Существуют ли строгие требования по использованию баннеров уведомлений о cookies? Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)? Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?
Вопрос:
Существуют ли строгие требования по использованию баннеров уведомлений о cookies? Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)? Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?
Ответ:
При разработке веб-сайтов о системах, программном обеспечении и справочной информации в СТ РК ISO/IEC/IEEE 23026-2017 Разработка систем и программного обеспечения Разработка и администрирование веб-сайтов для систем, программного обеспечения и информации о службах (далее - СТ РК 23026-2017) предусмотрены определенные требования, указанные в разделе 7 СТ РК 23026-2017, а именно:
Существуют ли строгие требования по использованию баннеров уведомлений о cookies?
Подпункт 7.3.3 Отслеживание посещений и куки
В плане проекта должно быть задокументировано решение об использовании или не использовании файлов куки (cookie); И реализация должна соответствовать этому плану.
Также в пункте 7.6. СТ РК 23026-2017 указано:
7.6 Безопасность
Владелец веб-сайта или провайдер веб-сайта должны иметь политику безопасности для защиты деловых и личных данных. Поскольку некоторые уязвимости позволяют неавторизованным лицам запускать вредоносный код и, таким образом, взять контроль над любым устройством с МАС-адресом и IP-адресом, разработчики веб-сайтов и провайдеры должны принимать меры предосторожности, чтобы предотвратить превращение своего сайта в источник вредоносных программ.
Политика безопасности для веб-дизайна, контроля безопасности и практики в области развития должны быть доступны для разработчиков и службы поддержки, независимо от того, создаётся ли новая или улучшается существующая страница или сайт.
Защита веб-сайта состоит из контроля пользовательского доступа, а также взаимодействия между компьютерами, к примеру, электронных устройств для корпоративного пользования, а также электронных устройств и других потребительских продуктов с возможностью сетевого подключения, включая удаленный доступ и мониторинг. Такие сетевые устройства имеют МАС-адрес и получают IP-адрес в домашней или корпоративной сетевой среде и поэтому являются слабым местом системы безопасности. Также, проблемы с безопасностью могут возникнуть при настройке рабочей среды.
Примечание - Элементы управления, обозначенные в ISO 27001: 2013, должны использоваться в качестве рекомендации или нормативных требований. Общие уязвимости включают в себя внедрение вредоносного кода, межсайтовый скриптинг/XSS, проблемы с идентификацией /управление сеансами, ненадежные ссылки на прямые объекты, поддельные запросы для разных сайтов, неправильную конфигурацию безопасности, незащищенное хранилище криптографических данных, невозможность ограничить доступ по URL-адресу, недостаточная защита на транспортном уровне и недействительные перенаправления.
Политика безопасности должна охватывать следующие виды деятельности:
a) Авторизацию,
b) Идентификацию - в том числе контроль паролей в случаях, когда идентификатор пользователя/пароль используется вместо аппаратного токена/РШ-кода и управление сеансом,
c) Проверки,
d) Обеспечение надлежащего баланса конфиденциальности, целостности и доступности всех данных веб-сайта,
e) Шифрование,
f) Использование куки и других пользовательских данных,
g) Рекомендации по кодированию,
h) Конфиденциальность и обработку личной идентифицирующей информации,
i) Роли и обязанности владельцев веб-сайтов и разработчиков,
j) Предотвращение внедрений кода SQL при использовании баз данных,
k) Архитектуру и конфигурацию системы, которая может включать отдельные серверы веб-приложений, серверы баз данных, а также кластеризацию, балансировку нагрузки или виртуализацию,
Таким образом, для соблюдения безопасности необходимо использовать в баннерах уведомлений о файлах cookie.
- Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)?
В пп.7.3.3 СТ 23026-2017 указано, что использование файлов куки должно быть обозначено, и пользователь должен знать о получении этих файлов. Сайты, использующие файлы куки, веб-маяки или другие технологии, которые собирают информацию действиях клиентов, должны содержать на домашней странице или странице общей информации положение о конфиденциальности, которое обосновывает использование ими этой технологии. Если собирается информация на предыдущем сайте, или информация предоставляется другим организациям, сайты должны открыто об этом заявить. Если сайт не получает требуемые файлы куки, он должен уведомить об этом пользователя, в виде сообщения об ошибке (автоматизировать процесс проверки нелегко).
В пп.7.6.3 СТ 23026-2017 предусмотрено, что у пользователя должен быть выбор - использовать или не использовать файлы куки. При первой авторизации на сайте, пользователь должен быть проинформирован о том, какая информация сохраняется в виде файлов куки, о последствиях отказа от использования файлов куки и о том, как информация из файлов куки используется между сеансами. Куки должны быть установлены с индикатором, который должен быть удален в конце сеанса, если он не используется для функции автоматического входа в систему. Использование файлов куки между посещениями одной страницы должно выполняться только в том случае, если одна страница посещается несколько раз в течение одного сеанса.
Использование сторонних файлов куки (аналитики, скриптов и изображений или если файл куки включает в себя какой-либо внешний контент) может привести к непреднамеренному внедрению вредоносного ПО и поэтому все риски должны быть взвешены.
Таким образом, необходимо уведомлять посетителей сайта о сборе Cookie, а также включить опцию «принять» и «отклонить», чтобы у посетителей было право выбора.
- Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?
В Казахстане нет строгой законодательной необходимости публиковать на сайте полный список файлов cookie с их описанием и назначением. Тем не менее, предоставление такой информации является лучшей практикой, которая способствует повышению доверия пользователей и прозрачности.
Включите информацию о типах файлов cookie, которые используются (например, обязательные, аналитические, функциональные и рекламные), и опишите их основные функции.
В политике конфиденциальности или на отдельной странице укажите, какие данные собираются с помощью cookie, как они используются и кем (например, сторонними сервисами).
Предоставьте пользователям возможность выбирать, какие категории cookie они готовы принимать, если это возможно.
Хотя, такие меры не являются обязательными в Казахстане, их внедрение повышает репутацию сайта и соответствует международным стандартам.
Уважаемые пользователи! Информация в ответе соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.
-
Раздел: Все ответы
Ответ:
В соответствии с п. 3-1 ст. 1 Водного кодекса Республики Казахстан (далее по тексту - Кодекс), питьевое и (или) хозяйственно-питьевое водоснабжение (далее - питьевое водоснабжение) - технологический процесс, обеспечивающий забор, подготовку, хранение, транспортировку и подачу питьевой воды водопотребителям.
-
Раздел: Все ответы
Ответ:
Согласно статье 5 Закона Республики Казахстан от 7 июля 2004 года № 580-II «Об обязательном страховании гражданско-правовой ответственности владельцев объектов, деятельность которых связана с опасностью причинения вреда третьим лицам» (далее - Закон),
-
Раздел: Все ответы
Ответ:
В соответствии с п. 12 ст. 7 Закона Республики Казахстан от от 30 декабря 2021 года № 97-VII "Об ответственном обращении с животными" (далее - Закон), к компетенции уполномоченного органа в области ответственного обращения с животными относится: разработка и утверждение типовых правил содержания и выгула домашних животных.
-
Раздел: Все ответы
Ответ:
В соответствии с п. 4 ст. 4 Закона Республики Казахстан от 17 июля 2001 года № 245-II «Об автомобильных дорогах» (далее - Закон), частные автомобильные дороги являются собственностью физических и юридических лиц.
-
Раздел: Все ответы
Ответ:
В первую очередь Вам необходимо подготовить письменную досудебную претензию в адрес Контрагента следующего содержания:
-
Раздел: Все ответы
Ответ:
Компания может выбрать язык, который наиболее удобен или актуален для ее целевой аудитории. Однако, в соответствии с законами РК «О рекламе» (ст.6 п.2), «О языках» (ст.4 и 21) и «О регулировании торговой деятельности» (ст.32) информация распространяется на казахском языке, а по усмотрению также на русском и (или) других языках.
-
Раздел: Все ответы
Ответ:
Существуют различные законодательные акты, которые регулируют вопросы фото- и видеосъемки, а также защиту прав личности в контексте публичных мероприятий. Вот несколько ключевых нормативных актов, которые могут быть полезны для вашего изучения:
-
Раздел: Все ответы
Ответ:
Согласно ст. 7 Закона Республики Казахстан «Об архитектурной, градостроительной и строительной деятельности в Республике Казахстан» (далее-Закон) граждане как потребители результатов архитектурной, градостроительной и строительной деятельности имеют право:
-
Раздел: Все ответы
Согласно ст. 38 Закона Республики Казахстан от 22 апреля 1998 года № 220-I «О товариществах с ограниченной и дополнительной ответственностью», имущество товарищества с ограниченной ответственностью формируется за счет вкладов его учредителей (участников), доходов, полученных товариществом, а также иных источников, не запрещенных законодательством.
-
Раздел: Все ответы
Ответ:
Наличие досудебного спора, в том числе выставление претензии, само по себе не является автоматическим основанием для продления срока действия договора, если это не предусмотрено самим договором или законодательством.