть передана и доступна Яндексу и/или партнерам на условиях Политики конфиденциальности. Использование вне Сервисов собранной информации может быть предметом отдельных пользовательских соглашений, доступных на сайтах партнеров. Яндекс и/или партнеры могут также предоставить вам возможность отказаться от персонализации рекламы, в соответствии с законодательством и правилами, применимыми к таким продуктам и предложениям.
- Личный кабинет содержит сводку по курсам, на которые подписан пользователь, панель значков, календарь (в нем отражены события, например, проведение чата или окончание срока сдачи контрольной работы), блок «шкала времени», блок "недавно посещенные курсы".
- "О пользователе" содержит подробную информацию о пользователе, перечень курсов, на которые подписан пользователь, QR-код для доступа к мобильному приложению, информацию о входах в систему, а также ссылку "Редактировать информацию" - для редактирования информации о пользователе (некоторые поля заблокированы для редактирования, они отмечены серым цветом).
- Оценки– страница содержит информацию об оценках, полученных пользователем (рис.4). В зависимости от политики прав пользователя в перечне отобразятся курсы, на которых пользователь учится и/или курсы, на которых он преподает (оценки отображаются только для курсов, на которых пользователь учится)
Поле глобального поиска
(поз. 4, рис.2) выполняет поиск информации и содержимого во всех курсах, к которым пользователь имеет доступ (например, в курсах с включенным гостевым доступом или курсы, на которые пользователь подписан)
Для осуществления поиска необходимо щелкнуть по значку "Лупа", в появившееся поле ввести запрос и щелкнуть Enter:
Гамбургер-меню
выдвижное навигационное меню (поз. 7, рис.2). В зависимости от расположения пользователя в системе перечень пунктов будет меняться. На рис. показан перечень пунктов, отображаемых в гамбургер-меню студента, находящегося на главной странице сайта:
Поле "поиск курса"
Аналогичен "Глобальному поиску", но область поиска - курсы. Результат поиска - перечень курсов, содержащих в названии слова, указанные пользователем в запросе.
Цепочка-ссылок
На всех страницах СУО СамГУПС, кроме главной страницы, отображается цепочка-ссылок или «хлебные крошки» — это навигационная цепочка на сайте, которая отражает путь до текущей страницы. «Хлебные крошки» позволяют быстро переместиться на более высокий уровень вложенности - достаточно щелкнуть мышью по соответствующему элементу цепочки:
Люди не читают инструкций. Вы почти наверняка не читали лицензионное соглашение Windows, не читали лицензионное соглашение iTunes, не читали условия Linux GPL или любого другого программного обеспечения.
Это нормально. Такова наша природа.
Большинство нажимает «Согласиться» — и продолжает жить как ни в чём ни бывало. Никто ведь не читает политику конфиденциальности, верно?
Разработчик Конрад Акунга (Conrad Akunga) решил разобраться, какие конкретно условия предусмотрены соглашением об использовании. Для примера он взял новостной сайт Reuters. Это абсолютно произвольный пример, у большинства других сайтов тоже есть свои правила.
Вот эти правила:
Обратите внимание на полосу прокрутки. Дальше идёт продолжение.
Если вкратце, документ информирует пользователя о нескольких вещах:
- Что веб-сайт собирает и обрабатывает данные
- Что для этого он работает с различными партнёрами
- Что сайт хранит некоторые данные на вашем устройстве с помощью файлов cookie
- Что некоторые файлы cookie строго необходимы (определяется сайтом). Их нельзя отключить.
- Некоторые персональные данные могут быть проданы партнёрам для предоставления соответствующего контента
- Вы можете персонализировать рекламу, но не удалить её
Вы также не можете полностью отключить рекламу. Таким образом, ваш единственный выбор — либо смотреть рекламу, выбранную случайным образом, либо рекламу, которая, по мнению провайдера, может иметь к вам какое-то отношение.
И ещё один пункт о партнёрах, которым продаются ваши персональные данные. Список партнёров общий для всех сайтов, которые сотрудничают с IAB.
Кто же эти «партнёры»?
Если нажать на соответствующую кнопку, то появится следующее окно:
Обратите внимание, насколько маленький ползунок на полосе прокрутки. Наверное, там их сотни. Под названием каждой компании — ссылка на политику конфиденциальности.
Это не одна и та же ссылка, а разные! Каждая из них ведёт на уникальную политику конфиденциальности каждого партнёра. Сколько человек на самом деле пойдёт по этим ссылкам вручную, чтобы прочитать условия? Это просто нереально.
Конрад Акунга воспользовался инструментами разработчика Chrome, чтобы извлечь реальный список партнёров со ссылками на условия конфиденциальности каждого из них.
Скопированный список он вставил в VSCode — и получил огромный файл на 3835 строк, который после форматирования ( Alt + Shift + F ) разбился в чудовище на 54 399 строк.
Конрад написал программку, которая с помощью регулярных выражений извлекает нужные фрагменты данных — названия компаний с URL — и генерирует результат в формате Markdown по шаблону.
В результате получился список всех партнёров, и у каждой — свой уникальный документ c условиями конфиденциальности. Вот этот список: vendors.md.
В нём 647 компаний.
Очевидно, что никто не сможет ознакомиться со всеми этими условиями прежде, чем нажать кнопку «Согласиться», делает вывод автор.
Помните, что эти рекламные провайдеры предоставляют одни и те же услуги разным сайтам. Они однозначно идентифицируют браузер и устройство, поэтому могут анализировать и отслеживать ваши действия на разных сайтах для создания максимально точного профиля. На каждого якобы анонимного пользователя собираются большие объёмы данных.
Проблема ужесточения требований в отношении использования cookie-файлов обсуждается с момента вступления в силу Европейского регламента о защите данных (далее GDPR), а так же публикации проекта изменений ePrivacy Directive (наиболее известной как «Положение о конфиденциальности и электронных коммуникациях»). Именно эти документы официально определяют cookie-файлы как персональные данные и предусматривают экстерриториальную ответственность, а также наложение колоссальных штрафов на владельцев сайтов за незаконное использование таких файлов. Мы уже проводили обзор штрафов за нарушение основных принципов GDPR, однако ни один из них не включал в себя нарушений, связанных с обработкой cookie-файлов. Зачастую, в отсутствие судебных практик и реальных наказаний, у представителей бизнеса создается ощущение защищенности, другими словами: «Пока гром не грянет – мужик не перекрестится». Но раскаты грома уже давно доносятся – одним из наиболее крупных штрафов за нарушение, связанное с установкой cookie, является штраф в 30 000 евро, выписанный в октябре 2019 года испанским органом по защите данных авиакомпании Vueling за отсутствие возможности для пользователя отказаться от установки сторонних cookie.
В силу особенностей профессии, посещая различные сайты, невольно анализируешь их на предмет соответствия известным нормативно-правовым актам в области защиты персональных данных. В результате очередного такого анализа стало ясно, что в погоне за реализацией требований GDPR многие компании озаботились вопросом «наведения порядка» на своих веб-ресурсах. Однако по причине непонимания требований или же в отсутствие желания «портить» пользовательский интерфейс сайта, создается впечатление, что каждая вторая организация некорректно реализует политику использования cookie-файлов на своих ресурсах.
Правила реализации политики использования cookie-файлов
С точки зрения GDPR и ePrivacy, правила использования cookie-файлов ничем не отличаются от правил обработки всех остальных персональных данных и должны выполняться в случае, если на сайте используются какие-либо cookie, позволяющие сформировать профиль пользователя в сети. Однако это не касается:
- cookie, строго необходимых для корректной работы сайта;
- cookie, строго необходимых для предоставления онлайн-сервиса пользователю, например, когда пользователь заполняет онлайн-форму, использует корзину для покупок, или аутентифицируется на сайте для входа в систему предоставления онлайн-услуг
- Установка cookie должна осуществляться только с предварительного согласия пользователя.
- Это согласие должно быть дано посредством четкого, подтверждающего выбор пользователя, действия, при этом если используется форма, в которой необходимо установить отметку в виде галки/флажка, такая отметка не может быть выставлена по умолчанию.
- Пользователю в четкой и понятной форме должна быть представлена информация о назначении cookie, целях установки, сроках действия, а также информация о третьих лицах, которым передаются пользовательские данные.
- Пользователь должен иметь возможность полного или частичного отзыва согласия в любое время.
- И что немаловажно для владельцев сайта – все согласия на установку cookie-файлов должны быть зафиксированы, ведь владелец сайта, являясь контролером или обработчиком, должен иметь возможность подтвердить факт получения согласия.
Основные ошибки в реализации политики использования cookie-файлов или как делать не нужно
Рассмотрим три примера неправильной реализации политики использования cookie-файлов, которые наиболее часто встречаются среди сайтов контролеров и обработчиков персональных данных.
Пример 1. Баннер, предупреждающей, что, продолжая использовать сайт, вы даете согласие на использование cookie.
Такая практика широко распространена как среди российских, так и среди европейских веб-ресурсов. В качестве примера рассмотрим сайт Итальянского магазина косметики. Согласно представленной на сайте политике обработки cookie, пользователю устанавливаются технические cookie, функциональные cookie и cookie сторонних маркетинговых кампаний.
При этом дословный перевод предупреждения на баннере внизу страницы гласит: «Этот сайт использует технические, аналитические и сторонние файлы cookie для профилирования. Если вы выберете «Продолжить» или получите доступ к любому контенту на нашем сайте без определения вашего выбора, вы даете согласие на использование файлов cookie. Чтобы узнать больше и отказаться от согласия на установку cookie, нажмите здесь.»
В данном случае нарушаются все правила, упомянутые ранее:
- Файлы cookie устанавливаются сразу в момент открытия сайта пользователем.
- Продолжение использование сайта или нажатие кнопки продолжить не является четким подтверждающим действием, так как пользователю не предоставляется право выбора, и он не может отказаться от установки cookie.
- Информация, представленная в политике использования cookie, не содержит в себе конкретных сроков хранения тех или иных cookie.
- Механизм отзыва согласия на установку cookie на самом сайте не предусмотрен, взамен этого предлагается отказаться от установки cookie посредством настроек браузера.
- Так как механизм получения согласия не предусмотрен, то и подтвердить, что такое согласие было получено, попросту, невозможно.
Баннер с согласием, представленный на сайте, соответствует рассматриваемым нами правилам, а руководство по защите данных, на которое присутствует ссылка в тексте, достаточно подробно описывает политику компании в отношении cookie-файлов. В русской версии баннер с согласием выглядит так:
Однако если копнуть глубже и попробовать открыть не главную страницу сайта, а, например — получается магия.
Магия заключается в том, что баннер, который, вроде, и отвечает всем требованиям, по факту не работает. Установка cookie, отличных от строго необходимых, не блокируется до совершения разрешающих действий, а значит, что и «отличником» сайту уже точно не быть. В данном случае из 5 правил, можно сказать о соблюдении только правил 2 и 3.
Пример 3. Недостаточно прозрачная политика использования cookie
Сайт имеет баннер согласия с возможностью управления отдельными cookie.
И, что немаловажно, механизм блокировки работает:
До получения согласия
После получения согласия
Однако, информация об использовании cookie содержит в себе слишком мало конкретики – не приведены ни перечень лиц, чьи сторонние cookie устанавливает сайт, ни сроки хранения хотя бы отдельных групп cookie на сайте. В таких случаях нарушается один из главных принципов GDPR — Прозрачности обработки, следовательно не выполняется и правило 3. Примером вполне прозрачной политики использования cookie является политика, опубликованная на сайте европейской комиссии.
Кроме того, что рассмотренные примеры являются показательными с точки зрения распространённых ошибок в реализации требований европейского законодательства в области защиты данных и конфиденциальности, они также демонстрируют, что работа европейских регуляторов заставляет многих Контролеров и Обработчиков озаботиться вопросами соответствия требованиям. И если два года назад на подавляющем большинстве сайтов тема использования cookie вовсе не поднималась, то сейчас ситуация кардинально меняется, что не может не радовать пользователей, заинтересованных в получении контроля над своими данными – ведь, со слов Европейской комиссии по защите данных, именно для этого был разработан GDPR.
Практика показывает, что в текущих реалиях владельцам сайтов, являющимся контролерами или обработчиками, остается два варианта:
- самостоятельно или с привлечением внешних специалистов обеспечить абсолютное выполнение установленных правил;
- отказаться от использования каких-либо cookie-файлов, кроме тех, что влияют на корректную работу сайта и предоставление основных услуг клиентам, как это реализовано на сайте Испанского агентства по защите данных.
Ирина Лапуриди
Специалист по защите информации, Акрибия
Изменения в законодательстве, начинающие действовать с начала 2018 года и включающие в себя самые разнообразные области нашей с вами жизнедеятельности (закон о мессенджерах, о телемедицине и т.д.) объединяет одно – все большее проникновение информационных сервисов в нашу жизнь. Естественным является факт, что как и в реальной жизни, для получения человеком какой-либо услуги ему требуется пройти идентификацию. В офф-лайновой жизни средством авторизации является паспорт гражданина, а в он-лайн сфере таковым средством правительство решило признать ЕСИА — единая система идентификации и аутентификации.
Вот о ней и хотелось бы поговорить. Это ознакомительная статья, можно сказать ликбез. Для знакомства людей, которые еще не знают, что при необходимости можно использовать ЕСИА у себя в проектах и идти в ногу со временем вместе с государством. И так, что же это за зверь и как его рассматривает правительство.
Минкомсвязь России в рамках инфраструктуры электронного правительства создала и развивает Единую систему идентификации и аутентификации (ФГИС ЕСИА), цель которой — упорядочить и централизовать процессы регистрации, идентификации, аутентификации и авторизации пользователей.
1. Предоставляет информационным системам решение по достоверной идентификации пользователей (физических и юридических лиц, органов государственной власти).
Достоверность достигается за счет того, что:
- регистрация лица в ЕСИА сопряжена с проверкой значимых для удостоверения личности критериев;
- ЕСИА обеспечивает защиту размещённой в ней информации в соответствии с законодательством Российской Федерации.
- идентификации и аутентификации с использованием единой учетной записи и широкого спектра поддерживаемых методов аутентификации при доступе к различным информационным системам органов государственной власти;
- управления своими персональными данными, размещенными в ЕСИА, и контроля над их предоставлением в информационные системы органов государственной власти.
Законодательство со временем корректируется, и вместе с ним расширяется перечень организаций, которым разрешено подключиться к ЕСИА.
Люди, не знакомые с ситуацией, при слове «государственная» сразу представляют себе каналы связи, которые необходимо защитить при помощи отечественных криптоалгоритмов со всеми вытекающими затратами, лицензиями и оборудованием. Но, как бы смешно это не было (или печально), главная площадка для идентификации в стране – работает с иностранной криптографией (а куда деваться).
Поэтому, если вы хотите воспользоваться услугами данной платформы, то можете размещать свои ресурсы где у годно в нашей огромной стране, в том числе и в нашей инфраструктуре Cloud4Y.
Что же может получить коммерческая организация из ЕСИА?
Перечень доступных к получению сведений зависит от:
- Категории организации, подключающейся к ЕСИА
- Использованного способа подключения к ЕСИА
Государственные организации могут получать из ЕСИА полный набор данных о пользователе и его организациях. Это следующие сведения:
- личные данные (ФИО, пол, дата и место рождения, гражданство)
- данные идентификационных документов (СНИЛС, ИНН, общегражданский и заграничный паспорт, свидетельство о рождении, водительское удостоверение, военный билет, полис ОМС)
- контактная информация (email, мобильный и домашний телефон, адреса регистрации и проживания)
- сведения о детях (личные данные и документы)
- сведения о транспортных средствах (номер и свидетельство о регистрации)
- сведения об организациях и ИП (наименование, ОГРН, ИНН/КПП, организационно-правовая форма, юридический адрес, контакты, филиалы, списки сотрудников, полномочия сотрудников, транспортные средства организации)
- данные учетной записи (идентификатор аккаунта в ЕСИА, признак «подтвержденности» аккаунта)
Как подключиться?
Чтобы подключить сайт своей организации, нужно пройти несколько довольно несложных процедур.
В общих чертах для подключения к ЕСИА нужно:
- Убедиться, что вашей организации можно подключать свои системы к ЕСИА.
- Директору организации с помощью веб-приложения «Профиль ЕСИА» зарегистрировать организацию в ЕСИА.
Здесь нужно заметить, что с 01.01.2018 г. взаимодействие по протоколу SAML 2.0 больше не будет разрешено (только для действующих систем). Для подключения к ЕСИА необходимо будет использовать протокол OAuth 2.0 / OpenID Connect (сейчас доступны оба варианта).
Аутентификация пользователя в системе
Рекомендуемый сценарий аутентификации пользователя при интеграции по OpenID Connect 1.0 в его базовом виде происходит по следующему сценарию:
Подключаться или нет?
За операторов, в связи со вступлением в действие закона о мессенджерах данный вопрос практически решен.
Напомним, в соответствии с Федеральным законом №245 «О внесении изменений в Федеральный закон «О связи» от 29 июля 2017 года, операторы связи обязаны проверять достоверность сведений об абоненте. В законе закреплен перечень способов проверки, одним из которых является использование Единого портала государственных и муниципальных услуг или информационных систем госорганов при наличии подключения к ним у операторов через СМЭВ.
Поправки в ФЗ «О связи» вступают в силу 1 июня 2018. До этого времени операторы связи смогут протестировать работу своих систем со СМЭВ и ЕСИА.
Читайте также: