Комментарии 11
Интересно, можно ли пользоваться цифровым профилем и не хранить у себя персональные данные, чтобы не заниматься их защитой? Например, я делаю какую то систему и хочу давать людям к ней тестовый доступ на месяц, но только один раз. Мне нужно как-то убедиться в уникальности запросов на тестирование. Могу ли я отправить человека авторизоваться через Госуслуги, а в ответ получить только его уникальный ID без чувствительных данных? Нужно ли в этом случае так же полноценно заниматься интеграцией, или есть какое-то упрощённое АПИ?
Наши эксперты предложили такие варианты:
1) Можно попробовать обратиться к Методическим Рекомендациям ЕСИА, в них описан процесс авторизации и способы его использования.
2) Можно и с помощью цифрового профиля попробовать. Набор получаемых данных определяется «мнемоникой типа согласий» (это набор данных, согласия на которые дает клиент). При желании можно сделать такую мнемонику, где будет только идентификатор (сделать это должны будут на стороне цифрового профиля).
Но могут возникнуть проблемы с регистрацией такой системы для использования цифрового профиля, т.к он задумывался как источник персональных данных, а не способ аутентификации.
Нужна организация аналогично компаниям-прослойкам для процессинга платежей, чтобы не мучаться с интеграцией платёжных систем банков. Может даже с двумя режимами входа: по данным этой организации (+биометрия?) выдавать FakeID ИС-клиента, если уже есть сопоставление аккаунта организации с FakeID; после входа через ЕСИА генерить FakeID (+ организации хранить сопоставление с зашифрованным солёным ЕСИА ID).
Пока таких организаций не видел, но может у кого есть достаточный админ. и фин. ресурс, чтобы это запустить и предоставить по уровням подписки с лимитами на кол-во запросов в единицу времени и пр. Может даже лучше Госуслуги и ЕСИА на это как-то продавить, чтобы было доступно в виде услуги для подключения прямо в ЛК после необходимых проверок и запросов данных из ГИСов.
Мне такая система бы помогла при регистрации и как часть составной проверки при редкой периодической перепроверке/восстановлении/изменении данных авторизации уникального пользователя. Каждый вход пользователя в систему гонять через ЕСИА/компанию-прослойку выглядит нецелесообразным.
есть такой способ у ЕСИА, ранее можно было подключиться по открытому каналу всязи, но для новых интеграций не доступно, теперь рекомендуется через СМЭВ и типовое решение (TrustGate и еще что то доступно). А вот ранее было много вариантов реализовать простую авторизацию через ЕСИА (госуслуги) для своего сайта без обмена персональными данными, только OID ЕСИА.
Насколько сложно подружиться с Госуслугами, если ты... не банк?
То есть клиент теперь не сможет открыть у вас счёт, если у него нет госуслуг или если он не может туда зайти по причине шпионящего максимки? И это ради того, чтобы вы сэкономили 4 минуты? Доверие, говорите? А, ну, да...
Упрощение обмена инфой оно конечно хорошо. Но зачем банкам требуется куча левой инфы? Адрес прописки они берут из паспорта (скан делают при приходе в банк или при выдаче карты мобильным сотрудником) Не считая кучу другой инфы, которая по контексту не нужна, но лишние галочки я не могу убрать из запроса...
Вместо тысячи бумажек: как мы в ПСБ интегрировали Цифровой профиль Госуслуг и упростили жизнь себе и клиентам