Профиль и настройки
Заказы Лицензии Техническая поддержка Выйти
Регистрация
Восстановление пароля
Вход
Netcat 7.2: полное соответствие 152-ФЗ, безопасность, е-коммерция Netcat 7.1: 152-ФЗ и многое другое
Подробнее
о NetCat /  Блог компании

Блог Netcat

blog
17 июня 2026

Соответствует ли ваш сайт 152-ФЗ? Чек-лист самопроверки и как привести сайт в порядок

В 2025–2026 годах закон «О персональных данных» ужесточился радикально, а Роскомнадзор перешёл к массовым проверкам — в том числе автоматическим, по факту наличия на сайте формы, счётчика или чужой капчи. Штрафы выросли в разы: за неправильное согласие — до 700 000 ₽, за нарушение трансграничной передачи — до 18 млн ₽, за утечку — оборотные (до 3% выручки).

Главное, что важно знать пользователю Netcat: в версии 7.2 мы собрали полноценный набор инструментов под 152-ФЗ, и для типового сайта привести всё в порядок — это обновиться и настроить несколько готовых компонентов:

  • окно cookie-согласия с реальной блокировкой скриптов до согласия (с выбором режима в настройках сайта);
  • раздельные настраиваемые согласия в формах, корзине и при регистрации;
  • журнал согласий — чтобы при инциденте доказать факт согласия;
  • компонент «Документ с версиями» — чтобы хранить политику/согласие с историей редакций;
  • поддержка Яндекс SmartCaptcha вместо Google reCAPTCHA;
  • современная защита паролей и закрытые уязвимости.

Ниже — чек-лист самопроверки: по каждому требованию вы поймёте, есть ли проблема, и как её закрыть.

Прежде чем начать

Часть проверок требует базовых технических навыков (посмотреть, какие cookie ставятся, где на сайте подключены счётчики, как настроены формы). Если какой-то пункт проверить или исправить самостоятельно не получается — обратитесь к разработчику вашего сайта или в службу поддержки Netcat. Для лицензий с активным сроком технической поддержки консультация бесплатна.

⚠️ Статья носит образовательный характер и не заменяет юридическую консультацию. Тексты документов адаптируйте под вашу организацию и состав собираемых данных.

Требование 1. Cookie не должны устанавливаться до явного согласия посетителя

Привычная «информационная» плашка вида «Оставаясь на сайте, вы соглашаетесь на использование cookie» больше не работает: это не согласие, а уведомление постфактум. Закон требует реального выбора (принять / отклонить / настроить) и того, чтобы необязательные cookie (аналитика, реклама) не ставились до согласия. Заранее проставленные галочки тоже недопустимы.

Как проверить. Откройте сайт в режиме инкогнито и в инструментах разработчика (вкладка Application → Cookies, либо сетевые запросы к Яндекс.Метрике/Google) посмотрите: ставятся ли аналитические и рекламные cookie до того, как вы что-либо нажали? Если да (или баннера нет вовсе) — это нарушение.

Что делать, если не так. Обновитесь до Netcat 7.2 и добавьте в подвал сайта окно согласия:

  1. Если сайт собран в конструкторе — добавьте сквозной блок «Окно cookie-согласия» (компонент netcat_cookie_consent, показывается на всех страницах).

  2. Если конструктор не используется — добавьте в макет сайта (Template.html / подвал) вызов виджет-компонента. Два варианта:

    Со стандартным текстом (зависит от выбранного режима):
    <?= $nc_core->widget->generate('netcat_cookie_consent') ?>

    Со своим текстом баннера:
    <?= $nc_core->widget->generate('netcat_cookie_consent', array('Text' => 'Мы используем cookie. Аналитические и рекламные — только с вашего согласия. Подробнее — в Политике обработки персональных данных.')) ?>

    Режим окна выбирается в настройках сайта (сайт → настройки → общие → «Окно cookie-согласия»), три варианта:

    • «Только информирование (без блокировки)» — не рекомендуется (то самое «оставаясь на сайте…», требованиям не соответствует);
    • «Блокировать всё до согласия (одна кнопка)» — «Принять/Отклонить»;
    • «Выбор категорий пользователем» — посетитель сам отмечает группы cookie.
     

    Выбирайте режим с блокировкой (второй или третий). В режиме категорий управляемые группы (аналитика, маркетинг) по умолчанию выключены — как и требует регулятор.

  3. Переключите все встраиваемые скрипты под контроль согласия. Перенесите счётчики, чаты, пиксели и прочий сторонний код из макета дизайна и из модуля «Статистика посещений» в модуль «Внешние скрипты». Для каждого скрипта, который ставит cookie или передаёт данные посетителя третьим лицам, задайте поле «Категория cookie» (Аналитические / Маркетинговые и пр.). Тогда в режиме блокировки скрипт не выполнится, пока посетитель не даст согласие. Скриптам, которые данные не собирают, поставьте «Не собирает данные» — они будут работать всегда.

Требование 2. Согласие на обработку ПД — отдельное, осознанное и не предотмеченное

С 1 сентября 2025 года (поправки 156-ФЗ) согласие на обработку ПД должно быть отдельным — его нельзя «прятать» в тексте оферты или пользовательского соглашения, а разные виды согласий нельзя объединять в одну галочку. Дополнительно: галочки не должны быть проставлены по умолчанию, а формулировка «отправляя форму, вы соглашаетесь…» без галочки — это нарушение (нет осознанного действия).

Как проверить. Пройдите по всем точкам сбора данных (форма заявки, корзина, регистрация): есть ли отдельная незаполненная галочка согласия на обработку ПД со ссылкой на документ? Не объединена ли она с правилами сайта? Нет ли молчаливого согласия («Отправляя форму, вы соглашаетесь...») без галочки?

Что делать, если не так. В Netcat 7.2 во всех стандартных компонентах есть раздельные настраиваемые галочки. Мы рекомендуем три документа (а не два): Согласие на обработку ПД, Политика обработки ПД и Правила сайта / договор-оферта. В галочке про персональные данные ссылайтесь сразу на оба документа — и на Согласие, и на Политику.

Где настраиваются подписи галочек и их вывод:

  • Регистрация — модуль «Личный кабинет», вкладка «По логину и паролю»: опция «Требовать согласие на обработку персональных данных» и поля «Текст согласия на обработку персональных данных (HTML)» / «Текст согласия с правилами сайта (HTML)».
  • Магазин — настройки магазина, блок оформления заказа: поля «Текст подтверждения согласия с правилами обработки персональных данных» (первый и второй чекбоксы).
  • Стандартный компонент заявок — в настройках блока («большая шестерёнка» при наведении на блок в режиме редактирования): состав полей, их подписи и обязательность, включая поля согласий.
  • Индивидуальные (кастомные) компоненты — нужно смотреть код шаблона или привлечь разработчика.
 

Готовые тексты галочек:

☐ Я даю согласие на обработку моих персональных данных в соответствии
  с Согласием на обработку персональных данных и Политикой обработки
  персональных данных.
  (ссылки — на оба документа)
☐ Я принимаю условия Пользовательского соглашения / договора-оферты.
 

И создайте сами разделы с документами (если их ещё нет), после чего укажите их в настройках сайта (разделы «Политика обработки ПД», «Согласие на обработку ПД», «Правила сайта»).

Требование 3. Документы должны быть содержательными и с реальными реквизитами

Формальная «рыба» из интернета не защищает. В документах обязательны реальные реквизиты оператора (наименование, ИНН, адрес, контакты) и фактический состав данных и целей.

Как проверить. Открываются ли документы по ссылкам из галочек и подвала? Указаны ли в них ваши реальные реквизиты, перечень собираемых данных, цели, сроки, права субъекта и порядок отзыва согласия?

Что делать, если не так. Минимальная структура Политики обработки ПД (адаптируйте под себя):

1. Общие положения (оператор: наименование, ИНН, адрес, контакты)
2. Какие персональные данные обрабатываются и с какой целью
3. Правовые основания обработки
4. Порядок, условия и сроки хранения
5. Использование cookie и аналитических сервисов
6. Передача данных третьим лицам (если есть)
7. Права субъекта и как их реализовать (запрос, отзыв согласия)
8. Контакты для обращений; дата вступления редакции в силу
 

Храните эти документы в новом компоненте «Документ с версиями»: он ведёт историю редакций с датами вступления в силу. Это пригодится для следующего требования — доказать, какая редакция действовала на момент согласия.

Требование 4. Факт согласия нужно уметь доказать

По ст. 9 ч. 4 152-ФЗ доказывать получение согласия обязан оператор — то есть вы. У Роскомнадзора нет технической возможности проверить это снаружи, но при инциденте или жалобе без журнала компания не сможет подтвердить свою правоту: галочка в форме, которую можно изменить задним числом, доказательством не является.

Как проверить. Сможете ли вы показать по конкретной заявке: кто, когда, с какого IP и на какой именно текст согласия нажал? И открыть ту редакцию документа, что действовала в тот день?

Что делать, если не так. В Netcat 7.2 есть журнал согласий. Он автоматически фиксирует каждое согласие: контакт/пользователя, дату и время, дословный текст галочки, страницу и IP — и доступен в панели управления.

  • На новых сайтах (собранных на 7.2) журнал уже подключён ко всем стандартным формам — заявки, заказы, регистрация логируются автоматически.
  • На обновлённых старых сайтах дополнительная настройка не нужна, если в компоненте, куда добавляются данные, поле признака согласия имеет формат agreement, поля почты и телефона имеют название Email и Phone, а имя/ФИО в поле/поях Name + Surname, ContactName, FIO, Fullname, f_Username. Для автоматического логирования согласий приведите поля формы к этим значениям; альтернативный вариант: в шаблон действия после добавления заявки/запроса/заказа добавьте код логирования согласия. Это должен делать разработчик, предварительно изучивший структуру форму, которую заполняет посетитель. Вот пример вызова метода регистрации согласия:
  
<? if (class_exists('nc_consent_log')) {
      nc_consent_log::log_consent(
          array(
              'name'                => $nc_core->input->fetch_get_post('f_Name'),
              'email'               => $nc_core->input->fetch_get_post('f_Email'),
              'phone'               => $nc_core->input->fetch_get_post('f_Phone'),
              'source_table'        => 'Message' . $classID,   // таблица компонента
              'source_object_id'    => $msgID,            // ID созданной записи
              'source_infoblock_id' => $cc,
          ),
          array(array(
              'label_html' => 'Я даю согласие на обработку персональных данных (реальный текст галочки согласия в формате HTML со ссылками)',
              'type'       => 'pd',
          ))
      );
  } ?>
Важно. Журнал согласий входит в модуль «Логирование», который доступен во всех редакциях, кроме Standard. Если у вас Standard — чтобы получить журнал, повысьте редакцию до Standard+ в личном кабинете или через разработчика вашего сайта.

Требование 5. Никакой неуведомлённой передачи данных за рубеж

Любой зарубежный сервис на сайте (Google reCAPTCHA, Google Analytics, карты Google, YouTube-плеер) передаёт данные посетителей за границу.

Как проверить. Есть ли на сайте Google reCAPTCHA, Google Analytics или другие иностранные счётчики/виджеты?

Что делать, если не так.

  • Капча: переключитесь с Google reCAPTCHA на Яндекс SmartCaptcha — она поддерживается в Netcat 7.2 «из коробки» (выбирается в настройках модуля капчи), данные остаются в РФ. Используется в формах и в попапе входа/регистрации.
  • Аналитика: используйте Яндекс.Метрику вместо Google Analytics (подключайте через модуль «Внешние скрипты» с указанием категории cookie — см. требование 1).
  • Альтернатива (если зарубежный сервис необходим): уведомить Роскомнадзор о трансграничной передаче и предупредить пользователей о ней — но это влечёт дополнительные обязанности и риски, проще отказаться в пользу российских сервисов.

Требование 6. Другие требования

Коротко о том, что важно, но не относится напрямую к функционалу Netcat:

  • Уведомление в Роскомнадзор. Почти все, кто собирает ПД (даже через одну форму), обязаны до начала обработки подать уведомление через портал РКН. За неуведомление — штраф до 300 000 ₽. Проверить себя можно в реестре операторов.
  • Хранение данных в РФ (локализация). Первичный сбор и хранение данных граждан РФ должны быть на серверах в России. Netcat — self-hosted CMS, поэтому достаточно разместить сайт на российском хостинге.
  • Защита данных. В Netcat 7.2 пароли хранятся по современному алгоритму (Argon2id) с автоматической миграцией старых, формы и вход защищены капчей от перебора, а также устранены потенциальные уязвимости — это ещё одна причина обновиться как можно скорее.

Что делать дальше

  • Активна лицензия на обновления — обновите систему в панели управления и настройте сайт по этому чек-листу.
  • Лицензия неактивна — продлите её, установите обновление и настройте.
  • Не готовы делать самостоятельно — закажите проверку сайта на соответствие 152-ФЗ и приведение его в порядок у вашего разработчика или в службе поддержки Netcat (для лицензий с активной техподдержкой — консультация бесплатна).
Привести сайт в соответствие проще, чем кажется, — и точно дешевле, чем один штраф.

Контакты: +7 495 783 6021 · info@netcat.ru

Поделиться

Комментарии 0

Для добавления комментариев вам необходимо авторизоваться
Описание проекта
Сохранить и свернуть