Get in touch
Back to archive
13.07Server-side и API-интеграции

Работа с PII и Хеширование (SHA-256)

2 min read

1. Что это такое и почему это важно на уровне P&L

PII (Personally Identifiable Information) — это любые данные, которые позволяют идентифицировать конкретного человека (Email, телефон, ИИН, ФИО). Хеширование (Hashing) — это процесс превращения этих данных в уникальную строку символов фиксированной длины, которую невозможно "расшифровать" обратно. На уровне P&L работа с PII — это защита компании от катастрофических штрафов и репутационных потерь. Если вы передаете в Facebook или Google "голые" email-адреса ваших клиентов в открытом виде, вы нарушаете законы о персональных данных (GDPR в Европе, Закон РК "О ПД"). Хеширование (обычно алгоритм SHA-256) позволяет вам отправлять данные в рекламные сети для "матчинга" (сопоставления), оставаясь в правовом поле. Без этого вы либо рискуете штрафами, либо лишаете себя возможности использовать мощные инструменты ретаргетинга.

2. Механика работы (Исторический контекст)

Как работает магия SHA-256:

  1. Вы берете email: ivan@mail.kz.
  2. Пропускаете его через алгоритм хеширования.
  3. Получаете строку: a1b2c3d4... (64 символа).
  4. Facebook делает то же самое со своей базой.
  5. Вы передаете Facebook строку a1b2c3d4....
  6. Facebook видит: "Ага, у меня тоже есть такой хеш! Это Иван. Я покажу ему рекламу". Важно: Если хакер перехватит эту строку, он не сможет узнать, что за ней скрывался именно Иван.

3. Зачем это нужно на практике (Use Cases)

Представьте банк, который хочет настроить ретаргетинг на своих действующих клиентов.

  • Убыток (Передача открытых данных): Банк передает список Email в Facebook. Служба безопасности банка обнаруживает это. Проект закрывают, маркетолога увольняют, банку грозит отзыв лицензии за разглашение банковской тайны.
  • Прибыль (Хеширование на сервере): Банк внедряет скрипт, который прямо в оперативной памяти сервера превращает Email в хеши SHA-256. В Facebook улетают только "цифровые отпечатки". СБ спокойна, закон соблюден, банк успешно продает кредитные карты своей теплой аудитории через Instagram.

4. Фреймворк внедрения (Step-by-step)

Правила безопасной передачи данных:

  1. Никаких открытых данных: Телефон и Email всегда должны хешироваться ПЕРЕД отправкой по API.
  2. Нормализация: Перед хешированием данные нужно привести к единому стандарту (нижний регистр, удаление пробелов, международный формат телефона +7...). Если вы хешируете IVAN@MAIL.KZ и ivan@mail.kz, вы получите разные хеши, и Facebook не узнает пользователя.
  3. Соль (Salt): Иногда для супер-защиты добавляют "соль" (секретное слово), но для стандартных рекламных API (CAPI) это не используется, так как Facebook не сможет сопоставить данные.

5. Локальный контекст СНГ/РК (Кейсы и Анти-кейсы)

Специфика рынка: В Казахстане приняты поправки в закон "О персональных данных", которые ужесточают ответственность за утечки. Использование зарубежных систем (Meta, Google) требует особого внимания к тому, как данные покидают контур компании. Кейс (Крупный EdTech в РК): Компания собирает заявки на курсы. Они настроили автоматическое хеширование в sGTM. Каждый раз, когда в CRM падает новый номер телефона, он мгновенно превращается в хеш и улетает в TikTok Events API. Это позволило им построить Look-alike аудиторию на 90% точнее, чем раньше. Анти-кейс: Маркетолог в РК передавал Email в Facebook через URL-параметры (в открытом виде). Эти ссылки сохранились в истории браузеров пользователей и в логах сервера. При аудите безопасности это было признано критической уязвимостью. Вывод: Данные PII никогда не должны попадать в URL или открытые логи.

6. Summary / Главный совет ментора

ГЛАВНЫЙ СОВЕТ МЕНТОРА: Безопасность данных, это не "проблема IT", это фундамент вашего маркетинга. Один крупный скандал с утечкой данных может уничтожить бренд, который вы строили годами. Всегда используйте SHA-256 для Email и Телефонов. Это стандарт индустрии, который делает вас профессионалом в глазах и рекламных сетей, и службы безопасности вашей компании.