Ваш сайт — это мина замедленного действия? Cookies: Невидимая угроза.
23
cookies Беларусь безопасность

Ваш сайт — это мина замедленного действия? Cookies: Невидимая угроза.

RSS Atom

Представьте: ваш бизнес стабильно растет, сайт приносит лиды, вы собираете базу клиентов... И вдруг — предписание от Департамента цифрового развития. Штраф, блокировка ресурса и удар по репутации. Знакомая ситуация? К сожалению, для многих белорусских компаний она становится реальностью.Долгое время казалось, что контроль за персональными данными и cookie-файлами — это "забота только гигантов вроде Google". Но с вступлением в силу обновленных норм Закона "О защите персональных данных" (далее — Закон), а также КоАП РБ, требования стали жестче. Если вы до сих пор не проводили внутренний аудит безопасности хранения данных пользователей, ваш сайт работает с нарушением.Разберем три главные зоны риска и посчитаем реальные деньги, которые вы можете потерять.

1. Хранение данных пользователей: "Дырявая бочка"

Закон обязывает оператора (то есть вас) обеспечивать безопасность данных при их обработке и хранении. Это значит, что просто поставить сайт на хостинг недостаточно.

Что именно нужно проверить аудитом?

  • Шифрование: передаются ли данные по HTTPS? Хранятся ли пароли в хешированном виде?
  • Доступ: есть ли у вас политика разграничения прав доступа к базам данных?
  • Журналы: отслеживаете ли вы, кто и когда обращался к личной информации клиентов?
  • Утечки: есть ли система предотвращения взлома (IDS/IPD)?

Риск: Если базу данных клиентов (телефоны, адреса, паспортные данные) "уведут" хакеры из-за того, что вы забыли закрыть порт или обновить плагин, ответственность за утечку лежит на вас.

2. Cookies: Невидимая угроза

Ошибка многих маркетологов и владельцев сайтов — думать, что "cookies — это техническая мелочь". Но с точки зрения законодательства РБ, файлы cookie часто содержат идентификаторы пользователей, которые относятся к персональным данным.

Ваш сайт нарушает закон, если:

  • При первом заходе пользователя уже шпионят за ним (Google Analytics, метрики, пиксели соцсетей) без его согласия.
  • Нет "Баннера cookies", который позволяет отказаться от сбора данных (кроме строго необходимых технических).
  • Вы храните cookies дольше, чем это необходимо для заявленной цели.

Аудит должен проверить, настроена ли у вас "Cookie Wall" (шлагбаум) или корректная механика согласия (Opt-in), а не просто уведомление "Мы используем куки, оставаясь на сайте вы соглашаетесь".

3. Согласие пользователя: Формальности больше нет

Закон РБ требует, чтобы согласие на обработку данных было информированным и конкретным. "Галочка" под договором оферты, где спрятано 50 пунктов — это повод для штрафа.

Аудит должен ответить на вопросы:

  • Есть ли на сайте Политика конфиденциальности?
  • Можно ли отозвать согласие легко, а не через поддержку "в трех соснах"?
  • Разделен ли сбор данных для аналитики и для маркетинга?

Размеры штрафов: Цифры, которые бьют по бюджету

Самая мотивирующая часть для бизнеса. Невыполнение требований влечет административную ответственность по КоАП РБ.

Если ваш сайт "фонит" данными, а вы не провели аудит и не устранили нарушения, суммы таковы:

  • Для должностных лиц (руководитель, ИП):
    • От 20 до 50 базовых величин (БВ). На апрель 2026 года это от 800 до 2000 рублей.
    • За повторное нарушение (или если данные были особо чувствительными) — до 100 БВ (4000 рублей).
  • Для юридических лиц (компании):
    • Штраф может достигать от 200 до 300 базовых величин — это от 8000 до 12 000 рублей.
  • За утечку данных (часть 3 статьи 23.7 КоАП РБ):
    • Штраф для юрлиц — до 500 БВ (20 000 рублей).

Но штрафы — это не главная потеря. В случае серьезных утечек или игнорирования требований Департамент по защите персональных данных имеет право заблокировать доступ к вашему сайту на территории всей страны.

4. Логирование принятия / отзыва Cookie: Доказательство в суде

Продолжая тему «невидимой угрозы», важно разобрать самый частый пробел в аудите. Маркетологи настраивают баннер, пользователь нажимает «Согласен», но... что дальше? Если Департамент по защите персональных данных (ДЗПД) придет с проверкой или клиент подаст жалобу, как вы докажете, что согласие было получено законно?

Закон РБ требует не только получить согласие, но и подтвердить факт его получения. Просто хранить в браузере пользователя флаг cookie_consent=true — недостаточно. Это ваши данные, вы их генерируете, но доказательная база — ваша внутренняя.

Что именно должен проверить аудит в системе логирования?

  • Факт события (Audit Trail):
    • Записывается ли в лог-файлы сервера или специализированную БД момент, когда пользователь нажал «Принять все» или «Отказаться» (кроме строго необходимых)?
    • Фиксируется ли временная метка (timestamp) с точностью до секунды?
    • Сохраняется ли IP-адрес пользователя и User-Agent (браузер/устройство)? Это критично для идентификации, что действие совершил именно конкретный человек.
  • Версионность согласия (Consent Versioning):
    • Если вы обновили Политику конфиденциальности или список партнеров-аналитиков, ваши логи должны показывать: пользователь дал согласие на старую версию правил или на новую? Аудит проверяет наличие механики «версионного согласия».
  • Фиксация отзыва согласия (Withdrawal Logging):
    • Самая частая ошибка — не логировать отзыв согласия. Закон РБ (ст. 9) дает пользователю право отозвать согласие в любой момент. Если он нажал «Отозвать» в личном кабинете или через ссылку в письме, ваш сайт обязан:
      • Сделать запись в логе: «Пользователь X отозвал согласие Y.YYYY-MM-DD».
      • Автоматически остановить все процессы обработки (отправку метрик в GA, email-рассылки на этом основании и т.д.).
      • Хранить факт отзыва дольше, чем хранились сами cookies (обычно 3 года, как и другие логи обработки ПДн).
  • Защита логов от подделки (WORM):
    • Аудитор проверит, могут ли ваши же администраторы задним числом удалить запись о том, что согласия не было. Корректная система логирования использует принцип WORM (Write Once, Read Many) — неизменяемые логи, либо их хранение на внешней аттестованной системе (SIEM).

Пример нарушения (кейс из практики 2025 года):

Сайт интернет-магазина использовал «молчаливое согласие» (баннер с надписью «Продолжая использование, вы соглашаетесь»). При проверке ДЗПД запросил логи принятия куки. У компании не оказалось ни одного подтвержденного события «активного действия» от пользователя. Штраф — 200 БВ (8000 руб.) плюс предписание полностью переделать баннер и систему логирования.

Как это влияет на «дырявую бочку» (п.1 вашей статьи):
Если ваши логи с подтверждениями согласий хранятся в той же незащищенной базе данных, что и паспортные данные — это двойной риск. Хакеры украдут не только клиентов, но и ваше единственное доказательство в суде («они же соглашались!»), после чего вы не сможете даже оправдаться.

Резюме для аудита:
Проверьте, есть ли у вас отдельная таблица в БД (или файл логов) со следующими полями:
user_id_hash (псевдонимизированный ID), action (give / withdraw), timestamp, consent_version, ip, user_agent.
Если этого нет — ваш cookie-баннер юридически бесполезен.

Итог: Почему аудит — это выгодно?

Проведение аудита безопасности сайта (со стороны аттестованной организации или квалифицированного штатного специалиста) стоит в разы дешевле, чем 20 000 рублей штрафа + потеря клиентской базы + простой бизнеса.

Ваш план действий на сегодня:

  1. Проверьте, есть ли на вашем сайте SSL-сертификат и понятный Cookie-баннер с кнопкой отказа.
  2. Посмотрите, где хранятся логи и резервные копии базы данных клиентов.
  3. Закажите экспресс-аудит на предмет соответствия Закону РБ "О защите персональных данных".

Сделать это сейчас — значит спать спокойно и защитить репутацию компании от административных и репутационных рисков. Игнорирование законодательства в 2026 году становится слишком дорогим удовольствием.

Поделиться: