Авторизация через соцсети с соблюдением ФЗ-152. Кто может реализовать ?

Друзья, всем привет!

Есть кто может разработать такой компонент с виджетами, когда перед тем как выбрать соцсеть для регистрации надо дать согласие на обработку персональных данных? РКН сейчас активно мониторит сайты и отправляет предписания.

Также важно определить логику работы регистрации и авторизации через западные соцсети. В описании тоже есть информация об этом.

Описал базовую логику

docs.google.com/document/d/1TP75vjU5U9pI18lwmluxBYYU8fdK33JKgurS0erCUSg/edit?usp=sharing

Если кто может реализовать, напишите пожалуйста бюджет здесь в теме или в ЛС.

Да, еще мессенджер МАХ добавил, так как все активнее там появляются люди.

Друзья, кому тоже актуально, пишите, чтобы разработчики увидели сколько человек в сообществе заинтересованы в нем здесь и сейчас)

Мне кажется, что в связи с изменениями законодательства необходимо уже включить «в коробку» механизм получения от пользователей согласия на обработку персональных данных. С возможностью для главного администратора подтвердить это согласие в случае какого либо запроса от РКН и т.д.

Да есть же уже регистрации/авторизации.

Какую из регистраций/авторизаций вы хотите подточить под ФЗ? Парвиза или Zau4man? Или сделать третий вариант?

сперва проделайте вот это:

Определение уровня защищенности персональных данных
 Для определения уровня защищенности необходимо установить категории обрабатываемых
персональных данных субъектов (физических лиц), вид обработки по форме отношений между
субъектами и организацией, количество субъектов, а также тип угроз актуальных для
информационной системы.

 Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
 1 группа — специальные категории ПДн, к которым относятся информация о национальной и
расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях,
информацию о здоровье и интимной жизни субъекта;
 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или
физиологические особенности субъекта и используемые для установления личности, например,
фотография или отпечатки пальцев;
 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к
которым предоставлен самим субъектом;
 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

что в связи с изменениями законодательства необходимо уже включить «в коробку» механизм получения от пользователей согласия на обработку персональных данных. С возможностью для главного администратора подтвердить это согласие в случае какого либо запроса от РКН и т.д.

да ну нафиг. лучше, как инстант установил — сразу на счете прибавился 1 мульон рублей. а ещё лучше 10

далее, про ФЗ

Атестация или Оценка
 При обработке любых персональных данных необходимо проводить оценку эффективности
принимаемых мер по защите ПДн (пункт 4 часть 2 статья 19 152-ФЗ). При этом процесс такой оценки
может быть разным. В зависимости от выбора формы оценки эффективности, после ее проведения
компания получает аттестат или акт оценки эффективности.
 Необходимость аттестации часто зависит от обрабатываемых данных и отрасли, в которой
работает компания. Аттестацию проводит лицензиат ФСТЭК — она накладывает дополнительные
ограничения на работу с информационной системой.

Аттестация систем
Нужна государственным и муниципальным системам. Коммерческим компаниям аттестация
может потребоваться в случае подключения к некоторым государственным системам или для
выполнения требований договора. Например, это касается медицинских организаций, B2G-сервисов,
финансовых и страховых компаний.

Акт оценки эффективности
Требуется от всех операторов персональных данных в соответствии с п.4 части 2 статьи 19
152-ФЗ. Это менее формальная процедура, для которой не требуется обязательное применение
сертифицированных средств защиты. Компании проводят такую оценку самостоятельно или с
привлечением подрядчика, имеющего лицензию ФСТЭК.

Dublic, РКН смотрит сначала базу — есть ли согласие, не проставлена ли галочка, что написано в согласии, а также правилах обработки перс данных. Если там все ОК, то вопросы дальнейшие вообще могут не возникать, если вы только не какая-то миллиардная компания, куда можно прийти в офис и проверить сейф, в котором все должно лежать. В РКН тоже люди работают и им важно, чтобы визуально на сайте было все ОК.

Буквально вчера знакомому пришел запрос на устранение недочетов на сайте в виде обязательной галочки и правил обработки перс данных и сбора кукисов, так как стоит Яндекс. Никаких других запросов не было и скорее всего не будет.  

пришел запрос на устранение недочетов на сайте в виде обязательной галочки и правил обработки перс данных и сбора кукисов, так как стоит Яндекс. Никаких других запросов не было и скорее всего не будет. 

Если сайт получает адрес e-mail пользователя и… всё. То никаких вопросов вообще не будет. Понятно, если начать требовать данные паспорта, то подход контролирующих органов будет совсем другой.

да ну нафиг. лучше, как инстант установил — сразу на счете прибавился 1 мульон рублей. а ещё лучше 10

Ну и к чему это написано? Я что-то нереально крутое и сложное предложил, что сопоставимо с суммой в 10 мультов?

Если сайт получает адрес e-mail пользователя и… всё. То никаких вопросов вообще не будет. Понятно, если начать требовать данные паспорта, то подход контролирующих органов будет совсем другой.

Наличие Яндекс.Метрики на сайте без прописанной в Политике информации — это уже триггер для РКН. Это они сейчас и делают, проверяя дополнительно и формы образтной связи, а также регистрации на сайте. 

Ну и к чему это написано? Я что-то нереально крутое и сложное предложил, что сопоставимо с суммой в 10 мультов?

это я к тому написал, что в базовой версии есть всё необходимое для любых задач и даже больше, где какие галочки ставить сохранять и прочее каждый это может сделать без включения в базовый дистрибутив CMS. Вы приводите «законодательство», а законодательство относится к вам как к оператору ПД, а не к instantcms. Т.е. соответствовать законодательству в части обработки ПД это ваша задача, а instantcms к этому не имеет никакого отношения

Ну и к чему это написано? Я что-то нереально крутое и сложное предложил, что сопоставимо с суммой в 10 мультов?

Поэтому речь про тот функционал, которого нет в движке — это регистрация и авторизация через соцсети, которые работают по описанной мной логике. Также тема создана в топике про «Разработку дополнений». При этом запрос не на бесплатность, а на платность такой разработки, без ограничений для разработчика опубликовать на бесплатной или платной основе далее в каталоге.
Т.е вопрос не к движку. В движке в формах появилась возможность формировать согласие и получать его, за что Fuze огромное спасибо.

про тот функционал, которого нет в движке — это регистрация и авторизация через соцсети

этого и не должно быть в движке по умолчанию. Суть в чем....

Бессмысленно делать такого рода «авторизацию по ФЗ», этот как прикладывать подорожник когда нога сломана. Я например, решил сделать так: взял уже готовый (но брошенный) компонет Логирование действий пользователей, его обновляю под php-8.3 и немного переделываю, он будет регистрировать все действия всех выбранных групп пользователей на какой-то период (посмотрю что там в ФЗ про это написано). Следовательно, потом легко будет клацнуть и выбрать «согласия с ПДн» и мне вывалится в разрезе последний месяц или год, далее кто и через что авторизовывался или регистрировался. Ну т.е. это и будет инструмент контроля действий на сайте. А далее уже, подвязываю компонент регистрации, который я покупал у Zau4man, немного переработал этот компонент для интеграции с логированием.

Подытожим. Получится полноценная система контроля и логирования как ПДн так и действий пользователей (в частности), что в принципе и требует ФЗ. Ещё версионирование планирую прикрутить, для анализа аномального поведения по выбранным материалам: статьи, блоги, страницы, профили пользователей.

Да, еще мессенджер МАХ добавил, так как все активнее там появляются люди.

Прилепить МАХ не сложно. Вопрос в том как «туташние формчане» его будут тестировать? МАХ даёт доступ к интеграциям пока только ИП и ООО (т.е. физ ип и юр лицам) — а частникам не даёт.

А далее уже, подвязываю компонент регистрации, который я покупал у Zau4man, немного переработал этот компонент для интеграции с логированием.

Шикарное решение. Не хотите сделать из этого полноценный компонент?

Если кому надо (как пример ТЗ), у меня такое ТЗ сформировано для своего проекта (тз прикрепил к сообщению)

Шикарное решение. Не хотите сделать из этого полноценный компонент?

в один решили не впихивать, его не удобно будет обслуживать. оставили в виде двух отдельных компонентов

Не хотите сделать из этого полноценный компонент?

поправочка небольшая. ТЗ выше это обобщенное ТЗ. Более детальное ТЗ привело к разделению на три компонента. т.к. нужна возможность  кратковременного отключения этих компонентов, например на 2-3 часа отключить авторизацию-регистрацию, так чтоб текущие авторизованные юзеры продолжили работу в системе и т.д. В результате детализированное ТЗ превратилось в «портянку» из 25 листов 😒 пришлось выделить MVP

Пример как у регру сейчас 

полагаю, что скоро будут заставлять все сайты, абсолютно все, которые работают с пользовательскими данными (фио, почты, тел) — делать авторизацию через госуслуги 🤣🤣 (смех, смехом, но в эту сторону чутка ветерок подул)

а может и к лучшему, что анонимный рунет растворится в истории, превратившись деанонимизированный рунет, хотя по этому пути идёт весь интернет (а не только рунет)

Через Max скорее, так как через госуслуги надо еще постараться получить такую возможность)