Обращаюсь прежде всего к компаниям - клиентам omnidesk.ru. А среди них много известных: Сdek, Avito, 2Gis. Тут более полный список:
Рекомендую этим компаниям срочно прекратить использование сервиса omnidesk и требовать удаления персональных данных ваших пользователей.
Omnidesk размещает файлы содержащие ПД пользователей компаний-клиентов в свободном доступе. Таким образом был выложен скан моего паспорта по адресу: azimuth.omnidesk.ru/attachment/download/{uuid}/{id}. И по настоящее время лежит там, несмотря на требование удалить файлы содержащие мои ПД.
Теперь подробнее: обратился я в авиакомпанию Азимут по e-mail с заявлением о возврате денежных средств за авиабилеты. По требованиям авиакомпании к заявлению необходимо приложить скан самого заявления(там указаны паспортные данные и пр.) и сканы 2-х страниц паспорта. Через несколько дней я получил e-mail с результатами рассмотрения (ответ положительный). Письмо содержало в том числе ссылки на отправленные мною файлы. Скачать файлы может кто угодно без авторизации/аутентификации. По мнению тех.поддержки omnidesk достаточно длинная ссылка сгенерированная случайным образом защищает мои персональные данные от неавторизованного доступа, сканирования поисковиками, ботами и пр.
Переписка с тех.поддержкой omnidesk к сожалению ни к чему не привела. Вот их первый ответ на мое требование удалить ПД из свободного доступа:
1) Вы обратились в поддержку azimuth.aero и отправили им свои данные.
2) Для обработки обращений клиентов, которые отправлены через почту, azimuth.aero использует наш сервис. Поэтому файлы были получены нашим сервисом. Вместе с azimuth.aero мы являемся операторами, которые осуществляют обработку персональных данных.
3) Ссылка, которую вы отправили, не индексируется поисковиками. Её нет в общем доступе. Вы её получили, так как у azimuth.aero активирована функциональность, которая позволяет добавлять в ответы их сотрудников историю переписки.Никто другой не получит доступа к этой ссылке, если вы самостоятельно её не отправите. Набор символов очень большой и сгенерировать его наугад нельзя.
4) Если вы хотите, чтобы эта ссылка перестала работать, напишите в поддержку azimuth.aero, чтобы они полностью удалили ваше обращение. В этом случае удаляются и все файлы, которые были в обращении, то есть ссылка перестанет открываться.
Хоть немного понимающие в IT безопасности люди понимают, что ссылка может утечь: через браузер, пересылку в мессенджеры, через утечку базы данных omnidesk / Азимут и пр. К сожалению все мои аргументы не были услышаны тех.поддержкой omnidesk, хотя сообщалось, что проводилась консультация с техническими специалистами перед написание ответа на мою претензию.
Повторюсь: компании которые используют omnidesk прекратите пользоваться этим сервисом и требуйте удаления персональных данных ваших пользователей. Компетентность IT специалистов/безопасников (если таковые имеются) компании omnidesk под вопросом.
Про нарушения закона о защите ПД можно еще пообщаться с omnidesk, но кажется смысла нет....
PS: omnidesk отказал мне в удалении ПД - сказали пусть Азимут удаляет. Азимут пока не ответил на аналогичное требование, хотя туда я отправил его в первую очередь.
UPDATE:
15:16 отправил им ссылку на публикацию на VC
15:43 Мы можем удалить конкретно этот файл, но вам в любом случае лучше дождаться ответа от Азимута. Иначе мы файл удалим, они ответят, что файл недоступен, и попросят вас снова отправить его.
18:40 omnidesk удалил файл
Ура, победа! Я был услышан!