<br> <br> &nbsp;&nbsp;&nbsp;В зв’язку з запуском тестування Телеграм боту Єдиного вікна до нас, з одного боку, надходять численні запитання щодо безпеки такого рішення, а з іншого - користувачі надають багато пропозицій, які суперечать нашій політиці безпеки стосовно цього застосунку. Щоб не відповідати кожен раз індивідуально, я спробую максимально вичерпно та доступно роз’яснити ці речі, звісно, в тих межах, в яких це дозволяє відкритий ефір &#128512;. <br> <br> &nbsp;&nbsp;&nbsp;Треба розуміти, що кожного разу нам необхідно знаходити оптимальний баланс між функціональністю та безпекою, і цей проект тут жодним чином не є виключенням. <br> <br> &nbsp;&nbsp;&nbsp;З точки зору функціональності, Телеграм бот Єдиного вікна є просто альтернативним фронтендом Особистого кабінету, який дублює невелику частину його можливостей, та - головне - забезпечує оперативне сповіщення вас про деякі факти в тих випадках, коли в цьому існує потреба. <br> <br> &nbsp;&nbsp;&nbsp;А тепер про безпеку. Спочатку про ризики та загрози. <br> <br> &nbsp;&nbsp;&nbsp;Телеграм не є безпечним середовищем. Він адмініструється невідомо ким, і, скажемо так, невідомо хто стоїть за тими, хто його адмініструє. Крім того, судячи з усього, в телеграм ботах взагалі не використовується шифрування, тобто вся інформація ходить у відкритому вигляді. Звісно, якщо не рахувати те, що між нашим сервером та Telegram API обмін йде по протоколу HTTPS, але цього в даному випадку абсолютно недостатньо, бо далі воно все одно, скоріш за все, не зашифровано. <br> <br> &nbsp;&nbsp;&nbsp;Тепер про ті обмеження, які випливають з ризиків і загроз, та кроки, які ми вжили, щоб захистити ваші дані. <br> <br> &nbsp;&nbsp;&nbsp;1. Наш Телеграм сервер (до речі, так само як і Особистий кабінет), не має власної бази даних та безпосередньо не підключений до будь-яких інших наших баз даних. Вся взаємодія з нашими ресурсами відбувається виключно через написані спеціально для цієї мети веб сервіси. <br> <br> &nbsp;&nbsp;&nbsp;2. Наш Телеграм сервер виконано у вигляді окремої віртуальної машини, на якій нема жодного іншого нашого прикладного програмного забезпечення і яка належним чином «огороджена» з усіх боків. «Назовні» взаємодія можлива виключно з Telegram API, «всередину» - зі згаданими вище веб сервісами, які, зі свого боку, теж відповідним чином «огороджені». Адміністратори, як і у всіх інших випадках, можуть «дістатися» до цього сервера виключно «зсередини». <br> <br> &nbsp;&nbsp;&nbsp;3. Через бот не може циркулювати жодна конфіденційна інформація або персональні дані. Навіть ваші ПІБ та РНОКПП використовуються виключно в Особистому кабінеті для прив’язки до Telegram ID. Далі вони недоступні не тільки в боті, але навіть в нашому Телеграм сервері, які оперують виключно Telegram ID та вашим ніком, який ви самі собі призначили в Телеграм. Тобто навіть наш Телеграм сервер, навіть якщо «сильно захоче», до ваших персональних даних та конфіденту не дістанеться. <br> <br> &nbsp;&nbsp;&nbsp;4. Для використання боту потрібна ваша особиста згода у вигляді реєстрації в Особистому кабінеті. Реєстрація відбувається після ідентифікації за КЕПом або іншими методами, які надає Інтегрована система електронної ідентифікації “id.gov.ua”. Згода підписується КЕПом. <br> <br> &nbsp;&nbsp;&nbsp;5. При реєстрації Особистий кабінет генерує вам пін-код, який потрібно ввести в Телеграм. Це гарантує вас від помилкового введення Telegram ID в Особистому кабінеті, що призвело би до надсилання «ваших» сповіщень комусь іншому. <br> <br> &nbsp;&nbsp;&nbsp;6. В Особистому кабінеті вами здійснюється тонко гранульоване налагодження сервісів, які ви бажаєте довірити боту. Наприклад, якщо ви відключили режим «Запит залишку на ЄКР», то навіть якщо кaцaпcькі хакери якимось чином надішлють запит від вашого імені (з вашим Telegram ID), то вони все одно не отримають змістовної відповіді. І це перевіряється не в Телеграм сервері, а у «внутрішніх» веб сервісах. <br> <br> &nbsp;&nbsp;&nbsp;7. Інформація в бот надається нами в абсолютно мінімальному вигляді. Наприклад, якщо мова йде про митну декларацію, то це максимум її MRN, LRN, тип та дати прийняття/оформлення/відмови. Будь ласка, більше не просіть - не дамо. Отримали сповіщення, якщо потрібні деталі - подивіться в Кабінеті. <br> <br> &nbsp;&nbsp;&nbsp;8. Залишається проблемне питання з уповноваженням учасниками ЗЕД митних брокерів, але ця проблема має загальний характер з великою кількістю «таких собі» наслідків, які виходять далеко за межі Телеграм. І прохання тут 4207 не пропонувати, бо це несерйозно. На наш погляд, єдиним реальним (але при цьому дієвим) методом вирішення цієї проблеми буде надання можливості учасникам ЗЕД в Особистому кабінеті під КЕП самостійно встановлювати перелік митних брокерів, з якими вони працюють, можливо, з грануляцією рівня довіри. Ми маємо надію на внормування такого механізму вже найближчим часом. Зрозуміло, що такий підхід буде стосуватися всіх застосунків, а не тільки бота - і Особистого кабінету, і брокерських програм, і інформаційних інтеграцій. <br> <br> &nbsp;&nbsp;&nbsp;Отже, прошу врахувати цю інформацію при використанні Телеграм боту Єдиного вікна та при поданні пропозицій щодо розширення його функціональності. <br>