Чек-лист для проверки сайта и приложения
Аутентификация и регистрация пользователей
- В интерфейсе входа и создания аккаунта исключены кнопки входа через Google, Apple и Microsoft.
- На веб-ресурсе полностью отсутствуют OAuth-интеграции от зарубежных провайдеров.
- Все механизмы входа опираются на связку «почта и пароль», номер мобильного телефона либо вход через портал Госуслуг.
- Проведен аудит подключенных библиотек аутентификации: подтверждено отсутствие скрытых SSO-запросов к зарубежным серверам.
Внешние виджеты и подключаемые модули
- Скрипты онлайн-консультантов не содержат опций входа через Google или иные зарубежные учетные записи.
- Веб-платформа не использует OAuth-компоненты от иностранных поставщиков услуг.
- Всплывающие окна (pop-up) лишены элементов авторизации через зарубежные сервисы.
- Осуществлена проверка внешних форм сбора обратной связи.
- При использовании платформ email-рассылок, имеющих собственный кабинет, вход в них не осуществляется через Google.
Мобильное приложение
- Функции входа посредством Apple ID и Google Sign-In полностью деактивированы.
Проверять стоит не только основной сайт компании. Устаревшие механизмы авторизации могут сохраняться в мобильных приложениях, личных кабинетах и внутренних корпоративных системах даже после того, как соответствующие кнопки были удалены из интерфейса.
Такой аудит позволяет снизить риски нарушений и заранее устранить потенциальные проблемы до вступления новых требований в практику правоприменения.
