26.06.2026 Путин подписал указ, , вводя административную ответственность за нарушение правил авторизации пользователей. В СМИ пишут, что Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: - номер российского телефона; - портал "Госуслуги"; - единая биометрическая система; - иные системы, владельцами которых являются граждане РФ или российские юридические лица. Использование иностранной электронной почты или зарубежных сервисов для этих целей запрещено. Сюда попадают иностранные почтовые адреса (Gmail, Hotmail и т.д.) либо другие зарубежные сервисы (Apple ID, Google ID и т.д.). На нашем сайте для авторизации используются 2 варианта: 1) по номеру мобильного телефона 2) по связке: логин/email + пароль (при этом email может быть любой) Плюс есть сервис восстановления пароля через email Ранее на проф.форумах обсуждалась данная тема, и там приводилась следующая аргументация: "... Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID. Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ. Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов. Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет. Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) -- аутентификация (вы доказываете это паролем или хешем) -- авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны. ..." Вопросы: 1) нужно ли нам изменять порядок авторизации на сайте https://piteroils.ru/personal/auth/ а именно: отказываться от связки email+пароль в сторону исключительно логин+пароль или вводить проверку, к российскому или зарубежному сервису относится email клиента? 2) должны ли мы проводить проверку мобильных телефонов на принадлежность исключительно российским номерам (и как быть, если доставка в ближнее зарубежье) и предупреждать на сайте об использовании только российских номеров? 3) восстановление пароля у нас идет в том числе через email. Должны ли мы отказаться от этого шага или ограничить восстановление только через email яндекс? или можем спокойно отправлять ссылки на восстановление на указанный клиентом email, не проверяя, к зарубежному или российскому сервису он относится?

Здравствуйте. В чате рабочей группы (с участниками которой я лично не знаком и не встречался), один из них опубликовал мою фамилию, имя и структурное подразделение. Сделано это было в ответ на мои критические замечания в адрес некоторых участников группы. Является ли это нарушением Закона о перс. данных?.