Отримай персональний Сертифікат Клубу УП від

Застосунок "Дія": захист персональних даних і безпека

Субота, 08 лютого 2020, 14:46

Смартфон кожної людини містить масу персональної інформації – фото, контакти, листування, історія пересувань, банківські картки з можливістю NFC-оплат. Про захист всього цього піклується як сам користувач, так і виробники смартфонів, операційних систем і додатків.

Когось з користувачів захист персональних даних хвилює більше, когось – менше. Але вже точно абсолютно байдужих до цього питання людей не існує.

Команда Мінцифри – такі ж люди, у яких є смартфони. При цьому ми не тільки розуміємо важливість захисту персональних даних, а й несемо за неї відповідальність перед українцями при розробці своїх продуктів.

Днями ми презентували нашу улюблену "дитину" – мобільний застосунок "Дія", завдяки якому українці можуть завантажити в смартфон електронні версії своїх документів: вже зараз – посвідчення водія і техпаспорт, через місяць – ID-карти, біометричні паспорти та студентські.

І моє щире бажання, як людини, і обов'язок, як міністра, – розвіяти побоювання з приводу захисту даних в "Дії".

Тому, розповім вам, як ми дбаємо про безпеку застосунку "Дія".

1. Всі користувачі проходять ідентифікацію через банки, в яких обслуговуються

Коли користувач тільки завантажив "Дію", перше, що він робить – авторизується з програми за допомогою технології BankID.

Ця технологія дає громадянину можливість пройти ідентифікацію через свій банк, у якому зберігається необхідна інформація про клієнта.

Такий спосіб ідентифікації є досить надійним і його застосування – традиційна практика для багатьох розвинених країн світу.

До нашого застосунку підключені популярні Приватбанк, а також система BankID Національного банку України, в яку входять 12 банків.

До банківських систем пред'являються високі вимоги безпеки.

2. "Дія" пройшла масштабне тестування

Забезпечити високий рівень захисту застосунку нам багато в чому дозволила співпраця з компанією EPAM – одним зі світових лідерів у сфері IT-розробок. Наш партнер приділяє чимало уваги питанню захищеності інформації.

Архітектура "Дії" побудована таким чином, що на серверній частині програми не здійснюється постійне зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах використовується подвійне шифрування.

Захист персональних даних у мобільному застосунку "Дія" виконаний за кращими практиками безпеки для рішень такого типу, використано підхід "глибокого захисту" (defense-in-depth).

Крім того, разом з IT-фахівцями EPAM ми серйозно підійшли до тестування нашого за стосунку. Зокрема провели так звані пен-тести, тобто тестування безпеки програми.

По суті ми спробували, в тому числі із залученням зовнішніх ІТ-фахівців, "хакнути" "Дію", щоб виявити всі вразливі місця. Це дозволяє мені сказати, що "Дія" на сьогоднішній день є достатньо захищеним застосунком.

Реклама:

3. Пред'явника документа можна перевірити

А тепер – важливий момент, на який хочу звернути увагу користувачів.

Механізм верифікації документів у "Дії" заснований на QR-коді, що генерується застосунком. Він не містить ніякої персональної інформації і є дійсним лише протягом 3 хвилин.

По суті – це такий тимчасовий лінк. А значить, ризик того, що хтось встигне сфотографувати ваш код і тим самим отримає доступ до вашого документа – мінімальний.

Важливо, що за допомогою QR-коду перевірити достовірність документів можуть не тільки представники поліції, але і ви самі.

За допомогою будь-якого смартфона, зі встановленим на ньому застосунком "Дія", можна зчитати QR-код з іншого смартфона (за допомогою камери або спеціального застосунку для зчитування QR-кодів) і переконатися в достовірності документа.

Цікавий факт – з точки зору безпеки, цифрові документи в смартфоні є більш захищеними, ніж фізичні. "Дія" дає можливість завантажити техпаспорт тільки власника авто. У той же час Єдиний транспортний реєстр містить записи-клони – не секрет, що це досить поширена практика в Україні.

4. Всі дані користувачів "Дія" знаходяться в Україні

Ще один дуже важливий момент – усі сервери мобільного застосунку "Дія" знаходяться в Україні. Тобто ніяка інформація про користувачів не йде за кордон.

Серверна частина системи розгорнута у хмарній інфраструктурі ще одного нашого партнера – компанії De Novo, що має необхідні сертифікати безпеки.

Єдиний раз, коли ми залучили закордонну компанію – лише для захисту від атак розподіленого доступу (DDOS-атак). Для цього ми використовуємо інфраструктуру компанії Amazon, яка частково розташована в Німеччині.

Читайте також: Держава в смартфоні стартувала: як працюватиме додаток "Дія" і чи варто переживати за безпеку

І наостанок хочу сказати: ми розуміємо, що забезпечення безпеки – це не результат, а процес.

Над "Дією" працює крута команда, ми постійно розвиваємо і покращуємо мобільний застосунок. Але на 100% убезпечитися від абсолютно всіх вразливостей неможливо.

Велика імовірність, що після всеукраїнського релізу будуть спроби зламати додаток. Проте ми готові до таких викликів і завдяки їм отримаємо додаткову можливість зробити нашу "Дію" ще більш захищеною.

Михайло Федоров, віце-прем'єр-міністр – міністр цифрової трансформації України, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.
Реклама:
Шановні читачі, просимо дотримуватись Правил коментування

Як попит стимулює технологічну революцію?

Чому державі потрібен експорт української зброї

Чому Україні варто розвивати розподілену генерацію

Як комбіноване медичне попередження на тютюнових виробах рятує життя

НБУ рік тому "відпустив" курс: на що це вплинуло та чого чекати

Ми тут (не) потрібні