На самом деле вопрос не в уязвимости, а в нарушениии процедуры включения в реестр ккм. Нарушения требований по хранению данных, вопросы больше к кгд, как это произошло.

Целью моего входа в этот чат, было изложение Личной позиции и договорённостей. С Арманом мы на связи, разработчики и менеджеры реКасса тоже присутствуют в чате. И уже работают над след релизом. Поэтому я выхожу.  Если кого-то задел стилистикой или орфографией, прошу извинить. Если будут вопросы, можете обращаться в личку.

Поддерживаю ребят из ЦАРКА что в целом надо наводить порядок в системном повышении ИБ, но при этом ещё раз выскажусь, что хотелось бы очертить границы этичного хаккинга. Чтобы у разработчика, при выявлении каких-то проблем в софте, было время на устранение, до публичного объявления.

Здесь же вопрос больше к мин фину, а не к вам. Как они допустили такой ккм в реестр

Багдат, скажите, а рекасса планируется к окупаемости?

В технических требованиях к ККМ есть 3 раздела.  Первый это требования к железным кассам и наличием у них автономного режима. Второй это программная касса, работающая только в онлайн режиме. Третий это требования в АПК - клиент-серверное исполнение с автономным режимом.  В текущей ситуации вопрос где должен быть автономный режим? Вот тут пробел в самих технических требованиях к ккм. У одних только на сервере.  У других и на сервере и на самом устройстве. В процессе обсуждения видно, что автономный режим на устройстве приводит к возможности манипулировать данными. Самый простой вариант оставить автономный режим только на сервере.  Вот это и есть предмет обсуждения. А РеКасса просто выступила катализатором. А вопрос касается всего третьего раздела.

Доп функционал планируется за деньги (по ведению бизнеса, инструменты учёта и т.д.)

Да

это они ещё систему быстрых платежей не видели. Вводишь номер телефона, и видишь кто это и в каких банках есть счета

Планируется версия с доп функционалом

Так кто запускает эти нападки на Минфин и Мусина. Может это министерство по информатизации? Которое ничего для информатизации не сделало. Один Минфин показывает милиардные доходы от информатизации

Я не спрашивал, а отвечал 😜

А Мусин реальный кандидат в министры по информатизации.

спасибо ) я как представитель рекассы подверждаю )))

давайте без политики ))

Дмитрий, вы немного не правы, поправлю.
Да, три раздела. Первый- о старых кассах без онлайна. Второй- онлайн (приложения типа обсуждаемого), третий- с фиксацией (оффлайн) и передачей данных. Все АПК, которые вносились в реестр в самом начале, были разработаны и внесены согласно требованиям второго раздела. А вот уже после, их наделили способностями использовать оффлайн (фиксация). Так вот, когда их наделили такими возможностями, то почему-то (можно догадаться только, почему), полцчилось так, что в них не обеспечиваются требования по сохранности данных, сформированных в оффлайн режиме. И больше тут даже не к разработчикам вопросы, а к тому, насколько это вообще физически возможно, без использования каких-либо аппаратных решений для некорректируемого хранения данных.
И это не вопрос к конкретной рекассе. Согласен, она явилась катализатором, только и всего. Но, проблема глубже, чем то, о чем пытаются писать на разных ресурсах в последние дни. Дело в том, что на рынке представлено достаточно много решений подобного типа, с теми же проблемами (а то и гораздо более серьезными), но, которые используются уже не мелкими предпренимателями на сотовых телефонах, а достаточно крупными! И вот там, эта проблема может быть действительно весомой. А у клиента рекассы (типового) всегда был выбор- выдать чек или нет. И для такого клиена невыдача чека является куда более привычным и естественным делом, нежели удаление каких-то жанных с телефона.

Мое мнение,  если нет технической возможности обеспечить требования третьего раздела по сохранности оффлайн данных (а их нет по факту, можно лишь усложнить их модификацию/удаление, но полностью избавиться от этой дыры невозможно, ИМХО), такие приложения должны работать только в онлайн, согласно требованиям второго раздела. И да, для того, чтобы произвести махинации с накопленными данными в оффлайн, на большинстве таких АПК, далеко не нужно быть "хакером", что-то там "взламывать". Достаточно знаний разносторонне развитого школьника старших классов.

Разыграть несколько камри 70 среди покупателей, чтобы требовали чеки. Сделать клиент со стороны покупателя)

И то, что удаление данных с рекассы (удаление приложения, если я правильно понимаю) приводит к необходимости повторной регистрации -несомненный плюс рекассы, в отличие от других, где такие действия можно произвести без каких-либо последствий вообще.

Такое уже есть.