EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

bsi.bund.de

Федеральное ведомство по информационной безопасности Германии
DE

BSI — национальный орган по кибербезопасности Германии. 108 запросов, 1 домен. BundesSans v3-014 и BundesSerif — локально. Matomo с opt-out через cookie-баннер, matomoTracking cookie задокументирован. OpenStreetMap — только по явному запросу пользователя. В HAR нет внешних доменов. Полное соответствие.

Хронология утечки

+133 мс · загрузка
CSS и все ресурсы с www.bsi.bund.de. IT-SiKongress 2026, Hall of Fame, NIS2-Banner, KRITIS — контент информационной безопасности, всё локально.
+139 мс · шрифты
BundesSansWeb v3-014 (Regular, Italic, Bold) и BundesSerifWeb (Regular, Italic) — пятое начертание — на собственном сервере.
+458 мс · JS
www.bsi.bund.de/global.js — единственный JS-файл. Стандартная федеральная платформа.
Нет внешних доменов
108 запросов — все к www.bsi.bund.de. Matomo не активирован. OpenStreetMap — только при явном использовании карт. Set-Cookie — ноль.

Декларация против факта

Matomo (matomoTracking cookie) — детально задокументирован с таблицей cookies — заявлен
IP-анонимизация — «Nullen von zwei Stellen des IP-Bereichs» — заявлен
OpenStreetMap — задокументирован с Art. 6(1)(a) (Einwilligung при использовании карты) — заявлен
Protokolldateien на ITZBund — задокументированы (30 дней) — заявлен

Контекст

BSI (Bundesamt für Sicherheit in der Informationstechnik) — национальный орган по кибербезопасности Германии. Публикует предупреждения об уязвимостях, стандарты IT-безопасности (BSI-Grundschutz), сертифицирует продукты безопасности, ведёт Hall of Fame исследователей безопасности. HAR: 108 запросов, 1 домен. Контент страницы охватывает IT-SiKongress 2026, NIS2, KRITIS — всё в области информационной безопасности.

Документация — наиболее детальная в немецкой серии

Политика конфиденциальности BSI (121 775 символов) — самая подробная из всех немецких сайтов серии. Содержит структурированную таблицу обработки данных с колонками: категория, данные, субъект, цель, срок хранения. Отдельно задокументированы: Protokolldateien (30 дней, ITZBund, Art. 6(1)(e)), сессионные cookies (без PII), matomoTracking cookie (с полным описанием собираемых данных, механизмом анонимизации IP), OpenStreetMap (только при явном использовании карты, Einwilligung).

Для matomoTracking cookie политика указывает точно, что собирается: анонимизированный IP (два октета заменены нулями), открытая страница, предыдущая страница (referrer), время, браузер, ОС, разрешение. Уровень детализации превышает требования Art. 13 GDPR.

OpenStreetMap — consent при использовании

Сайт BSI содержит интерактивные карты OpenStreetMap — например, для отображения расположения центров кибербезопасности. Политика задокументировала это как отдельную категорию: IP-адрес передаётся OpenStreetMap только при использовании карты, правовое основание — Art. 6(1)(a) DSGVO (Einwilligung). В HAR запросов к OpenStreetMap нет — карта не загружается на главной странице без явного взаимодействия.

BSI как стандарт для федеральной платформы

BSI — орган, выпускающий технические стандарты безопасности для всех федеральных органов. Его собственный сайт воплощает те же принципы. Архитектура идентична другим сайтам немецкой серии (BMJV, BBK, BND) с одним дополнением — детальнейшая документация, превышающая минимальные требования GDPR. Это не случайность: BSI публикует рекомендации по защите данных для федеральной администрации.

Вывод

bsi.bund.de — шестой нулевой результат немецкой серии. Федеральный орган по кибербезопасности реализует стандарт приватности, соответствующий его институциональной функции: один домен, государственный хостинг, детальная документация каждой категории обработки, корректный opt-out для Matomo. Именно BSI устанавливает стандарты, которым следуют остальные сайты немецкой серии.

Доказательство
Оригинал (разбор)
HAR-файл: de/bsi-bund-de-2026-05-29.har
SHA-256: 2feb39fc697ed6bfd9798bed0fbd9249030f636f9e96aa633dd378cabbb7b307
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.