EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

finanzonline.bmf.gv.at

Австрийский портал электронного налогового декларирования
AT

Австрийский налоговый портал — 30 запросов, 2 домена, оба bmf.gv.at. CSP с nonce, HSTS, X-Frame-Options. Чат-виджет на chat.bmf.gv.at — собственная инфраструктура министерства. Ноль внешних зависимостей.

Хронология утечки

+282 мс · при загрузке
chat.bmf.gv.at/widget-fon.js — чат-виджет министерства финансов. Поддомен bmf.gv.at.

Контекст

FinanzOnline — австрийский государственный портал для подачи налоговых деклараций, просмотра налоговых решений и взаимодействия с налоговыми органами. Один из наиболее посещаемых государственных сервисов Австрии — используется гражданами, предприятиями и бухгалтерами. Оператор: Bundesministerium für Finanzen (BMF). HAR: 30 запросов, 2 домена. Сессия на странице логина.

Два домена — оба bmf.gv.at

finanzonline.bmf.gv.at и chat.bmf.gv.at — оба поддомены Федерального министерства финансов Австрии. Чат-виджет хостится на собственной инфраструктуре BMF, а не через Intercom, Zendesk или другой внешний сервис. Данные не покидают государственную инфраструктуру.

CSP с nonce — высокий стандарт безопасности

Content-Security-Policy: default-src 'self'; script-src 'self' chat.bmf.gv.at secure.oesterreich.gv.at sso.finanzonline.bmf.gv.at 'nonce-...'

Политика с nonce означает что каждый скрипт должен содержать соответствующий одноразовый токен — это защита от XSS на уровне выше стандартного CSP. secure.oesterreich.gv.at — государственный SSO-портал Австрии (ID Austria). sso.finanzonline.bmf.gv.at — собственный SSO портала.

Политика — подробная, BMF-группа

Datenschutzerklärung охватывает всё налоговое ведомство Австрии (Finanzressort). Подробное оглавление: правовые основания, категории данных, получатели, сроки хранения, автоматизированные решения, безопасность. DPO Finanzressort — отдельный контакт. Ответственный — BMF как контролёр данных.

Контекст чувствительности

FinanzOnline обрабатывает налоговые данные — одну из наиболее чувствительных категорий финансовой информации граждан и предприятий. Отсутствие каких-либо внешних трекеров на портале логина — обязательный минимум для сервиса такого уровня.

Вывод

30 запросов, 2 домена государственной инфраструктуры, CSP с nonce, HSTS. Австрийский налоговый портал соблюдает стандарт соответствующий чувствительности данных которые он обрабатывает. Вместе с dsb.gv.at, a-sit.at и ages.at — четвёртый государственный сайт Австрии с нулевым профилем внешних запросов.

Доказательство
Оригинал (разбор)
HAR-файл: at/finanzonline-bmf-gv-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.