8 сентября 2023 года Роскомнадзор заявил СМИ, что ведомство проверит информацию о возможной утечке данных клиентов «МТС Банка». С 28 июня 2022 года база данных перенесенных абонентских номеров (БДПН) начала работать на отечественном программном обеспечении (ПО), сообщили в НИИ Радио, операторе базы данных.
Роскомнадзор подтвердил утечку персональных данных клиентов «МТС Банка»
Статистика по базе данных перенесенных номеров (БДПН). Данная информация отражает актуальное кол-во перенесенных номеров на 05.12.2021 без учета тех, кто вернулся обратно к своему оператору. Описание: Определяет оператора телефонной сети по номеру телефона, согласно информации из базы данных перенесённых номеров (БДПН), при исходящих и входящих вызовах и показывает эту информацию во всплывающих сообщениях. Статистика по базе данных перенесенных номеров (БДПН). Данная информация отражает актуальное кол-во перенесенных номеров на 09.12.2021 без учета тех, кто вернулся обратно к своему оператору.
Метраном входит в ритм
Мобильные новости Базу данных перенесенных номеров мобильных устройств доверено вести ФГУП ЦНИИС. БДПН (База данных потерь номеров) – специальная система, которая отслеживает и регистрирует случаи изменения, потери или непереноса номера телефона при. Сервис проверки номера. Источник актуальной информации о том, к какому оператору и региону относится номер мобильного телефона*.
Базу данных перенесенных номеров мобильных устройств доверено вести ФГУП ЦНИИС
База данных перенесенных номеров, построенная подведомственным Россвязи предприятием, дает возможность подтверждения принадлежности мобильного номера к конкретному оператору. Дальше в системе проверки сведений должны быть использованы персональные данные об абоненте, которые находятся у оператора. По словам зам главы Россвязи Романа Шередина, в систему проверки должны быть включены три участника: финансово-кредитные организации, операторы, центральная база данных перенесенных номеров, которая будет работать как неких технологических центр.
Таким образом, если по задаче нужно определить только регион пользователя, то реестров Россвязи будет достаточно.
Процедуру подключения к базе можно найти у них на сайте: zniis. Но, к сожалению, насколько я знаю, напрямую подключиться к ним не просто, а получив подключение, делиться базой ни с кем нельзя. Структура этой базы крайне проста: это три CSV файла в которых в формате «номер, название оператора» перечислены: все перенесенные номера на текущий день обновляется раз в день ; все перенесенные номера за последний час обновляется раз в час ; все номера возращенные родному оператору обратно за последний час обновляется раз в час.
На момент написания статьи, в БДПН находится около 6 миллионов записей. Суммируя: у нас есть некие диапазоны номеров, которые соответствуют определенным операторам и регионам Россвязь , и список номеров-исключений из этих диапазонов БДПН , который распространяется только на название оператора. Как определять абонентов Самое очевидное решение этой задачи: посмотреть на слово «диапазон» и использовать перечисленные емкости буквально.
Сложность этого алгоритма будет как у бинарного поиска, что довольно неплохо. Но есть более оригинальный и универсальный способ реализации, сложность которого — константа, независимо от размера данных. Этот метод предполагает использование масок номеров.
Маска номера Маска номера — это строка состоящая из цифр и спецсимвола со значением «wildcard одиночного символа» «? Причем после знака вопроса может стоять только знак вопроса. Таким образом, один из диапазонов Билайн в Москве «79031000000 — 79031999999», в виде маски будет записан как «79031??????
С такими масками очень удобно работать, например, задавать их вручную в конфигурации.
Методика расчета взимания платы за использование единой биометрической системы, в том числе ее региональных сегментов, утверждается федеральным органом исполнительной власти, осуществляющим регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных, по согласованию с Центральным банком Российской Федерации. Плата за использование государственными органами, органами местного самоуправления, Центральным банком Российской Федерации единой биометрической системы, в том числе ее региональных сегментов, не взимается. Статья 13.
Осуществление идентификации и или аутентификации при проходе на территории организаций 1. Аутентификация с использованием биометрических персональных данных физических лиц при проходе посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, на территории организаций, относящихся к объектам транспортной инфраструктуры городского общественного транспорта, в том числе внеуличного, может осуществляться с использованием регионального сегмента единой биометрической системы, если такое использование предусмотрено в установленных Правительством Российской Федерации в соответствии с частью 12 статьи 5 настоящего Федерального закона случаях, а также решением Правительства Российской Федерации, принятом в соответствии с частью 1 статьи 5 настоящего Федерального закона. Статья 14. Взаимодействие с единой биометрической системой в целях осуществления идентификации и или аутентификации для реализации полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих отдельные публичные полномочия 1.
Обработка биометрических персональных данных для идентификации в случаях, если проведение такой идентификации необходимо для реализации установленных нормативными правовыми актами полномочий государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, осуществляется с применением единой биометрической системы. Перед использованием единой биометрической системы в соответствии с пунктом 3 части 2 настоящей статьи аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в государственной информационной системе персональных данных аккредитованного государственного органа, информационной системе персональных данных Центрального банка Российской Федерации, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в единую биометрическую систему, а также в информационную систему аккредитованного государственного органа, информационную систему Центрального банка Российской Федерации в случае прохождения им аккредитации. Государственные органы, Центральный банк Российской Федерации, владеющие информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, вправе привлекать для осуществления функций оператора таких информационных систем организации, соответствующие требованиям, установленным Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
Аккредитация государственных органов, Центрального банка Российской Федерации для осуществления аутентификации осуществляется без ограничения срока. Требования для прохождения такой аккредитации, помимо установленных настоящей статьей, порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности. В информационных системах аккредитованных государственных органов, информационных системах Центрального банка Российской Федерации в случае прохождения им аккредитации запрещено хранение используемых в соответствии с частями 1 и 2 настоящей статьи биометрических персональных данных, за исключением хранения данных для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и или оспаривающих результаты проведения аутентификации, в течение не более десяти суток с момента предоставления таких данных в целях проведения аутентификации в соответствии с пунктами 2 и 3 части 2 настоящей статьи. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации не вправе передавать векторы единой биометрической системы третьим лицам.
По истечении срока, указанного в части 7 настоящей статьи, аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации обязаны уничтожить биометрические персональные данные. Аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы. Статья 15. Обработка биометрических персональных данных вне единой биометрической системы 1.
По истечении срока, указанного в пункте 3 части 1 настоящей статьи, организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана уничтожить биометрические персональные данные. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, в случае получения поданного в течение срока, указанного в пункте 3 части 1 настоящей статьи, обращения субъекта персональных данных, предполагающего неправомерную обработку его биометрических персональных данных при проведении аутентификации и или оспаривающего результаты проведения аутентификации в порядке, установленном Правительством Российской Федерации, вправе направить мотивированный запрос оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных такой организацией биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, при условии передачи оператору единой биометрической системы такой организацией или субъектом персональных данных биометрических персональных данных физического лица. Статья 16. Осуществление аутентификации с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц 1.
Обработка в соответствии с пунктами 2 и 3 части 1 статьи 15 настоящего Федерального закона используемых для аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, допускается с использованием векторов единой биометрической системы, в том числе с использованием векторов, являющихся результатом обработки биометрических персональных данных, размещенных в единой биометрической системе в соответствии с частью 9 статьи 4 настоящего Федерального закона. Правительство Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности и Центральным банком Российской Федерации устанавливает случаи, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается. Организации финансового рынка, иные организации, индивидуальные предприниматели вправе использовать информационные системы организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, соответствующих требованиям, указанным в частях 1 и 3 настоящей статьи, для аутентификации физического лица, выразившего согласие на ее проведение, в целях совершения этим лицом определенных действий, либо подтверждения волеизъявления этого лица, либо подтверждения полномочия этого лица на совершение определенных действий. Организации финансового рынка, иные организации, индивидуальные предприниматели при использовании информационных систем иных организаций для аутентификации обязаны применять организационные и технические меры по обеспечению безопасности персональных данных, предусмотренные в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также использовать средства криптографической защиты информации, указанные в пункте 2 части 3 настоящей статьи.
Перед осуществлением аутентификации в соответствии с частью 7 настоящей статьи организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, организации финансового рынка, иные организации, индивидуальные предприниматели, указанные в части 4 настоящей статьи, предоставляют в единую систему идентификации и аутентификации сведения о физических лицах, содержащиеся в их информационных системах персональных данных, включая идентификаторы таких сведений. Данные идентификаторы и сведения сопоставляются со сведениями о физических лицах, содержащимися в единой системе идентификации и аутентификации, и после такого сопоставления данные идентификаторы передаются из единой системы идентификации и аутентификации в информационную систему организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц. Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 1 части 8 настоящей статьи, осуществляется путем проверки организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, отсутствия сведений о таких индивидуальных предпринимателях и организациях в соответствующих перечнях, размещенных федеральным органом исполнительной власти, осуществляющим функции по противодействию легализации отмыванию доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, на своем официальном сайте в сети "Интернет" в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации отмыванию доходов, полученных преступным путем, и финансированию терроризма". Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 3 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, по ее запросу информации федеральным органом исполнительной власти, осуществляющим государственную регистрацию юридических лиц и физических лиц в качестве индивидуальных предпринимателей.
Подтверждение соответствия индивидуальных предпринимателей и организаций, за исключением организаций финансового рынка, указанных в части 4 настоящей статьи, критерию, указанному в пункте 2 части 8 настоящей статьи, осуществляется путем предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, справки об отсутствии неснятой или непогашенной судимости, выданной федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел. Использование организациями финансового рынка, иными организациями, индивидуальными предпринимателями информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, в целях аутентификации допускается после предоставления организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, актов проверки, составленных федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, по результатам проверки в соответствии с частью 1 статьи 7 настоящего Федерального закона, а в отношении организаций финансового рынка - Центральным банком Российской Федерации по результатам проверки в соответствии с пунктом 3 части 4 статьи 7 настоящего Федерального закона. Организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц, обязана хранить указанные в частях 9 - 12 настоящей статьи информацию и документы на протяжении всего срока использования ее информационной системы. Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, не вправе передавать векторы единой биометрической системы третьим лицам.
Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, по мотивированному запросу оператора единой биометрической системы, направленному в соответствии с законодательством Российской Федерации, блокируют, удаляют, уничтожают векторы единой биометрической системы, а также вносят изменения в сведения, содержащиеся в их информационных системах. Физическое лицо вправе подписать согласие на обработку биометрических персональных данных в целях проведения его аутентификации: 1 усиленной неквалифицированной электронной подписью; 2 простой электронной подписью, правом создания замены и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц. Требования к проверке такой простой электронной подписи при хранении указанного согласия устанавливаются Правительством Российской Федерации. Не допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, указанной в пункте 2 части 16 настоящей статьи, в случаях, которые не установлены Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
Указанное в части 16 настоящей статьи согласие, подписанное усиленной неквалифицированной электронной подписью или простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица. Статья 17. Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц 1. Аккредитация организаций, указанных в части 1 статьи 16 настоящего Федерального закона, для осуществления аутентификации осуществляется без ограничения срока.
Порядок осуществления такой аккредитации, основания ее приостановления и прекращения устанавливаются Правительством Российской Федерации. Организации, в отношении которых была прекращена аккредитация в порядке, установленном Правительством Российской Федерации в соответствии с частью 1 настоящей статьи, обязаны уничтожить векторы единой биометрической системы, обрабатываемые в их информационных системах, в течение семи рабочих дней после дня прекращения аккредитации. Для уничтожения векторов единой биометрической системы применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция автоматического уничтожения информации по истечении определенного заданного срока. Статья 18.
Федеральный государственный контроль надзор в сфере идентификации и или аутентификации 1. Федеральный государственный контроль надзор в сфере идентификации и или аутентификации осуществляется уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти. Предметом федерального государственного надзора в сфере идентификации и или аутентификации является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических персональных данных физических лиц, аккредитованными государственными органами, Центральным банком Российской Федерации в случае прохождения им аккредитации требований настоящего Федерального закона и иных принимаемых в соответствии с ним нормативных правовых актов. Организация и осуществление федерального государственного контроля надзора в сфере идентификации и или аутентификации регулируются Федеральным законом от 31 июля 2020 года N 248-ФЗ "О государственном контроле надзоре и муниципальном контроле в Российской Федерации".
Положение о федеральном государственном контроле надзоре в сфере идентификации и или аутентификации утверждается Правительством Российской Федерации, исходя в том числе из того, что плановые контрольные надзорные мероприятия в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации при осуществлении федерального государственного контроля надзора в сфере идентификации и или аутентификации проводятся не реже чем один раз в три года, за исключением плановых контрольных надзорных мероприятий в отношении объектов контроля, отнесенных к категории низкого риска. Статья 19.
С другой стороны, если кто-то заказывает товары из-за границы, без номера паспорта или СНИЛСа сделать этого нельзя. А это тоже сбор данных. Оформить отказ на себя и ребенка можно при предъявлении паспорта, СНИЛС и свидетельства о рождении Фото: Российская газета Как оформить отказ от использования биометрических данных Здесь мы снова имеем дело с фейком. Для того, чтобы отказаться от того, чтобы государство пользовалось Вашими персональными данным, никакого заявления писать не нужно. Сотрудники МФЦ сами оформляют отказ и выдают гражданину документ о том, что он отказался от разрешения использовать его биометрические данные. Это должен сделать родитель при наличии свидетельства о рождении, — говорит адвокат.
Если данные утекли, судиться будет нужно с государством Фото: Медиагруппа Юг Сибири Что делать, если персональные данные «утекли» В России данные утекают как из дырявого корыта, говорят юристы. Это было и останется, и сделать с этим ничего нельзя, несмотря на закон о хранении персональных данных. Но теперь те, кто стал жертвой кражи, будут судиться не с банками или торговыми площадками, которые продали данные или допустили их кражу, а с государством. Однако эксперты признают, что судиться с ведомствами, которые любят прикрываться законом о гостайне, будет крайне сложно.
Директ-маркетинг в 2024: как снизить риски утечки клиентских данных
В результате проверки Роскомнадзор выявил факт утечки персональных данных клиентов «МТС Банка», составил административный протокол за нарушение законодательства о защите персональных данных. Роскомнадзор провел проверку сообщений о возможной утечке персональных данных около 1 млн клиентов МТС Банка. Документ устанавливает размер платы оператору базы данных переносимых номеров за внесение изменений в базу данных при смене мобильного оператора в размере 100 рублей. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) запустил онлайн-сервис проверки утечки личных данных, аналогичный Have I Been Pwned.
База данных перенесенных абонентских номеров перешла на российский софт
Кроме того, таковы требования закона, который вступил в силу ещё в 2018 году. Tele2 ответственно подходит к выполнению требований законодательства и на плановой основе осуществляет сверку", — объяснили в свою очередь в пресс—службе Tele2 на Северо—Западе. В Tele2 предупреждают — в случае неподтверждения данных услуги связи могут быть заблокированы по требованию Роскомнадзора. Согласно правилам об оказании услуг связи, абонент обязан предоставить оператору информацию о новых данных в течение 60 дней с момента вступления этих изменений в силу. Мы просим уточнить данные в случае, если информация в договоре об оказании услуг связи неполная или если первичная проверка показала, что сведения потеряли актуальность", — добавили в компании. В "Билайне" ссылаются на 126—ФЗ "О связи", согласно которому абонент сотовой связи в России обязан информировать своего оператора в случае, если у него изменились персональные данные. В "МегаФоне" заметили, что обязаны блокировать номера абонентов, данные которых в договоре не совпадают с фактическими. В МТС добавили, что проще всего подтверждать свою личность через авторизованный аккаунт на "Госуслугах". Также помимо личного посещения салона связи можно подтвердить данные с помощью своего фото и фотографий паспорта. Всё по закону Алексей Бойко, аналитик агентства MForum Analytics, замечает, что все требования действительно восходят ещё к 2018 году. Но периодически регуляторы напоминают операторам, что необходимо соблюдать закон "О связи" в том числе и в этой части.
Видимо, тогда и начинается рассылка СМС тем абонентам, данные которых вызывают какие—либо вопросы или сомнения.
Описание Блок детектирования БДПН-100 представляет собой функционально и конструктивно законченное устройство. Принцип действия блоков основан на преобразовании потока тепловых нейтронов в электрические импульсы. Блок детектирования БДТН-100Д состоит из: - счетчика на основе 3He для преобразования потока тепловых нейтронов в электрические импульсы; - усилителя-формирователя; - высоковольтного преобразователя - для питания счетчика; - дискриминатора - для отбора по амплитуде импульсов, поступающих с усилителя; - процессорного модуля для расчета плотности потока и передачи данных через интерфейс RS-485.
Инфраструктура МТС Банка не подвергалась атакам, данные пользователей вне опасности. ИБ-эксперты по поводу публикации в открытом доступе данных клиентов разных банков, включая «МТС Банк», пояснили , что после этого инцидента количество мошеннических звонков, фишинговых писем и спама для клиентов банков значительно вырастет.
Как подтвердить данные через Госуслуги Если у вас есть подтверждённый аккаунт на «Госуслугах», то быстрее и легче всего будет воспользоваться именно этим вариантом. Когда вы это сделаете, система автоматически добавит информацию в профиль вашего оператора связи, а вы сможете дальше пользоваться своим номером», — пояснил Святослав Кошурников. Выберите вариант подтвердить информацию — «Через Госуслуги». Пройдите авторизацию на Госуслугах — для входа укажите номер телефона, к которому привязан ваш профиль на Госуслугах, СНИЛС или email — можете воспользоваться любым из этих способов. Введите пароль для входа и кликните «Войти». Подтвердите, что вы согласны на обмен информацией между Госуслугами и МТС. Теперь система сверит данные, а вы получите уведомление, что информация обновлена, — это займёт несколько секунд. Если данные не совпали, то вам нужно будет прийти с паспортом в любой магазин МТС и подтвердить информацию лично. Как подтвердить данные по фото и паспорту Если вариант с Госуслугами вам не подходит, обновить информацию о себе можно самостоятельно через ID вашего оператора связи. Авторизуйтесь по номеру телефона. Выберите способ подтвердить информацию — «По фото и паспортным данным». Нажмите «Начать».