Безпека в Дії: чи можливо витягнути дані із мобільного застосунку

Користуватися застосунком «Дія» повністю безпечно, а витік даних практично неможливий. На цьому наголошує Міністерство цифрової трансформації України.

Зокрема, у відомстві відповіли на основні питання щодо безпечності «Дії».

Чи можливо витягнути дані з Дії?

Дія не зберігає персональних даних користувачів, а лише в разовий запит ідентифікованого громадянина відображає інформацію з реєстрів. Через Дію неможливо оцифрувати документи, завантажити їх чи зробити щось подібне. На смартфонах Android навіть нереально зробити скрін із застосунку. Дія — це винятково віддзеркалення вже наявних у громадян документів. 

Як здійснюється захист персональних даних? 

Захист персональних даних у мобільному застосунку Дія виконаний за кращими практиками безпеки для рішень такого типу – використаний підхід "глибокого захисту" (defense-in-depth). Також проведено відповідні пен-тести, тобто тестування безпеки застосунку компанією EPAM. 

Чи можливо отримати персональні дані та доступ до банківських рахунків через BankID? 

Коли користувач встановлює Дію, перше, що він робить, — проходить ідентифікацію за допомогою технології BankID. 

Банки зберігають про користувачів два типи інформації: personal identifiable information (PII) – і personal credit card information (PCI). За вимогами безпеки ці дані мають зберігатися окремо і з різними API. Для роботи застосунку Дія користувач надає доступ суто до personal identifiable information (PII). Усі банки, що належать до системи BankID Національного банку України, у тому числі Приватбанк, повідомляють, до яких саме даних буде відкрито доступ, і лише сам користувач може надати згоду на передачу цієї інформації про себе. Йдеться про ПІБ, паспорт, ІПН, телефон, адресу і електронну пошту. Перевірити цей перелік можна на сайті за посиланням.

Отримана інформація передається на смартфон користувача у вигляді зашифрованого і підписаного криптопримітива. Він не розшифровується на пристрої, а лише слугує ключем, за яким застосунок отримує доступ до документів. 

Які дані передаються через QR-код?

Для того щоб перевірити достовірність документів у Дії, використовується QR-код. 

У QR-коді зашифрований одноразовий пароль, який дозволяє верифікувати документ. Він дійсний лише три хвилини. Ризик того, що хтось устигне сфотографувати ваш код, скористається ним упродовж трьох хвилин і так дістане доступ до вашого документу, — мінімальний.

Нагадаємо, «Судово-юридична газета» писала, що в «Дії» запустили автоцивілку. Тепер доступні всі три водійські документи.

Раніше ми писали про основні питання щодо автоцивілки в застосунку «Дія». 

Також ми розповідали, чи можна застосувати замість браслету для домашнього арешту додаток «Дія». 

Підписуйтесь на наш Telegram-канал, щоб бути в курсі найважливіших подій.