База правил

Политика конфиденциальности — обязательный документ оператора персональных данных. Он рассказывает посетителю, какие его данные вы собираете, зачем, сколько храните и как он может их удалить. Без этого документа любой сбор email/телефона через формы — нарушение.

• •Документа нет вообще
• •Документ есть, но ссылки на него нет в футере и формах
• •Ссылка есть, но открывается 404 / битый PDF / страница без содержимого
• •Документ скопирован у конкурента и не отражает реальную обработку данных вашим сайтом

Согласие на обработку персональных данных — отдельный осознанный шаг пользователя. Пользователь должен сам поставить галочку, и только тогда вы имеете право принять и обрабатывать его email/телефон/имя.

• •Чекбокса согласия нет вообще — данные собираются «втихую»
• •Чекбокс есть, но он один на всё (и согласие, и рассылка) — это незаконно
• •Согласие зашито в текст «Нажимая кнопку, вы соглашаетесь…» без отдельного действия
• •Чекбокс предустановлен (см. PD_003)

Если чекбокс согласия уже отмечен по умолчанию — это не свободное волеизъявление пользователя, а навязанное согласие. По 152-ФЗ это считается нарушением требования об осознанности.

• •<input type="checkbox" checked> — стандартная ошибка разработчиков
• •Чекбокс визуально снят, но в HTML атрибут checked есть
• •JavaScript ставит галочку при загрузке страницы

Рядом с формой, которая собирает ПДн, обязательно должна быть ссылка на политику конфиденциальности. Иначе пользователь не может ознакомиться с условиями обработки прежде, чем согласиться.

• •Ссылки нет вообще
• •Ссылка только в футере страницы, а форма в попапе — пользователь её не видит
• •Ссылка есть, но текст «политика» без href
• •Ссылка ведёт на страницу другого сайта (партнёра)

Google Analytics передаёт IP-адрес посетителя и его поведение в дата-центры Google в США. С 2022 это считается трансграничной передачей персональных данных. Нужно либо уведомить Роскомнадзор, либо отключить.

• •gtag.js / google-analytics.com загружается на каждой странице
• •Google Tag Manager (GTM) с подключённым GA
• •Серверный gtag через прокси-домен (всё равно нарушение)
• •GA4 в режиме «consent mode» без реального cookie-баннера — формально не помогает

Meta Pixel передаёт данные посетителей в США (Meta Platforms — материнская компания Facebook, признана экстремистской в РФ). Использование пикселя несёт двойной риск: штраф за обработку ПДн без согласия и трансгран. передачу + дополнительные правовые претензии из-за статуса Meta.

• •connect.facebook.net в скриптах сайта
• •fbq() в коде — типовой вызов Pixel
• •Скрипт через Google Tag Manager (Pixel настроен как тег GTM)
• •Старый код Facebook Customer Audience

Любые сторонние трекеры, которые сетят cookies или собирают идентификаторы пользователя, должны быть с правовым основанием. Для иностранных сервисов дополнительно нужно уведомление РКН о трансграничной передаче.

• •Hotjar / FullStory / Mouseflow — записывают сессии пользователя
• •Mixpanel / Amplitude — продуктовая аналитика
• •Sentry / Rollbar — отлов ошибок (тоже передают URL и user-agent в США)
• •Виджеты соцсетей (кнопка «Поделиться в Facebook») с неотключённым tracking

Cookie — это персональные данные, потому что через них можно идентифицировать пользователя. Если ваш сайт ставит хоть один cookie (а так делает почти любой сайт) — пользователя надо об этом уведомить.

• •Никакого баннера нет — сайт молча сетит десятки cookie
• •Баннер есть, но появляется только в Европе через GeoIP, а в России не показывается
• •Уведомление в политике, но без видимого баннера на странице — нарушение требования об информировании

Согласие должно быть симметричным: отказаться от cookies должно быть так же легко, как согласиться. Если кнопка «Принять» большая зелёная, а «Отклонить» спрятана — это формальное, а не реальное согласие.

• •Только кнопка «Принять», крестика нет
• •Кнопка «Отклонить» в третьем уровне меню «Настройки»
• •Кнопка «Принять» зелёная и большая, «Отклонить» серая и мелкая
• •Закрытие баннера крестиком автоматически = согласие

Любая компания, обрабатывающая ПДн (а это почти любой сайт с формой обратной связи), обязана подать в Роскомнадзор уведомление об обработке. Проверить факт уведомления автоматически нельзя — нужно искать вашу компанию в реестре операторов pd.rkn.gov.ru.

• •Уведомление никогда не подавалось
• •Подавалось 5+ лет назад, реквизиты устарели
• •Подавалось на старое юрлицо после реорганизации
• •В уведомлении не указаны актуальные категории ПДн (например, забыли cookie-идентификаторы)

Согласие на обработку ПДн и согласие на получение рекламной рассылки — это два разных согласия. Нельзя получать одной галочкой. Если пользователь согласился на обработку email — это не значит, что он согласился получать рассылки.

• •Один чекбокс «Согласен на обработку ПДн и получение рассылки»
• •Чекбокс на согласие есть, но для рассылки автоматически добавляется при отправке
• •Подписка только при оформлении заказа, без отдельного шага
• •Рассылка идёт всем, кто хоть раз оставил email

Политика — это не «текст для галочки». В неё обязательно должны входить конкретные сведения по 152-ФЗ ст.18.1: кто оператор, для каких целей собираются ПДн, сколько хранятся, как пользователь может их удалить или отозвать согласие.

• •Документ скопирован у конкурента — указан чужой оператор
• •Перечислены данные, но не цели обработки
• •Срок хранения — «бессрочно» или «до прекращения деятельности»
• •Нет порядка отзыва согласия и контактов оператора

Самое частое нарушение: трекеры (Метрика, GA, Pixel) загружаются и начинают собирать данные ДО того, как пользователь согласился. Это значит, что согласие не имеет никакого смысла — данные уже ушли. Юридически это «обработка ПДн без правового основания».

• •Скрипты Метрики/GA в <head> — срабатывают до того, как пользователь увидит баннер
• •Cookie от трекера сетятся при первом запросе, а баннер появляется через 2 секунды
• •Кнопка «Отклонить» работает декоративно — трекер всё равно работает
• •Cookie третьих сторон (рекламные пиксели Яндекса, ВК) сетятся всегда

Сайт, продающий товары/услуги, обязан указать, кто именно продавец. Без юридического наименования (ООО / ИП / самозанятый) пользователь не может ни выбрать оплату, ни вернуть товар, ни пожаловаться.

• •В футере только торговое название бренда («Свежий Хлеб»), без ООО/ИП
• •ООО есть, но без названия — просто «Общество с ограниченной ответственностью»
• •Только мелким шрифтом в самом конце политики
• •Указан лишь домен сайта, без оператора

ИНН — главный идентификатор юрлица или ИП. Без ИНН покупатель не может проверить продавца в открытых реестрах (ЕГРЮЛ/ЕГРИП), не может корректно оформить возврат или налоговый вычет.

• •ИНН не указан вообще
• •Указан, но без префикса «ИНН» (просто число) — пользователь не понимает, что это
• •Указан только в публичной оферте (PDF)
• •Указан старый ИНН после смены юрлица

ОГРН (для юрлица) или ОГРНИП (для ИП) — государственный регистрационный номер. Подтверждает, что компания действительно зарегистрирована и не однодневка.

• •ОГРН не указан, есть только ИНН
• •У ИП указан ОГРН вместо ОГРНИП (разный формат: 13 vs 15 знаков)
• •Указан с ошибкой — не сходится контрольная сумма
• •Старый ОГРН после реорганизации

Покупатель должен знать, куда отправлять претензии и где находится продавец физически. Это требование ЗоЗПП — без адреса вы фактически анонимный продавец.

• •Адреса нет вообще, только email и телефон
• •Указан только город, без улицы и дома
• •Адрес магазина, а не юридический адрес компании
• •Адрес в формате «работаем удалённо по всей России» — не подходит

Продавец обязан предоставить минимум один способ связи — email или телефон. По ЗоЗПП покупатель должен иметь возможность задать вопрос ДО покупки и оформить претензию ПОСЛЕ.

• •Только форма обратной связи без явного email/телефона
• •Только мессенджер (WhatsApp/Telegram) — формально не считается
• •Email указан, но не работает (отскоки)
• •Телефон только для звонков, без приёма SMS/мессенджеров

Медицинская и образовательная деятельность лицензируются государством. Если вы оказываете услуги без лицензии или забыли её опубликовать — это либо административка (40-50k штраф для юрлица), либо уголовка по ст.235 УК.

• •Лицензия есть, но не опубликована на сайте
• •Лицензия истекла, на сайте старый скан
• •Деятельность реально нелицензируемая (например, репетиторство), но сайт оформлен как клиника/школа
• •Лицензия есть на одно юрлицо, а на сайте указано другое

Публичная оферта — это договор-образец, который вы предлагаете каждому покупателю. По ГК РФ это обязательная форма для интернет-магазинов и сервисов с подпиской.

• •Оферты нет вообще
• •Оферта есть, но без реквизитов исполнителя
• •Оферта только PDF — пользователь не видит, что в ней
• •Скопирована у конкурента, остались чужие реквизиты

По ЗоЗПП ст.26.1 покупатель в интернет-магазине имеет расширенное право возврата: 7 дней без объяснения причин для подходящего товара. Если правил возврата нет на сайте — срок автоматически растягивается до 3 месяцев.

• •Раздела «Возврат» нет вообще
• •Указано «возврат не предусмотрен» — это незаконно
• •Условия только в чате с менеджером
• •Возврат только за свой счёт без объяснения когда, как, по каким реквизитам

Если на сайте есть личный кабинет/регистрация, нужно пользовательское соглашение. Это договор между вами и пользователем: что он может делать в кабинете, что нельзя, в каких случаях вы можете заблокировать аккаунт, как удалить данные.

• •Соглашения нет, регистрация просто работает
• •Соглашение в политике конфиденциальности — это разные документы
• •Пользователь не подтверждает соглашение при регистрации
• •Текст скопирован у западных сервисов и не адаптирован под РФ

Cookie-policy — отдельный документ или раздел политики, где описано: какие cookie сайт ставит, для каких целей, на какой срок, как пользователь может ими управлять.

• •Cookie-policy нет ни как отдельной страницы, ни в политике конфиденциальности
• •В политике одна фраза «мы используем cookie» без деталей
• •Документ есть, но без перечисления конкретных cookie (только общие слова)
• •Документ скопирован с GDPR-сайта, упоминает европейские нормы вместо 152-ФЗ

Если вы продаёте товары через сайт, по ЗоЗПП ст.10 покупатель должен ДО оформления заказа знать: куда вы доставляете, в какие сроки, сколько это стоит. Без этой информации сделка некорректна.

• •Раздела «Доставка» вообще нет
• •Условия только в чате с менеджером
• •Указано «доставка по всей России», но без сроков и стоимости
• •Информация только в публичной оферте, мелким шрифтом

Покупатель должен видеть ДО оплаты: какие способы оплаты доступны, кто принимает деньги, выдаётся ли чек. Без этого нельзя осознанно оформить покупку.

• •Только «оплата при получении» без вариантов карты
• •Названия систем (СБП, Yookassa) указаны, но без юрлица-получателя
• •Чеки не упоминаются — пользователь не знает, получит ли
• •Оплата только криптой / переводом «на номер карты»

Цена должна быть явно указана в рублях и включать все обязательные платежи. Если цена в долларах или «уточняйте у менеджера» — это нарушение прав потребителя на информацию.

• •Цена не указана, кнопка «Узнать стоимость»
• •Цена в условных единицах ($ / у.е. / евро) без явной конвертации
• •Цена «от» без верхней границы
• •Скрытые комиссии — «+5% за эквайринг при оплате картой»

Любая реклама на сайте (даже своя) должна быть видимо помечена словом «Реклама». Это требование закона о рекламе ст.3 — пользователь должен сразу понимать, что перед ним продвижение, а не редакционный материал.

• •Баннер партнёра без подписи
• •Промо-блок собственного товара без слова «Реклама»
• •Слово «Реклама» есть, но мелким серым шрифтом и плохо различимо
• •Подпись «Партнёрский материал» — недостаточно, нужно именно «Реклама»

erid — уникальный идентификатор рекламного креатива из системы ЕРИР Роскомнадзора. С 1 сентября 2022 каждый рекламный материал в интернете обязан иметь свой erid, иначе размещение нелегально.

• •Реклама размещена напрямую с рекламодателем без оператора рекламных данных (ОРД)
• •erid получен, но не вставлен в HTML/URL
• •erid вставлен только в подпись, но не в кликабельную ссылку
• •Старый erid — не обновился после смены креатива

Рядом с любым рекламным блоком должны быть видимы данные рекламодателя — название и ИНН. Это нужно, чтобы пользователь мог проверить, кто именно ему что-то продаёт.

• •Только название бренда, без ИНН
• •Данные есть в кликабельном слое «info», но не на самом блоке
• •Указан рекламораспространитель вместо рекламодателя
• •Данные подгружаются JS и могут не успеть появиться до взаимодействия

В рекламе (баннерах, промо-блоках) запрещены иностранные слова, у которых есть русские аналоги — кроме зарегистрированных торговых марок. «Sale 50%», «Best price», «New Collection» — нарушение, хотя многие считают это «дизайном».

• •Большие баннеры с «SALE -50%»
• •Промо-блоки «New Collection», «Limited Edition»
• •CTA «Get started», «Buy now», «Try for free»
• •Слова латиницей, написанные кириллицей выглядели бы странно — но это не оправдание

Без HTTPS все данные между браузером и сервером передаются в открытом виде. Любой человек в той же сети (кафе, отель, провайдер) может прочитать пароли, банковские карты, личные сообщения с вашего сайта.

• •Сайт открывается только по HTTP
• •HTTP и HTTPS работают параллельно (нет редиректа)
• •HTTPS есть, но сертификат истёк или самоподписанный
• •Главная по HTTPS, но формы submit-ятся на HTTP endpoint (см. SEC_008)

Кнопки «Submit», «OK», «Close», «Send» на интерфейсе сайта — нарушение 53-ФЗ для российской аудитории. Пользователь может не понимать, что они означают, особенно люди старшего возраста.

• •Шаблон сайта на английском, переведена только часть
• •Готовый CMS (WordPress, Tilda) с английскими дефолтами
• •Кнопки в формах не переведены, потому что разработчик забыл
• •Английские иконки-подсказки (tooltip) при наведении

Атрибут <html lang="ru"> говорит браузерам, поисковикам и скринридерам, что страница на русском. Без него браузер может предлагать перевод сайта, поиск может ошибиться с языком, а голосовые читалки для незрячих неправильно произнесут текст.

• •<html> без lang вообще
• •<html lang="en"> — осталось из шаблона
• •lang="ru-RU" — формально работает, но обычно ставят lang="ru"
• •lang выставляется JavaScript-ом, а не в HTML

По 53-ФЗ ст.3 информация для потребителя должна быть на русском. Бренды и торговые знаки можно — но обычные слова «Buy now», «Sale», «Best price» обязаны иметь русский эквивалент рядом или вместо них.

• •Кнопки на английском без перевода (Submit, Send, Close)
• •Названия разделов меню (Shop, About, Contact)
• •Маркетинговые слова в баннерах (Sale 50%, New Collection)
• •Английский на CTA — «Get started», «Try for free»

Content-Security-Policy (CSP) — заголовок ответа сервера, который говорит браузеру, какие скрипты и ресурсы можно подгружать. Без CSP сайт уязвим к XSS-атакам — кто-то может вставить вредоносный код через комментарии/формы.

• •CSP не настроен вообще
• •CSP есть, но настроен слишком разрешительно (default-src *)
• •CSP в meta-теге, а не в заголовке (хуже, но лучше чем ничего)

HSTS (Strict-Transport-Security) — заголовок, который заставляет браузер всегда подключаться к сайту по HTTPS, даже если пользователь набрал http://. Защищает от downgrade-атак, когда злоумышленник пытается «понизить» соединение до незашифрованного.

• •Заголовок не выставлен
• •max-age слишком мал (меньше 6 месяцев — нет смысла)
• •Нет includeSubDomains — поддомены остаются уязвимы
• •preload не запрошен — пользователи без посещения сайта не защищены

Clickjacking — атака, когда злоумышленник встраивает ваш сайт в iframe на своём вредоносном сайте, накладывает поверх прозрачный слой и заставляет пользователя кликать по «невидимым» кнопкам вашего сайта (например, чтобы оплатить или подтвердить действие).

• •Заголовка X-Frame-Options нет, CSP frame-ancestors тоже нет
• •X-Frame-Options: ALLOWALL — формально есть, но защиты нет
• •CSP frame-ancestors *
• •Защита настроена только на главной, на других страницах нет

X-Content-Type-Options: nosniff запрещает браузеру угадывать MIME-тип файлов. Без этого заголовка браузер может выполнить как JavaScript то, что вы отдали как картинку или текст — это путь для XSS-атак.

• •Заголовок не выставлен
• •Выставлен только на статике, нет на API ответах
• •Сервер отдаёт неправильный Content-Type, но nosniff блокирует — и контент не работает (нужно чинить тип, а не убирать nosniff)

Referrer-Policy управляет тем, какую информацию ваш сайт передаёт по полю Referer при переходах на другие сайты. Без настройки полный URL (с параметрами, идентификаторами сессии) передаётся всем внешним ресурсам — это утечка приватности.

• •Заголовок не выставлен — браузер шлёт полный URL
• •no-referrer-when-downgrade — старая дефолт, безопаснее настроить strict
• •unsafe-url — анти-паттерн, специально слать всё
• •Referrer-Policy в meta, но не в заголовке

Mixed content — когда HTTPS-страница подгружает скрипты, картинки или iframe по HTTP. Браузер может заблокировать такие ресурсы, плюс это «дыра» — злоумышленник в сети может подменить эти ресурсы своим кодом.

• •Скрипты партнёров/виджетов по http://
• •Картинки в контенте, залитые когда-то по http
• •Шрифты с CDN по http
• •iframe видео-плеера по http

Если форма с персональными данными отправляется на http://endpoint, данные летят в открытом виде. Это худший случай: пользователь думает что страница защищена (замочек в браузере), а его данные перехватываются.

• •<form action="http://..."> вместо https
• •Форма submit-ится на легаси-обработчик без HTTPS
• •AJAX-запрос на http API, хотя сайт по https
• •Форма на CDN-домене с HTTPS, но сам обработчик без

API-ключи, токены, пароли БД случайно попавшие в публичный JS или HTML — это утечка. Даже если ключ «только на чтение», его могут использовать для парсинга, спама, перебора.

• •API-ключ хардкодом в JavaScript
• •Sentry DSN в публичном коде — формально не критично, но видно злоумышленнику
• •Закомментированные тестовые токены остались в проде
• •Ключи в HTML-комментариях («TODO: убрать перед продом»)

Source maps (.map) и служебные ссылки (admin/, test/, dev/, staging/, backup/) — это «карты» вашего проекта. Они помогают злоумышленнику понять структуру кода, найти бэкдоры, вычислить уязвимости.

• •.map файлы рядом с .js в проде (типичная ошибка webpack)
• •Доступная страница /admin без авторизации
• •Бэкап БД скачивается с /backup.sql
• •Тестовая среда staging.site.ru проиндексирована Google

Cookie без флагов Secure и HttpOnly — это уязвимость. Без Secure cookie могут утечь по http. Без HttpOnly их можно прочитать через JavaScript (XSS-атака) — а это сессия пользователя.

• •Set-Cookie без Secure — cookie уйдёт даже если открыли http://
• •Set-Cookie без HttpOnly — JS может прочитать
• •Set-Cookie без SameSite — уязвимы к CSRF-атакам
• •Сессионная cookie с длинным max-age — увеличивает риск компрометации