Существуют ли строгие требования по использованию баннеров уведомлений о cookies? Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)? Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?
Категории вопросов:

Существуют ли строгие требования по использованию баннеров уведомлений о cookies? Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)? Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?

Автор:
Агатаева Маншук
24.12.2024 10:00
84
Раздел:  Все ответы

Вопрос:

Существуют ли строгие требования по использованию баннеров уведомлений о cookies? Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)? Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?

Ответ:

При разработке веб-сайтов о системах, программном обеспечении и справочной информации в СТ РК ISO/IEC/IEEE 23026-2017 Разработка систем и программного обеспечения Разработка и администрирование веб-сайтов для систем, программного обеспечения и информации о службах (далее - СТ РК 23026-2017) предусмотрены определенные требования, указанные в разделе 7 СТ РК 23026-2017, а именно:

Существуют ли строгие требования по использованию баннеров уведомлений о cookies?

Подпункт 7.3.3 Отслеживание посещений и куки

В плане проекта должно быть задокументировано решение об использовании или не использовании файлов куки (cookie); И реализация должна соответствовать этому плану.

Также в пункте 7.6. СТ РК 23026-2017 указано:

7.6 Безопасность

Владелец веб-сайта или провайдер веб-сайта должны иметь политику безопасности для защиты деловых и личных данных. Поскольку некоторые уязвимости позволяют неавторизованным лицам запускать вредоносный код и, таким образом, взять контроль над любым устройством с МАС-адресом и IP-адресом, разработчики веб-сайтов и провайдеры должны принимать меры предосторожности, чтобы предотвратить превращение своего сайта в источник вредоносных программ.

Политика безопасности для веб-дизайна, контроля безопасности и практики в области развития должны быть доступны для разработчиков и службы поддержки, независимо от того, создаётся ли новая или улучшается существующая страница или сайт.

Защита веб-сайта состоит из контроля пользовательского доступа, а также взаимодействия между компьютерами, к примеру, электронных устройств для корпоративного пользования, а также электронных устройств и других потребительских продуктов с возможностью сетевого подключения, включая удаленный доступ и мониторинг. Такие сетевые устройства имеют МАС-адрес и получают IP-адрес в домашней или корпоративной сетевой среде и поэтому являются слабым местом системы безопасности. Также, проблемы с безопасностью могут возникнуть при настройке рабочей среды.

Примечание - Элементы управления, обозначенные в ISO 27001: 2013, должны использоваться в качестве рекомендации или нормативных требований. Общие уязвимости включают в себя внедрение вредоносного кода, межсайтовый скриптинг/XSS, проблемы с идентификацией /управление сеансами, ненадежные ссылки на прямые объекты, поддельные запросы для разных сайтов, неправильную конфигурацию безопасности, незащищенное хранилище криптографических данных, невозможность ограничить доступ по URL-адресу, недостаточная защита на транспортном уровне и недействительные перенаправления.

Политика безопасности должна охватывать следующие виды деятельности:

a) Авторизацию,

b) Идентификацию - в том числе контроль паролей в случаях, когда идентификатор пользователя/пароль используется вместо аппаратного токена/РШ-кода и управление сеансом,

c) Проверки,

d) Обеспечение надлежащего баланса конфиденциальности, целостности и доступности всех данных веб-сайта,

e) Шифрование,

f) Использование куки и других пользовательских данных,

g) Рекомендации по кодированию,

h) Конфиденциальность и обработку личной идентифицирующей информации,

i) Роли и обязанности владельцев веб-сайтов и разработчиков,

j) Предотвращение внедрений кода SQL при использовании баз данных,

k) Архитектуру и конфигурацию системы, которая может включать отдельные серверы веб-приложений, серверы баз данных, а также кластеризацию, балансировку нагрузки или виртуализацию,

Таким образом, для соблюдения безопасности необходимо использовать в баннерах уведомлений о файлах cookie.

  1.  Обязательно ли предоставлять пользователям возможность выбора (принять/отклонить/настроить)?

В пп.7.3.3 СТ 23026-2017 указано, что использование файлов куки должно быть обозначено, и пользователь должен знать о получении этих файлов. Сайты, использующие файлы куки, веб-маяки или другие технологии, которые собирают информацию действиях клиентов, должны содержать на домашней странице или странице общей информации положение о конфиденциальности, которое обосновывает использование ими этой технологии. Если собирается информация на предыдущем сайте, или информация предоставляется другим организациям, сайты должны открыто об этом заявить. Если сайт не получает требуемые файлы куки, он должен уведомить об этом пользователя, в виде сообщения об ошибке (автоматизировать процесс проверки нелегко).

В пп.7.6.3 СТ 23026-2017 предусмотрено, что у пользователя должен быть выбор - использовать или не использовать файлы куки. При первой авторизации на сайте, пользователь должен быть проинформирован о том, какая информация сохраняется в виде файлов куки, о последствиях отказа от использования файлов куки и о том, как информация из файлов куки используется между сеансами. Куки должны быть установлены с индикатором, который должен быть удален в конце сеанса, если он не используется для функции автоматического входа в систему. Использование файлов куки между посещениями одной страницы должно выполняться только в том случае, если одна страница посещается несколько раз в течение одного сеанса.

Использование сторонних файлов куки (аналитики, скриптов и изображений или если файл куки включает в себя какой-либо внешний контент) может привести к непреднамеренному внедрению вредоносного ПО и поэтому все риски должны быть взвешены.

Таким образом, необходимо уведомлять посетителей сайта о сборе Cookie, а также включить опцию «принять» и «отклонить», чтобы у посетителей было право выбора.

  • Есть ли необходимость публиковать на сайте полный список cookies с их описанием и назначением?

В Казахстане нет строгой законодательной необходимости публиковать на сайте полный список файлов cookie с их описанием и назначением. Тем не менее, предоставление такой информации является лучшей практикой, которая способствует повышению доверия пользователей и прозрачности.

Включите информацию о типах файлов cookie, которые используются (например, обязательные, аналитические, функциональные и рекламные), и опишите их основные функции.

В политике конфиденциальности или на отдельной странице укажите, какие данные собираются с помощью cookie, как они используются и кем (например, сторонними сервисами).

Предоставьте пользователям возможность выбирать, какие категории cookie они готовы принимать, если это возможно.

Хотя, такие меры не являются обязательными в Казахстане, их внедрение повышает репутацию сайта и соответствует международным стандартам.

Уважаемые пользователи! Информация в ответе соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.

Вам также может быть интересно: