Фото с паспортом в руках при получении ЭЦП в УЦ как обязательное требование

Удостоверяющий центр (далее УЦ) добавил одно обязательное условие (прописал это в регламенте работы УЦ к которому присоединяется клиент при заказе услуги и /якобы автоматически с ним соглашается/): теперь для получения электронной подписи, кроме паспорта, заявления на изготовление ЭЦП и иных документов, потребуется сделать фото с развернутым паспортом при получении в офисе УЦ.

Получение происходит в офисе УЦ или его филиале (так что нельзя говорить об удаленной идентификации) и по моему мнению сотрудник УЦ может проверить подлинность документа просветив его в УФ-лампе либо запросить второй официальный документ с фотографией (в/у, военный билет, загран. паспорт) либо из перечня документов удостоверяющих личность в РФ.

Таким образом, если клиент отказывается от фотографирования лица с паспортом, УЦ отказывает ему в выдаче ЭЦП.
Съемка производится на одно из устройств из Переченя информационных технологий и технических средств ссылка
Считаю, что таким образом происходит принудительный сбор избыточных данных, при этом УЦ является оператором ПДн, но не является оператором (участником) ЕБС. УЦ объясняет свои действия мерами по защите пользователей от мошеннических действий третьих лиц для идентификации пользователя.

УЦ уверяет пользователя, что с полученным изображением гражданина не получится взять кредит в банке, но есть информация, что на некоторых онлайн-сервисах МФО для получения микрозайма (до 15 000 рублей) фотографии с паспортом в руках вполне достаточно. При этом доподлинно не известно каким образом происходит хранение этих фотографий и осуществляется ли передача(с последующими обработкой, хранением и т.д.) по открытым сетям (без применения средств шифрования данных).
1
из письма гражданину на вопрос о требовании УЦ и является ли фото биометрией
Вопрос:

  1. Законны ли такие требования УЦ?
  2. Могут ли, хотя бы гипотетически, полученные изображения гражданина использоваться для системы ЕБС?
  3. Как поступать со стороны клиента и со стороны УЦ чтобы все-таки все было по закону.
    Может быть, по ходу обсуждения появятся вопросы, напишу.
1 Симпатия

Archie, [07.03.19 15:19]
Ну, РКН в случае проверки укажет на избыточность

Котэ (^._.^)ノ, [07.03.19 15:21]
[В ответ на Archie]
предлагаете жалобу написать? в УЦ при общении с руководством пытались у них спросить ссылки на ФЗ и НПА где прописывается такое требование, но их предоставлено не было

Archie, [07.03.19 15:23]
Ну, в нормативке нет требования делать фото с паспортом в руках. Это требование всплыло видимо после случаев когда подставные лица получали серты и под ними проводили махинации на закупочных площадках

Archie, [07.03.19 15:23]
Т.е. уц решил обезопасить себя

Котэ (^._.^)ノ, [07.03.19 15:24]
[В ответ на Archie]
да, но УЦ решил себя обезопасить при этом где гарантия безопасности заявителей по поводу хранения таких фото?

Archie, [07.03.19 15:24]
Нигде

Котэ (^._.^)ノ, [07.03.19 15:24]
[В ответ на Archie]
значит хотелки Уц только их хотелки, так?

Котэ (^._.^)ノ, [07.03.19 15:25]
каким образом тогда бороться с навязыванием фотофиксации? если без нее не хотят делать генерацию и выдачу эп?

Archie, [07.03.19 15:28]
Можете НПА посмотреть, там конечно не будет про фотосессию. Можно написать им письмо-пусть разъяснят на основании чего требуется фотофиксация. Или обратиться в другой УЦ)

Котэ (^._.^)ノ, [07.03.19 15:29]
где то читал типа нельзя навязывать (ставить в обязательство) покупать езе один товар с другим и без него не продавать, вот в данном кейсе можно применить или нет?

Котэ (^._.^)ノ, [07.03.19 15:29]
[В ответ на Archie]
другой уц не всегда вариант например в регионах
насчет НПА, это конечно было устно, но разговаривал я с человеком который занимается и в т.ч. аккредитацией УЦ из МКС так вот он тоже не смог вспомнить требований о фотофиксации

Archie, [07.03.19 15:30]
Для начала бы я запросил у них ответ на вопрос на основании какого НПА они требуют это

Котэ (^._.^)ノ, [07.03.19 15:31]
[В ответ на Archie]
на основании своего регламента работы УЦ, при этом в этом УЦ необходимо получать эп для работы в их системе т.е. выбора нет.

Котэ (^._.^)ノ, [07.03.19 15:37]
Это не была контрольная закупка, а стечение обстоятельств. Мой знакомый обратился сделать подписи на отчетность, но владельца не было в стране, мы отказали т.к нужно личное присутствие и фото. В конечном итоге промониторив все ресурсы он сделал ЭЦП. и исполнителем оказался Контур. Связались с ним через группу в ВК.:see_no_evil: и по эл. почте все сделали.

вот тут прислали, не знаю насколько это правда.
насколько мне известно ряд УЦ из федеральных практикует фото например тот же Тензор или Контур. Все опасаются мошенников, но при этом я считаю сами могут стать пособниками ибо если эти фотографии хранятся просто на диске где то в шаре лвс предприятия то сами понимает можно скачать, а потом продать/передать заинтересованным лицам. При том что в соглашении о обработке пдн в том же Тензоре не было упоминания о фотофиксации.
В целях противодействия также мошенничеству в офисах где происходит выдача ЭП очень часто ведется видеосъемка приходящих людей, разве этого не достаточно?

Сергей Голяков, [07.03.19 15:40]
У нас в банке по одному случаю жертва только через пол года опомнилась, так что видео может столько не храниться

Котэ (^._.^)ノ, [07.03.19 15:42]
[В ответ на Сергей Голяков]
ну смотрите банк присоеденяется к ЕБС и там вроде как ясно понятно, мб даже уже есть стандрты хранения, там спец средства и скзи. в моем случае УЦ ничего не мешает хранить данные в открытом виде в своей сети

Котэ (^._.^)ノ, [07.03.19 15:46]
[В ответ на Сергей Голяков]
вопрос не совсем по теме треда. вот жертва опомнилась спустя полгода и что СБ банка начала отработку инцидента несмотря на столь долгий срок? ведь согласно 161-ФЗ ст. 9 п. 11 В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
или ее кейс не относился к электронным средствам?

СаняШ, [07.03.19 15:47]
Уц должен заявится как испдн по идее. А отсюда уже требования к хранению фото и т.п

Котэ (^._.^)ノ, [07.03.19 15:48]
[В ответ на СаняШ]
это есть да, но если еще и появляется биометрия это как то отдельно регестрируется или нет?

СаняШ, [07.03.19 15:48]

  • везде идёт речь про идентификацию личности. Вот на эту тему наверняка где-то процедура прописана

СаняШ, [07.03.19 15:49]
Биометрия это автоматом класс испдн повышается требования соответственно

СаняШ, [07.03.19 15:49]
И да они должны в ркн заявить это

СаняШ, [07.03.19 15:50]
Вот не сталкивался, но по идее это может как то и а согласии отражаться

Котэ (^._.^)ノ, [07.03.19 15:53]
[В ответ на СаняШ]
в согласии нет сведений о сбре биометрии

Котэ (^._.^)ノ, [07.03.19 15:55]
[ Фотография ]
вот в реестре РКН операторов персоналки сведения о какой то школе МБОУ
!

Котэ (^._.^)ノ, [07.03.19 15:55]
[ Фотография ]
а та та, похоже попались

Archie, [07.03.19 15:59]
[В ответ на Котэ (^._.^)ノ]
порядок уц должен быть разработан в соответствии с НПА. В основе это 63-фз и приказ МКС № 397 О порядке работы УЦ

Archie, [07.03.19 16:00]
Если кстати углубиться в 63-фз, то можно увидеть, что даже требуемый скан паспорта избыточен

Archie, [07.03.19 16:01]
[В ответ на Котэ (^._.^)ノ]
нету, конечно)

Котэ (^._.^)ノ, [07.03.19 16:01]
[В ответ на Archie]
вот о чем и речь, а по поводу требования скана паспорта, скажем можно пойти на встречу УЦ и согласится с этим требованием в целях проверки УЦшниками заранее данных получателя услуги ЭП ибо если так подумать то сканы паспортов есть у многих организаций итак типа МФЦ при получении услуг ну итд

Archie, [07.03.19 16:02]
[В ответ на Котэ (^._.^)ノ]
согласен. без скана паспорта будет тяжело доказывать правоохранительным органам свою правоту)

Сергей Голяков, [07.03.19 16:02]
То что фотки лежат это не делает их биометрией

Котэ (^._.^)ノ, [07.03.19 16:02]
[В ответ на Администрация]
если бы я знал как)

Котэ (^._.^)ノ, [07.03.19 16:04]
[В ответ на Сергей Голяков]
ок, пусть их нельзя применить в целях обмана той же ебс, но я уже писал о том что можно использовать эти сэлфи для микрозаймов, можно продать в даркнете, особенно учитывая что в одном уц их мб несколько тысяч (хотя там обычно паки больше документов), ну и придумайте векторы атак еще если хотите.

Archie, [07.03.19 16:04]
[В ответ на Сергей Голяков]
вопрос не в биометрии, а в избыточности таких данных и их защите)

Сергей Голяков, [07.03.19 16:06]
[В ответ на Котэ (^._.^)ノ]
Ну и оспоришь потом легитимность микрозайма

Котэ (^._.^)ノ, [07.03.19 16:07]
вот я лично обеспокоен что в нескольких уц есть мои фото с основным документом, я не уверен в надежности хранения этих данных. или другое, я сотрудник уц и моя задача сделать так чтобы все это было законно и придраться было не к чему с т.з закона

Сергей Голяков, [07.03.19 16:07]
А так да, всякие соцсети просят для восстановления

Сергей Голяков, [07.03.19 16:07]
[В ответ на Котэ (^._.^)ノ]
Напишите письмо в РКН, сейчас они и по письмам вроде проверки могут делать

Сергей Голяков, [07.03.19 16:08]
Внеплановые

Котэ (^._.^)ノ, [07.03.19 16:08]
[В ответ на Сергей Голяков]
есть кейс где человек не может оспорить легетимность наложения штрафа гибдд в другом регионе на его в/у при условии что этот человек в тот день выступал в ином регионе на конференции в несколько сот человек, а вы мне про микрозаймы оспорить

Сергей Голяков, [07.03.19 16:08]
Отзовите согласие на хранение

Котэ (^._.^)ノ, [07.03.19 16:09]
опять же зачем человеку ставить предпосылки к тому что придется оспаривать действия которые он не совершал в результате халатности других лиц

Котэ (^._.^)ノ, [07.03.19 16:10]
[В ответ на Сергей Голяков]
ок, но общение с юр службой уц показало что даже при отзыве они все равно будут хранить данные дальше

Сергей Голяков, [07.03.19 16:10]
[В ответ на Котэ (^._.^)ノ]
Вот и основание для проверки роскомнадзором

Сергей Голяков, [07.03.19 16:11]
На словах они могут говорить много чего, как появится просьба отзыва - выполнят

Котэ (^._.^)ノ, [07.03.19 16:11]
[В ответ на Сергей Голяков]
единственное что есть чтобы доказать эти слова это запись разговора сделанная на цифровой носитель на самом вызывающем устройстве при этом предпреждения о записи не было, пойдет?

Сергей Голяков, [07.03.19 16:12]
Каждый суд как и каждый региональный РКН имеет свое мнение по каждому вопросу

Котэ (^._.^)ノ, [07.03.19 16:12]
[В ответ на Сергей Голяков]
дело в том что официально прописано только в регламенте что будет фотофиксация, в соглашении об этом не слова. ок, отозвали данные из тех что были указаны в соглашении, а фото все равно остается

Сергей Голяков, [07.03.19 16:12]
РКН с оф сайта даже часто задаваемые вопросы очистили

Archie, [07.03.19 16:13]
[В ответ на Котэ (^._.^)ノ]
вам достаточно будет написать в РКН письмо с просьбой рассмотреть пункт регалмента уц на соответствие законодательству в части обработки ПДн

Котэ (^._.^)ノ, [07.03.19 16:13]
[В ответ на Сергей Голяков]
если писать в ЦА РКН, можно ли потом ответом ткнуть под нос регионалам?

Сергей Голяков, [07.03.19 16:18]
[ Фотография ]

Сергей Голяков, [07.03.19 16:19]
[В ответ на vpm]
Суд следующей инстанции и ок)

Андрей Боровский, [07.03.19 19:42]
[В ответ на Сергей Голяков]
Странная позиция, а подтверждать что сертификат был Ваш без ПДн они как будут?

Андрей Боровский, [07.03.19 19:43]
С УЦ нужно боятся не утечки копии паспорта, а утечки закрытого ключа.

СаняШ, [07.03.19 19:45]
Если ты адекватен, то твой зк в принципе в уц не может попасть

СаняШ, [07.03.19 19:45]
А вот пд это реально.

Котэ (^._.^)ノ, [07.03.19 19:46]
[В ответ на Андрей Боровский]
Отозвать данные пдн владельца ключа разве не равносильно тому что сертификат может оказаться потом в списке отозванных?)

СаняШ, [07.03.19 19:47]
На самом деле реальная угроза, это то что уц выдаст левому человеку эп по копии паспорта. И это реальные случаи. А уж потом с этой эп можно оч много намутить

Андрей Боровский, [07.03.19 19:48]
[В ответ на Котэ (^._.^)ノ]
ПДн они будут хранить постоянно, необходимо обеспечить предоставление сведений что этот сертификат в данный период был у Васи.

Андрей Боровский, [07.03.19 19:49]
[В ответ на СаняШ]
Вот по этому в суде наличие фото с паспортом в руках может быть плюсом, или минусом :slight_smile:

Котэ (^._.^)ノ, [07.03.19 19:49]
[В ответ на СаняШ]
У уц тензора был кейс такой если верить публикации что читал на медиуме :))

Андрей Боровский, [07.03.19 19:49]
Можно с газеткой фоткаться ещё, чтоб дату подтвердить

Андрей Боровский, [07.03.19 19:51]
[В ответ на СаняШ]
Не все УЦ подписывают сгенерированные в другом месте ключи

Котэ (^._.^)ノ, [07.03.19 19:51]
[В ответ на Андрей Боровский]
Хорошо, допустим. Но пускай тогда это действо будет отражено в соглашении о обработке пдн и ещё будет расписано что эти данные зашифрованы и любой манагер уц не имеет к ним неограниченный доступ и то это все не особо обнадеживает

СаняШ, [07.03.19 19:51]
[В ответ на Андрей Боровский]
Фигня, в случае суда у уц никаких шансов. Доказать бардак при выдаче эп коммерческим уц как 2 пальца

Андрей Боровский, [07.03.19 19:52]
[В ответ на СаняШ]
Тогда все ЭП не имеют силы :slight_smile:

СаняШ, [07.03.19 19:53]
Почему?

СаняШ, [07.03.19 19:53]
Но тот же тензор копни, и ужаснись

Андрей Боровский, [07.03.19 19:53]
[В ответ на Котэ (^._.^)ノ]
Это Вам в РКН, создайте прецедент

СаняШ, [07.03.19 19:54]
Я не регулятор, поэтому только со своей колокольни сужу

Андрей Боровский, [07.03.19 19:55]
[В ответ на СаняШ]
Если везде бардак и всегда его можно в суде доказать, значит можно оспорить любую подпись

СаняШ, [07.03.19 19:55]
Я недавно писал, что это впринципе хороший вариант выбить конкурента с торгов

СаняШ, [07.03.19 19:56]
Вероятность очень хорошая

СаняШ, [07.03.19 19:57]
Просто идеш в уц просишь сделать эп, они тебе генерят тут же за час. Все. Подпись скомпрометирована.

Котэ (^._.^)ノ, [07.03.19 19:57]
Так
Если злоумышленник в сговоре с сотрудником уц?
Что мешает сфоткаться на фоне фирменного ковра из Тензора, подделать данные в фотошопе, сотрудник уц все пропустит и загрузит в систему ну и т.д. Не могу под вечер уже сформулировать по человечески как провести эту с позволения сказать атаку. Просто даже наличие фото не гарантирует что все будет хорошо и от мошенников уц защищен

Котэ (^..^)ノ, [07.03.19 19:58]
[В ответ на Котэ (^.
.^)ノ]
Для Андрей посмотрите здесь и пост выше
Данные из реестра ркн по пдн

СаняШ, [07.03.19 19:59]
[В ответ на Котэ (^._.^)ノ]
Это уже следы сговора, а значит срок больше

Андрей Боровский, [07.03.19 19:59]
[В ответ на Котэ (^._.^)ノ]
А тут в любом случае суд. Просто наличие фото это ещё одно доказательство. Фотошоп можно экспертизой выявить, цена вопроса

Котэ (^._.^)ノ, [07.03.19 19:59]
[В ответ на СаняШ]
Да, группой лиц и тд
Т.о. как всегда 100% защиты нет

СаняШ, [07.03.19 20:01]
Основной постулат иб- абсолютно защищённых систем не бывает

Котэ (^._.^)ノ, [07.03.19 20:01]
[В ответ на СаняШ]
Да. Верно

Андрей Боровский, [07.03.19 20:01]
Цена вопроса!

Андрей Боровский, [07.03.19 20:03]
[В ответ на Котэ (^._.^)ノ]
Не соответствует, получат штраф тысяч 70, обновят сведения в реестре. А с учетом отсутствия четких границ биометрии могут ограничится фото.

Котэ (^._.^)ノ, [07.03.19 20:04]
Ситуация в том что клиента ставят в положение когда просят сэлфи, но в целях защиты уц
Хотя уц при этом не гарантирует что это его сэлфи будет защищено и никуда в сеть не утечет
Это к тому что есть информация о том что эти сэлфи как и другие документы клиентов хранятся в открытом виде на сервере организации на ос вин в обычных папках:))) и доступ к слову имеют к нему многие сотрудники компании

Андрей Боровский, [07.03.19 20:06]
[В ответ на Котэ (^._.^)ノ]
Мы же с Вами в одной стране живем, прям в вашей организации ПДн обрабатывается строго по закону и в соответствии со всеми стандартами и рекомендациями, и люди выполняют все требования и инструкции :slight_smile: