Як повернути працівників на роботу після карантину
Міністерство цифрової трансформації відповідає на найпопулярніші запитання українців.
Чи можливо витягнути дані з Дії?
Застосунок «Дія» не зберігає персональних даних користувачів, а відображає інформацію з реєстрів на запит ідентифікованого громадянина. Мінцифри наголошує на тому, що через Дію неможливо оцифрувати документи або завантажити їх. На смартфонах Android навіть не має можливості зробити скрін із застосунку.
Дія — це винятково віддзеркалення вже наявних у громадян документів.
На серверній частині Дії взагалі не здійснюється зберігання персональних даних користувачів. Одночасно інформація в каналах передачі даних передається у зашифрованому вигляді, а на деяких етапах – використовується подвійне шифрування. Міністерство цифрової трансформації роз’яснює, що усі сервери мобільного застосунку розташовані в Україні, жодна інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі – КСЗІ. Єдине, де була залучена закордонна компанія, – це захист від атак розподіленого доступу (DDOS-атак). Для цього використали інфраструктуру компанії Amazon, яка частково розташована в Німеччині.
Дія пройшла низку позитивних як приватних, так і державних (ДССЗЗІ) аудитів.
Як здійснюється захист персональних даних?
Для захисту персональних даних у мобільному застосунку «Дія» використаний підхід «глибокого захисту» (defense-in-depth). Проведені відповідні пен-тести, тобто тестування безпеки застосунку компанією EPAM.
Які тести пройшов застосунок «Дія»?
Застосунок тестувала внутрішня команда EPAM, яка не була залучена до розроблення Дії. Для них це був новий, незнайомий продукт, що дозволило зберегти об'єктивність дослідження. Всього було залучено близько 20 експертів із кібербезпеки, серед яких – і фахівці EPAM Security Competence Center. З точки зору безпеки вони перевіряли і production backend, і мобільний застосунок. До того ж спільно із компанією EPAM команда Дії проводила тестування, до якого залучали білих хакерів, щоб виявити вразливі місця. Тому застосунок «Дія» є захищеним.
Як отримати кваліфікований електронний підпис
Чи можливо отримати персональні дані та доступ до банківських рахунків через BankID?
Коли користувач встановлює Дію, то першочергово проходить ідентифікацію за допомогою технології BankID. Проте, часто люди бояться, що через BankID зловмисники зможуть отримати доступ до банківських рахунків.
Мінцифри стверджує, що банки зберігають про користувачів два типи інформації:
- personal identifiable information (PII),
- personal credit card information (PCI).
За вимогами безпеки ці дані мають зберігатися окремо і з різними API. Для роботи застосунку «Дія» користувач надає доступ суто до personal identifiable information (PII). Усі банки, що належать до системи BankID Національного банку України, у тому числі ПриватБанк, повідомляють, до яких саме даних буде відкрито доступ, і лише сам користувач може надати згоду на передачу цієї інформації про себе. Мова йде про такі дані:
- • прізвище, ім'я, по батькові,
- • паспортні дані,
- • індивідуальний податковий номер,
- • номер телефону,
- • адреса,
- • електронна пошта.
Перевірити цей перелік можна на сайті: https://id.gov.ua.
Отримана інформація передається на смартфон користувача у вигляді зашифрованого і підписаного криптопримітива. Він не розшифровується на пристрої, а лише слугує ключем, за яким застосунок отримує доступ до документів.
Оформити допомогу по безробіттю можна через онлайн застосунок «Дія»
Які дані передаються через QR-код?
Для того щоб перевірити достовірність документів у Дії, використовується QR-код.
У QR-коді зашифрований одноразовий пароль, який дозволяє верифікувати документ. Він дійсний лише три хвилини. Ризик того, що хтось сторонній встигне сфотографувати код, скористається ним упродовж трьох хвилин і так дістане доступ до чужого документу, — мінімальний.
За інформацією Мінцифри
