Почему это важно проверять
Особенно важно проверять сайт, если на нём есть формы заявок, регистрация и корзина, онлайн-оплата или рекуррентные платежи, счётчики (Яндекс.Метрика, Google Analytics), рекламные пиксели, онлайн-чаты, CRM-интеграции или сторонние виджеты.
Если сайт собирает хотя бы телефон, email, имя, cookie, IP-адрес или данные из формы — он попадает под требования 152-ФЗ.
Что проверить в первую очередь
1. HTTPS и SSL-сертификат
Первое — работает ли сайт по защищённому соединению. В адресной строке должно быть https://, значок замка и корректный SSL-сертификат без предупреждений браузера. Если сайт открывается по HTTP или часть ресурсов грузится небезопасно (mixed content), данные передаются без защиты.
2. Формы сбора данных
Каждая форма должна проверяться отдельно: обратная связь, заявка, заказ звонка, регистрация, подписка, корзина, квиз, оплата. Рядом с каждой — чекбокс согласия (не отмечен заранее) и ссылка на политику обработки персональных данных.
3. Политика обработки персональных данных
Политика должна описывать реальные процессы сайта, а не быть шаблоном. В ней — какие данные собираются, с какой целью, кому передаются, есть ли трансграничная передача, сроки хранения и порядок отзыва согласия.
Политика есть, но в ней ничего не сказано про аналитику, cookie, CRM и рекламные пиксели, хотя они реально установлены на сайте.
4. Cookie, аналитика и рекламные пиксели
Проверьте: есть ли cookie-баннер, можно ли отказаться от необязательных cookie, не запускаются ли аналитика и пиксели до согласия, какие счётчики и сторонние домены загружаются, указаны ли cookie и аналитика в документах.
Cookie-баннер не должен быть декоративным. Если пользователь ещё не дал согласие, а аналитика и рекламные скрипты уже работают — это нарушение.
5. Сторонние сервисы и внешние скрипты
Многие риски появляются не из-за самого сайта, а из-за подключённых сервисов: аналитики, пикселей, чатов, CRM, рассылок, CDN, карт, видеоплееров. Владелец часто не знает, что подключено, — но ответственность остаётся на бизнесе. Нужно понимать, какие сервисы стоят, какие данные получают и где их серверы.
6. Признаки заражения сайта
Сайт может быть заражён без ведома владельца: редиректы на неизвестные страницы, предупреждения браузера, незнакомые скрипты в коде, резкое падение позиций. При подозрении — ограничить доступ, проверить файлы, восстановить из чистой копии, обновить CMS и плагины, сменить пароли.
7. Репутация домена
Если домен куплен недавно или на вторичном рынке — проверьте историю: не в чёрных ли списках, не использовался ли для спама и фишинга, нормально ли доставляются письма с доменной почты.
8. Базовые технические настройки
Редирект с HTTP на HTTPS, отсутствие mixed content, актуальный TLS и рабочий SSL, защита cookie флагами Secure/HttpOnly/SameSite, HTTP-заголовки безопасности, регулярные обновления CMS и резервные копии.
HTTP-заголовки безопасности
Когда браузер открывает сайт, сервер отправляет не только страницу, но и невидимый набор инструкций — HTTP-заголовки безопасности. Это настройки сервера, не контент. ВебСканер 2026 проверяет наличие 10 ключевых заголовков и выставляет оценку.
| Заголовок | Что делает | Зачем |
|---|---|---|
| Strict-Transport-Security (HSTS) | Заставляет браузер открывать сайт только по HTTPS | Защита от перехвата с подменой на HTTP |
| Content-Security-Policy (CSP) | Белый список источников скриптов, картинок, шрифтов | Главная защита от XSS |
| X-Frame-Options | Запрещает встраивать сайт в iframe на чужих сайтах | Защита от кликджекинга |
| X-Content-Type-Options | Запрещает браузеру угадывать тип файла | Защита от MIME-sniffing |
| Referrer-Policy | Управляет, какой URL передаётся другим сайтам | Не утекают ID заказа, телефон в URL |
| Permissions-Policy | Разрешает/запрещает камеру, микрофон, геолокацию | Защита от скрытого доступа к устройству |
| X-XSS-Protection | Включает XSS-фильтр в старых браузерах | Совместимость со старыми браузерами |
| Cross-Origin-Opener-Policy | Изолирует вкладку браузера | Защита от Spectre и чужих окон |
| Cross-Origin-Embedder-Policy | Требует явного разрешения на встраивание ресурсов | Безопасное включение мощных функций |
| Cross-Origin-Resource-Policy | Запрещает чужим сайтам грузить ваши ресурсы | Защита картинок, файлов и API |
«По результатам проверки у сайта отсутствуют HTTP-заголовки безопасности (оценка 0/10). Нужно настроить: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection, COOP, COEP, CORP». На сервере (nginx/Apache) это около 10 строк конфигурации, можно и через Cloudflare.
Штрафы и ответственность
За нарушения при сборе и обработке персональных данных предусмотрена ответственность по ст. 13.11 КоАП РФ. После поправок (ФЗ № 420-ФЗ, действуют с 30 мая 2025 года) штрафы усилены: от 60 000 ₽ за отсутствие политики до 6–18 млн ₽ за нарушение локализации. Полную таблицу штрафов смотрите в статье про 152-ФЗ.
Проблема не только в юридической ответственности. Утечка данных или взлом — это репутационный удар, потеря доверия клиентов и обязанность уведомить пострадавших и Роскомнадзор.
Короткий чек-лист для владельца сайта
- сайт открывается по HTTPS, нет mixed content, SSL действует;
- HTTP автоматически переводит на HTTPS;
- формы не отправляются без согласия, чекбоксы не стоят заранее, есть ссылка на политику;
- политика ПДн есть и соответствует сайту;
- cookie-баннер работает корректно, трекеры не запускаются до согласия;
- понятно, какие внешние сервисы подключены и куда уходят данные;
- нет неизвестных скриптов, CMS и плагины обновлены, есть резервные копии;
- HTTP-заголовки безопасности настроены;
- подано уведомление в Роскомнадзор, если требуется.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Статья 13.11 КоАП РФ
- OWASP Secure Headers Project — рекомендации по HTTP-заголовкам безопасности