Об интернет-дневниках

Как то так сложилось, что я никогда и ничего не слышал об интернет-дневниках в контексте защиты информации и, в частности, персональных данных. А ведь только один Dnevnik.ru обрабатывает сведения о 8 миллионах россиян: родителях и учениках из 30 тысяч школ по всей России! Такому объему могут позавидовать даже госорганы.


Кроме того Дневник.ру интересен тем, что является коммерческой компании, основанной в ыпускником Колумбийского университета (США), которая потратила значительные средства для организации бесплатной школьной социальной сети. Любопытно, не правда ли?

Просмотрев сайт dnevnik.ru я нашел пару интересных вещей.

name='more'>ООО "Дневник.ру" - весьма продвинутая компания. Для защиты от DDoS Дневник.ру использует сервис Qrator (который, к слову, обладает закрытым ключом шифрования https и заглядывает в любой пролетающий мимо пакет), для техподдержки используется американский сервис ZenDesk,
для хранения пользовательских файлов и кэширования - облако Microsoft  Azure и Amazon AWS, физически расположенное за пределами России, например, в Ирландии или США. Нужно сказать, что с точки зрения американского законодательства и сноуденовской практики, доступ к информации, витающей в этих облаках, для западных спец.служб полностью легален.
Однако персональные данные самих школьников, по уверению техподдержки, обрабатываются исключительно в России на серверах Селектела. В Ажур по-тихому улетают только аватарки, фотки, видео, библиотека и все прикрепленные учениками или преподавателями файлы...

В пользовтельском соглашении сервиса Дневник.руесть пару интересных моментов, о которых, думаю, знают далеко не все.
Если кратко, то предоставляемые ребенком персональные данные будут считаться общедоступными и будут использоваться для таргетированной рекламы. В новом веке потребителя профилируют с пелёнок. Получил двойку по физкультуре? Будешь смотреть на баннеры с рекламой спортивного питания до самой старости.

При этом информационная система ООО "Дневник.ру" аттестована по классу ИСПДн К2 (в реестре РКН, правда, указан класс К3. Код уведомления 09-0062296) и имеет сертификат ФСТЭК, который, правда, истёк и так и не был продлён.

В уведомлении РКН нет ни слова про обработку персональных данных 3 миллионов родителей, а описание мер защиты, предусмотренных законом, звучит просто и понятно: все ПДн 8 миллионов граждан "хранятся на электронных носителях с паролем"...

Набросав короткое резюме, я решил поинтересоваться у главного защитника детей от всего всего всего - Роскомнадзора - что он думает о написанном выше. Реакция Роскомнадзора мне показалась достойной поста на блоге:
Вот так и живём. Я сижу 5 месяцев жду от Роскомнадзора ответа, а Роскомнадзор, сменив 3 исполнителей, сидит и ждёт ответа от администрации сайта. Поэтому в следующий раз когда к вам придёт запрос от Роскомнадзора - не спешите с ответом, торопить вас никто не будет!