Приложение "Дия": защита персональных данных и безопасность

Смартфон каждого человека содержит массу персональной информации: фото, контакты, переписка, история передвижений, банковские карты с возможностью NFC-оплат. О защите всего этого заботится как сам пользователь, так и производители смартфонов, операционных систем и приложений.

Кого-то из пользователей защита персональных данных волнует больше, кого-то – меньше. Но уж точно абсолютно равнодушных к этому вопросу людей не существует.

Команда Минцифры – такие же люди, у которых есть смартфоны. При этом мы не только понимаем важность защиты персональных данных, но и несем за нее ответственность перед украинцами при разработке своих продуктов.

На днях мы презентовали наше любимое дитя – мобильное приложение "Дия", благодаря которому украинцы могут загрузить в смартфон электронные версии своих документов: уже сейчас – водительское удостоверение и техпаспорт, через месяц – ID-карты, биометрический паспорт и студенческий.

И мое искреннее желание, как человека, и обязанность, как министра, – развеять опасения по поводу защиты данных в "Дие".

Поэтому расскажу вам, как мы заботимся о безопасности приложения "Дия".

1. Все пользователи проходят идентификацию через банки, в которых обслуживаются

Когда пользователь только установил "Дию", первое, что он делает – логинится с приложения с помощью технологии BankID. Эта технология дает гражданину возможность пройти идентификацию через свой банк, в котором хранится необходимая информация о клиенте.

Такой способ идентификации является достаточно надежным и его применение – традиционная практика для многих развитых стран мира.

К нашему приложению подключены популярные Приватбанк, Монобанк, а также система BankID Национального банка Украины, в которую входят 16 банков. К банковским системам предъявляются высокие требования безопасности.

2. "Дия" прошла серьезное тестирование

Обеспечить высокий уровень защиты приложения нам во многом позволило сотрудничество с компанией EPAM – одним из мировых лидеров в сфере IT-разработок. Наш партнер уделяет немало внимания вопросу защищенности информации.

Архитектура "Дии" построена таким образом, что на серверной части приложения не осуществляется постоянное хранение персональных данных пользователей.

При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах – используется двойное шифрование.

Защита персональных данных в мобильном приложении "Дия" выполнена по лучшим практикам безопасности для решений такого типа, использован подход "глубокой защиты" (defense-in-depth).

Кроме того, вместе с IT-специалистами EPAM мы серьезно подошли к тестированию нашего приложения, в том числе провели так называемые пен-тесты, то есть тестирование безопасности приложения.

По сути, мы попытались, в том числе с привлечением внешних ІТ-специалистов, "хакнуть" "Дию", для того, чтобы выявить все уязвимые места.

Это позволяет мне сказать, что "Дия" на сегодняшний день является достаточно защищенным приложением.

3. Предъявителя документа можно проверить

А теперь – важный момент, на который я хочу обратить внимание пользователей. Механизм верификации документов в "Дия" основан на QR-коде, генерируемом приложением. Он не содержит никакой персональной информации и является действительным только в течение 3 минут.

По сути – это такой временный линк. А значит, риск того, что кто-то успеет сфотографировать ваш код и тем самым получит доступ к вашему документу – минимален.

Важно, что с помощью QR-кода проверить достоверность документов могут не только представители полиции, но и вы сами.

С помощью любого смартфона, с установленным на нем приложением "Дия", можно считать QR-код с другого смартфона (с помощью камеры или специального приложения для считывания QR-кодов) и убедиться в достоверности документа.

Интересный факт – с точки зрения безопасности, цифровые документы в смартфоне являются более защищенными, чем физические. "Дия" дает возможность загрузить техпаспорт только владельцу авто. В то же время Единый транспортный реестр содержит записи-клоны – не секрет, что это достаточно распространенная практика в Украине.

4. Все данные пользователей "Дия" находятся в Украине

Еще один очень важный месседж – все серверы мобильного приложения "Дия" находятся в Украине. То есть, никакая информация о пользователях не уходит за границу.

Серверная часть системы развернута в облачной инфраструктуре еще одного нашего партнера – компании De Novo, которая имеет необходимые сертификаты безопасности.

Единственное место, где мы привлекли зарубежную компанию – это защита от атак распределенного доступа (DDOS-атак). Для этого мы используем инфраструктуру компании Amazon, которая частично расположена в Германии.

Читайте также: Государство в смартфоне: как будет работать приложение "Дия" и стоит ли переживать за безопасность

И в заключение хочу сказать: мы понимаем, что обеспечение безопасности – это не результат, а процесс.

Над "Дией" работает крутая команда, мы постоянно развиваем и улучшаем мобильное приложение. Но на 100% обезопаситься от абсолютно всех уязвимостей невозможно.

Наверняка после всеукраинского релиза будут попытки взломать приложение. Мы готовы к таким вызовам и благодаря им получим дополнительную возможность сделать нашу "Дию" еще более защищенной.

Михаил Федоров, вице-премьер-министр – министр цифровой трансформации Украины, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.