Правилен хостинг за ispdn. Защо сървърите на повечето облачни доставчици не са подходящи за обработка на лични данни? Какъв хостинг да изберете - руски или чуждестранен, за да не нарушите Закона за личните данни? Компютърен център хостинг-пр

  • Федерален закон „За личните данни“ от 27 юли 2006 г. N 152-FZ

Публикации

От септември 2015 г. в руска федерацияРазпоредбата за локализиране на съхранението на лични данни влезе в сила (242-FZ от 21 юли 2014 г.). Тази иновация, разбира се, се оказа един от основните двигатели на руския хостинг пазар и облачни изчисления, принуждавайки както операторите на лични данни, така и доставчиците на хостинг услуги отново да помислят как да осигурят съответствието на такъв на пръв поглед прост субект като уебсайт с изискванията на законодателството за личните данни.

Въпреки факта, че Федералният закон № 152-FZ от 27 юли 2006 г. „За личните данни“ беше приет доста отдавна, не всеки се адаптира към него и се научи да го прилага. Отчасти поради големия брой нормативни документи и редовно издаваните промени в тях. Днес те идват от четири отдела: правителството, Roskomnadzor, FSTEC и FSB. А също и благодарение на доста балансираната позиция на регулатора, който вместо политиката на забиване на пирони избра стратегия на плавно, но неизбежно затягане на винтовете.

Ако голям бизнеси държавните органи, като най-дисциплинирани участници на пазара, в по-голямата си част вече са привели своите информационни системи за лични данни (ISPD) в съответствие със закона, тогава средният и малък бизнес едва сега започват да осъзнават, че за по-нататъшно съществуване и развитие, те все още ще трябва да излязат от сенките, включително и по отношение на прилагането на законодателството за личните данни, още повече че тази сянка остава все по-малко и вече започва да не стига за всички.

Какво трябва да направи собственикът на уебсайт, където се събират и съхраняват лични данни на потребителите (например в личния акаунт на онлайн магазин)? Нека се опитаме да разберем това заедно.

Ако уебсайт събира лични данни, това е информационна система за лични данни и е предмет на 152-FZ

Ето какво казва самият Роскомнадзор за това: „Съгласно клауза 9 на чл. 3 от Федералния закон „За личните данни“, информационната система за лични данни е набор от лични данни, съдържащи се в бази данни и осигуряващи тяхната обработка информационни технологиии технически средства. Ако уебсайтът отговаря на посочените изисквания, той е информационна система.“

Всички интуитивно знаем какво представляват личните данни, но е важно да разберем какво представляват те от правна гледна точка. Съгласно параграф 1 на член 3 от Федерален закон № 152-FZ, лични данни са всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице. Тоест, това е почти всичко: от данъчен идентификационен номер до цвят на косата и размер на обувките, да не говорим за телефонния номер и адреса, независимо дали е имейл или пощенски.

По този начин онлайн магазин или просто уебсайт, където има личен акаунт или регистрация на потребител, онлайн поръчка, резервация, плащане, доставка и т.н. и т.н., по отношение на 152-FZ, всичко това е информационна система за лични данни (ISPD), а нейният собственик е оператор на лични данни.

Законът за личните данни отчита тенденциите в облачните изчисления и аутсорсинга

Вече е казано и написано много за уместността и перспективите на ИТ аутсорсинга, особено за компании от сектора на малките и средни предприятия, така че в тази статия няма да агитирам читателя „за облаците“. Освен това всички знаем много добре, че повечето сайтове в Интернет се хостват на публични уеб сървъри на доставчици на хостинг услуги.

Има много причини за това, но най-важната е, разбира се, здравословното желание на компаниите да спестят пари и да получат евтина уеб услуга с висока наличност. Създаването на ваша собствена изчислителна инфраструктура с надеждност, която е поне сравнима със стандартния център за данни Tier-III, струва милиони рубли. Първо, имате нужда от подходящо помещение: не коридор, не мазе, не таван, за да не се наводнява и за да няма достъп там непознати. Необходима е вентилация и климатизация и то с известно резервиране. Необходимо е да се организира автономно и резервно захранване. За да направите това, трябва да инсталирате някъде дизел генератор. И накрая, необходим е персонал за физическа охрана и поддръжка. Освен това, за да гарантирате наличност на услугата, ще трябва да закупите пълен комплект резервни части за сървърно и мрежово оборудване. Тоест, вместо един сървър, всъщност трябва да закупите два.

Естествено, с развитието на облачните изчисления, технологиите за виртуализация и ясната тенденция към аутсорсинг, все повече компании от малкия и среден бизнес се стремят да прехвърлят своите информационни системи от системни единици „под бюрото“ към облачни изчислителни ресурси, разположени в компютърни центрове, които отговарят на съвременните индустриални стандарти.

IN информационни системиВсяко предприятие съхранява и обработва определено количество лични данни. Това могат да бъдат както лични данни на служители на компанията, така и данни на клиенти или контрагенти. Корпоративните информационни системи са доста разнообразни, както функционално, така и технологично. Може да бъде и система за автоматизация счетоводство, например 1C и сайт с личен акаунтпотребител и онлайн магазин. В същото време тези информационни системи, като правило, са взаимосвързани - те предават информация една на друга, включително лични данни.

Съгласно клауза 3 на член 3 от 152-FZ обработката на лични данни е всяко действие (операция) или набор от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива инструменти с лични данни, включително събиране, запис , систематизиране, натрупване, съхранение, изясняване (актуализация, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.

По този начин поставянето на ISPD на сървъра на доставчика не е нищо повече от аутсорсване, като минимум, на такива функции за обработка на лични данни като запис, съхранение, четене (извличане), прехвърляне и изтриване.

Съгласно клауза 2 на член 3 от 152-FZ оператор (на лични данни) е юридическо или физическо лице, което самостоятелно или съвместно с други лица организира и (или) извършва обработката на лични данни, както и определя целите на обработването на лични данни, състава на личните данни, подлежащи на обработка, действия (операции), извършвани с лични данни.

Съответно, хостинг доставчикът, който е поел функциите по съхраняване и предаване на лични данни, е техен оператор, заедно със собственика на сайта (информационната система, обработваща тези лични данни) и съгласно закона е длъжен да предприеме определени мерки за гарантиране на тяхната сигурност. Всъщност всичко не е толкова лошо и трябва да отдадем почит на авторите на Закона „За личните данни“ № 152-FZ и Правителствен указ № 1119 от 1 ноември 2012 г., които предвиждат прехвърлянето от оператора на лични данни на част от функциите за обработката им да бъдат възложени на трети страни.

Законодателно регулиране на хостинг уебсайтове, които обработват лични данни на хостинг, предоставен от трета страна

Операторът на лични данни има право да възложи обработването на лични данни на друго лице със съгласието на субекта на лични данни, въз основа на споразумение (инструкция), сключено с това лице. Лицето, обработващо лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в действащото законодателство. Заповедта на оператора трябва да определя списък от действия с лични данни, които ще бъдат извършвани от лицето, обработващо лични данни, и целите на обработването, трябва да установява задължението на това лице да поддържа поверителността на личните данни и да гарантира сигурността на личните данни по време на тяхната обработка и трябва също да посочи изисквания за защита на обработваните лични данни (клауза 3, член 6 152-FZ).

По този начин хостинг доставчикът, подобно на собственика на сайта, е оператор на личните данни, обработвани на сайта и отговаря за тяхната наличност, безопасност и сигурност. С една единствена разлика - собственикът на сайта носи отговорност пред субектите на лични данни и в предвидените от закона случаи е длъжен да получи разрешение от субектите за обработка на лични данни, а хостинг доставчикът, като упълномощено лице, е длъжен отговаря пред собственика на сайта и получава лични данни от него и ги съхранява, но не носи отговорност за получаване на разрешение от субектите.

Като цяло темата за получаване на съгласието на субектите за обработка на техните лични данни е много голяма и интересна и, разбира се, заслужава отделна статия.

Разграничаване на зоните на отговорност на хостинг доставчика и собственика на сайта за спазване на изискванията за защита на личните данни

Съгласете се, би било несправедливо да прехвърлите цялата отговорност за сигурността на личните данни на хостинг доставчика. В края на краищата често той няма представа кой, как и на какво е написан сайтът, хостван на неговия сървър. Какви пароли се използват за разрешаване на достъп до лични данни, под каква форма се съхраняват и дали изобщо се използват.

Съгласно Постановление на правителството № 1119 (клаузи 13 - 16), за да се осигури необходимото ниво на сигурност на личните данни, когато се обработват в информационни системи, трябва да бъдат изпълнени следните изисквания:

Изискване PP 1119

Изисквано ниво на сигурност

Зона на отговорност

Организиране на охранителен режим на помещенията, в които е разположена информационната система

УЗ-4;
УЗ-3;
УЗ-2;
УЗ-1;

Хостинг доставчик;

Гарантиране на безопасността на носителите на лични данни

Хостинг доставчик;

Одобрение от ръководителя на оператора на списъка на лицата с право на достъп до лични данни

Използване на сертифицирани средства за защита на информацията (преминали оценка за съответствие със законовите изисквания)

Хостинг доставчик;

Назначаване на длъжностно лице, отговорно за осигуряване сигурността на личните данни

УЗ-3;
УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Достъпът до съдържанието на регистъра на електронните съобщения е възможен само за лица, които притежават съответнитеправа за достъп

УЗ-2;
УЗ-1;

Собственик на сайта; Хостинг доставчик;

Автоматична регистрация в електронния дневник за сигурност на промени в правомощията на служителите на оператора за достъп до лични данни

УЗ-1;

Собственик на уебсайт, хостинг доставчик

Създаване на структурно звено, отговорно за осигуряване сигурността на личните данни

Собственик на уебсайт, доставчик на хостинг услуги

Хостинг доставчикът трябва да има лиценз от Roskomnadzor за предоставяне на комуникационни услуги

Както знаете, за предоставяне на комуникационни услуги е необходим лиценз на Roskomnadzor. Това следва например от параграф 36 на член 12 от Федералния закон от 4 май 2011 г. № 99-FZ „За лицензиране на определени видове дейности“.

Съгласно списъка с имена на комуникационни услуги, включени в лицензите за извършване на дейности в областта на предоставянето на комуникационни услуги, одобрен с постановление на правителството на Руската федерация от 18 февруари 2005 г. № 87), лицензираните комуникационни услуги включват, между други неща:

  • Телематични комуникационни услуги (това включва хостинг);
  • Комуникационни услуги за предаване на данни, с изключение на комуникационни услуги за предаване на данни с цел предаване на гласова информация.

За да хоства сайтове, които обработват лични данни, хостинг доставчикът трябва да има лиценз на FSTEC

Федерална служба за технически и експортен контрол ( FSTEC на Русия) - регулира дейностите, свързани с техническата защита на информацията, занимава се с въпроси на обществената политика в тази област на законодателството, стандартизацията, лицензирането, а също така провежда съответните одити.

Тъй като хостинг доставчикът, като упълномощено по договора за преотстъпване лице, е оператор на лични данни, той е длъжен да предприеме технически мерки за защитата им, т.е. да предоставя услуги за техническа защитаинформация, която в съответствие с наредбата за лицензионни дейности за техническа защита на поверителна информация, одобрена с постановление на правителството на Руската федерация от 3 февруари 2012 г. N 79, се отнася до лицензирани видове дейности.

Организационните и технически мерки за гарантиране на сигурността на личните данни, одобрени със Заповед № 21 на FSTEC от 18 февруари 2013 г., включват:

  • идентифициране и удостоверяване на субекти на достъп и обекти на достъп;
  • контрол на достъпа на субекти на достъп до обекти на достъп;
  • ограничение на софтуерната среда;
  • защита на компютърни носители за съхранение;
  • регистриране на събития за сигурност;
  • антивирусна защита;
  • откриване на проникване (предотвратяване);
  • контрол (анализ) на сигурността на личните данни;
  • осигуряване целостта на информационната система и личните данни;
  • осигуряване на наличност на лични данни;
  • защита на средата за виртуализация;
  • защита на технически средства;
  • защита на информационната система, нейните системи за комуникация и предаване на данни;
  • идентифициране на инциденти и реагиране при тях;
  • управление на конфигурацията на ISPDn и SZPDn.

За извършване на работа за гарантиране на сигурността на личните данни е разрешено да се ангажират на договорна основа организации на трети страни, които имат лиценз за работа в областта на техническата защита на поверителна информация (клауза 2, параграф 2 от Заповед № 21 на FSTEC ).

Редица мерки за гарантиране на сигурността на личните данни изискват доставчикът на хостинг услуги да притежава FSB лиценз

Мерките за осигуряване на подходящо ниво на защита на личните данни, съгласно Заповед № 21 на FSTEC, включват следните мерки:

  • Изпълнение на защитени отдалечен достъпсубекти на достъп до обекти на достъп чрез външни информационни и телекомуникационни мрежи (UPD.13);
  • Осигуряване на защита на личните данни от разкриване, промяна и налагане (въвеждане на невярна информация) по време на тяхното предаване (подготовка за предаване) по комуникационни канали, които излизат извън контролираната зона, включително безжични комуникационни канали (ZIS.3);
  • Осигуряване на автентичност мрежови връзки(сесии за взаимодействие), включително за защита срещу спуфинг мрежови устройстваи услуги (ЗИС.11);

Въз основа на същността на тези мерки е ясно, че тяхното прилагане изисква използването на криптографски средства за защита на информацията (CIPF). Както е известно, въпросите, свързани с използването на CIPF в Руската федерация, се регулират от Федералната служба за сигурност (ФСБ на Русия).

Съгласно разпоредбите за лицензионни дейности за разработване, производство, разпространение на криптиращи (криптографски) инструменти, одобрени с Указ на правителството на Руската федерация от 16 април 2012 г. № 313, списъкът на произведенията, които представляват лицензирани дейности, включва:

  • Разработване на сигурни, използване криптографски средства, информационни и телекомуникационни системи;
  • Монтаж, инсталиране, настройка на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
  • Работа по поддръжка на криптографски средства;
  • Трансфер на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
  • Предоставяне на услуги за криптиране на информация.

Изчислителният център на хостинг доставчика трябва да се намира на територията на Руската федерация

На 1 септември 2015 г. Руската федерация влезе в сила относно локализирането на съхранението и някои процеси на обработка на лични данни, определени в Федерален закон№ 242 от 21 юли 2014 г. „За изменение на някои законодателни актове на Руската федерация по отношение на изясняването на процедурата за обработка на лични данни в информационни и телекомуникационни мрежи“, съгласно параграф 1 на член 2 от който, при събиране на лични данни , включително чрез информация - телекомуникационната мрежа Интернет, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация. .

В същото време е важно да се отбележи, че трансграничното предаване на лични данни като такова не е забранено, а се регулира от закона. Повече за това можете да прочетете в чл. 12 152-ФЗ.

Накратко за основното

И така, нека обобщим горното.

Уебсайтът е информационна система за лични данни, ако неговата функционалност ви позволява да въвеждате, съхранявате или преглеждате лични данни. Добър примерМоже да служи почти всеки уебсайт с личен акаунт, възможност за онлайн резервация, поръчка или покупка с доставка и др.

Обработката на лични данни на клиенти онлайн е не само необходимост на съвременната електронна търговия, но и широки възможности за маркетинг, чието описание заслужава отделна статия.

Собственикът на уебсайт, който е ISPD, е длъжен да изпрати уведомление до Roskomnadzor, като посочи: какви лични данни съхранява и обработва, къде са физически разположени сървърите, на които работи ISPD. Можете да прочетете за това в моята статия „Как да подадете уведомление до RKN и да не изпаднете в проблеми“.

Споразумението с хостинг доставчик, в допълнение към количествените и качествени характеристики на изчислителните ресурси, трябва задължително да съдържа ред за обработка на лични данни, като посочва конкретен списък от действия, които ще бъдат извършени с тях, трябва да посочва целите и трябва да се установи процедурата за обработка на лични данни, изискванията за тяхната защита и отговорността на доставчика за сигурността на личните данни.

В допълнение към стандартните лицензи на Роскомнадзор за хостинг компании за предоставяне на телематични комуникационни услуги, с цел защита на личните данни, обработвани на клиентски сайтове, хостинг доставчикът трябва да има лиценз на FSTEC за дейности, свързани с техническата защита на поверителна информация и FSB лиценз за предоставяне на услуги, свързани с използването на криптирани (криптографски) средства.

И накрая, сървърът на доставчика, на който физически се съхраняват лични данни, трябва да се намира на територията на Руската федерация.

И така, тази статия обсъжда много, но в никакъв случай не всички аспекти на поставянето на ISPD в изчислителните ресурси на доставчиците облачни услуги. повече подробна информацияможете да получите от следните документи и информационни ресурси:

Законодателство

  • Указ на правителството на Руската федерация от 1 ноември 2012 г. N 1119 „За утвърждаване на изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни“
  • Заповед на FSTEC на Русия от 18 февруари 2013 г. № 21 за одобряване на състава и съдържанието на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни

    Telegram Passport ще ви позволи да идентифицирате самоличността на потребителя. Всички необходими документи и данни ще трябва да бъдат качени в Telegram веднъж, след което можете незабавно да ги прехвърлите на партньорите на Telegram. Предвижда се до пускането на новата услуга да се използват услугите на няколко такива партньори, включително Qiwi.

    Прочети още...

Тъй като сървърът не се намира във вашия дом, вие нямате достъп до него и със сигурност не можете да повлияете по никакъв начин на политиката на центъра за данни, просто нямате възможност да изпълните редица законови изисквания. Остава само едно, да намерите хостинг, който отговаря на изискванията на закона.

Сега не съм Beget, написах им писмо относно лиценза им на FSTEC за защита на поверителна информация. Отговориха мъгляво, че не съм аз и къщата не е моя, ние сме само тези и общо взето не трябва... Да обобщим, те нямат лиценз, което означава общо взето, сайт, който събира лични данни, не може да се съхранява там. Сърфирах в интернет (все още не много) и досега намерих само RU-CENTER с лиценз.

Лиценз за дейности по разработване и (или) производство на средства за защита на поверителна информация
ЛИЦЕНЗ № 0917 от 20.09.2011г

Лиценз за дейности по техническа защита на поверителна информация
ЛИЦЕНЗ № 1594 от 20.09.2011г
Носител на авторските права: Акционерно дружество "Регионален мрежов информационен център"
Срок на валидност на лиценза: неограничен

Хостинг на поверителна информация в RU-CENTER

На 6 март 2012 г. RU-CENTER започва да предоставя нова услуга - хостинг на поверителна информация.
Хостинг на поверителна информация е поставянето на уебсайт в Интернет с помощта на допълнителни меркипо защита на информацията.
Тази услуга ще ви позволи да изпълните редица задължителни изисквания на действащото законодателство (Закон N 152-FZ), които се представят при обработката на лични данни.
В допълнение към основните методи за защита на данните и съхранение на информация, използвани в други услуги на RU-CENTER, хостингът на поверителна информация предлага:

  • специализирано сертифицирано оборудване, което ви позволява да извършвате редица действия за защита на информацията по време на достъп до мрежата;
  • допълнително ограничение физически достъпкъм оборудването, на което се предоставя услугата;
  • ежедневно архивиране(2 екземпляра);
  • отчитане на използваните физически носители;
  • MySQL, предназначен за всяка услуга.
Основни потребители нова услуга- малки и средни предприятия, онлайн магазини, форуми, системи за маркетингови проучвания и много други интернет ресурси, които при обработката и съхраняването на лични данни на потребителите трябва да спазват изискванията на законодателството на Руската федерация (Закон N 152-FZ ).

Истинският въпрос е какво е качеството им?
И ако някой намери други хостери с лиценз на FSTEC за защита на поверителна информация, да го публикува в тази тема.

След влизането в сила на клауза 4, част 2, член 19 от Федералния закон от 27 юли 2006 г. № 152-FZ „За личните данни“, всяко предприятие е длъжно да въведе своите информационни системи и процеси, свързани с обработката на лични данни в съответствие с изискванията на законодателството на Руската федерация.

Какво означава това за юридическите лица?

Организациите са длъжни да осигурят защита на правата и свободите на лицата и гражданите при обработката на техните лични данни, включително защита на правото на личен живот, лична и семейна тайна. Така те стават „организации на оператори на лични данни“. Федералната служба за надзор на съобщенията, информационните технологии и масовите комуникации (Роскомнадзор), FSTEC и FSB на Русия ще следят за спазването на изискванията на законодателството.

Федералният закон се прилага за компании от всякаква организационна форма - те включват държавни органи, федерални и общински институции: банки, застрахователни компании, медицински институции, телеком оператори, онлайн магазини, търговски вериги, производствени предприятия и други организации, обработващи лични данни, получени от служители, клиенти и други физически и юридически лица.

Отговорностите на експлоатационната организация включват:

  • гарантиране на законосъобразността на обработката на лични данни;
  • изграждане на система за защита на личните данни в съответствие с изискванията на FSTEC и FSB на Русия;
  • изпращане на уведомление до Roskomnadzor;
  • разработване на вътрешна документация;
  • провеждане на сертификационни тестове или оценка на съответствието;
  • системно актуализиране на системата за защита на личните данни.

Често това се оказва трудна и скъпа задача, включително и поради необходимостта от получаване на документ, потвърждаващ ефективността на предприетите мерки за защита на личните данни. Ето защо повечето компании предпочитат да оптимизират този процес, като намерят надежден партньор готово решениевъв външна виртуална инфраструктура.

За всеки да изпълнява юридически лицана територията на Русия съгласно едноименния федерален закон - 152, ние - хостинг сайт в сътрудничество с компанията WELLSERVICE - предлагаме по-евтино и отнемащо много време решение: прехвърляне на системи за съхранение и обработка на лични данни в защитена облачна система , което наричаме „ISPDn в облака“.

Сървъри за информационни системи за лични данни (PDIS) се предоставят на всички компании, разположени на територията и които са резиденти на Руската федерация.

Какво е „ISPDn в облака“?

Продуктът „ISPDn в облака“ е отделен, защитен виртуален сървър, по избраната от вас тарифа, напълно отговаряща на изискванията на Федерален закон-152.

Всеки „ISPDn в облака“ е напълно изолиран обект. Това означава, че достъпът до вашия ISPD от хостинг доставчика е блокиран с помощта на сертифицирани инструменти за сигурност и е абсолютно поверителен!

Поверителността на обработваната информация се постига чрез:

  • Достъпът до данните, намиращи се на „ISPDn в облака“, е ограничен при използване сертифицирани от FSTECРуски средства за защита срещу неоторизиран достъп (NAD) и използване на функциите на хипервизор на виртуална машина (което е част от сертифициран инструмент за защита).
  • Данни, предавани по комуникационни канали от терминала на организацията-оператор на лични данни към мрежовия интерфейс виртуална машина, са криптирани с помощта на заверен от FSBРуски средства за криптографска защита на информацията (CIPF). Дискови изображениявиртуалните машини също са криптирани с помощта на CIPF.
  • Нито един от центровете за данни няма ключове за достъп до съоръженията на CIPF, разположени във виртуалната машина на клиента. Така, например, за изтегляне операционна системана VPS, клиентът самостоятелно въвежда паролата за крипто контейнера, съдържащ системен дял. Тази процедура се изпълнява с помощта на програма за зареждане на операционна система, специално разработена от нашата компания на виртуална машина. В същото време ключовете за достъп могат да бъдат регенерирани от потребителя на виртуалната машина независимо по всяко време и криптоконтейнерът може да бъде съответно повторно криптиран.
  • Наличността и целостта на обработваната информация се осигурява чрез използването на запазени комуникационни канали, надеждни системи за съхранение на данни, охлаждащи устройства и непрекъсваемо захранване. Наши партньори са най-добрите центрове за данни в Русия: Miran, IXCellerate, KIAEHOUSE.

Какво дава ISPDn в облака на компаниите в Русия?

Проста процедура: ние ще поемем целия комплекс от организационна, правна и техническа работа - разработване на модел на заплаха за сигурността, концепция за система за защита, методология за сертифициране, директно провеждане на сертификационни изпитвания и издаване на сертификат за съответствие. Избирайки нашия продукт „ISPDn в облака“, НЕ Е НУЖНО ДА ПОЛУЧАВАТЕ СЪГЛАСИЕТО НА СУБЕКТИТЕ НА ЛИЧНИ ДАННИ, когато ги събирате.

Значителни спестявания:нашият продукт освобождава компанията клиент от разходите за създаване и притежаване на сигурна ИТ инфраструктура за съхранение, обработка и защита на лични данни. Освен това хостингът на ISPD в облака се предоставя като услуга; компанията клиент няма капиталови разходи.

Нашите предимства:

  • защитената система „ISPDn в облака“ е преминала всички необходими сертификации като напълно отговаряща на всички изисквания на законодателството на Руската федерация в областта на личните данни;
  • пълно съответствие с изискванията на FSTEC и FSB на Русия на всички хардуерни, софтуерни и мрежови елементи на системата;
  • няма да е необходимо да получавате съгласието на субектите на лични данни, когато ги събирате;
  • консултации и поддръжка на всички етапи от внедряването и работата с продукта.
  • пълен пакет от организационни, административни и нормативни документи;
  • няма капиталови разходи.

Какъв е процесът на предоставяне на услугата?


1

Регистрация на представител на компанията клиент на нашия уебсайт и последващо попълване на формуляр за кандидатстване за услугата „ISPDn в облака“: необходимост от сертифициране, подробности за организацията, вид дейност.

В зависимост от изискванията на ISPD, вие избирате подходящ тарифен план с необходимите параметрисървър: дисково пространство и RAM.

Сключване на договор за предоставяне на услугата „ISPDn в облака“ и извършване на плащане.

Въз основа на предоставените данни ние ще подготвим за вас набор от организационни, административни и нормативни документи, включително декларация за личните данни, акт за класификация на ISPD, модел на заплаха и други необходими документи. Специалист от нашата компания ще провери правилното попълване и одобрение на тези документи.

Съгласуваме с Вас датата на освидетелстване на място на работното място. След като специалист посети и провери всички изисквания за работното място, вие получавате сертификат за съответствие и целия пакет от документи, удостоверяващи пълното съответствие на вашия ISPD с изискванията и стандартите № 152-FZ „Относно личните данни“ и всички до- закони.


Нашите лицензи и сертификати


* Цената на защитен ISPD сървър с пакет от документи и сертификационна процедура при заплащане за 1 година.

Продажба на сигурна инфраструктура за съхранение и обработка на лични данни според представените тарифни плановеизвършвани за минимум 1 година.

При поръчка на първия сървър от ISPD се таксува инсталационна такса от 11 300 рубли.

Преди да започнем анализа на 152-FZ, трябва да знаете, че има и Закон 242-FZ, който влезе в сила на 1 септември 2015 г., който е регулаторен акт, който измени друг основен източник на закон - Федерален закон № 152 , приет през юли 2006 г. Приемането на закона за „локализация на лични данни“ беше съпроводено с широко отразяване на законодателната инициатива в различни медии, в резултат на което създаването на два основни митаотносно Федерален закон № 242-FZ:

  • На руснаците вече е забранено да публикуват свои лични данни (уебсайтове) в чужбина;
  • На всички чуждестранни компании беше забранено да получават и обработват лични данни на руснаци на сървъри извън Руската федерация.

Федерален закон № 242-FZ предвижда, че „при събиране на лични данни, включително чрез интернет, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Русия Федерация, използваща бази данни, разположени на територията на Руската федерация." В случай на неспазване на закона достъпът до сайт, осъден за първично събиране и съхранение на лични данни на руски граждани в бази данни, разположени в рамките на юрисдикцията на Руската федерация, може да бъде ограничен.

Мога ли да използвам хостинг в чужбина?

Законът не забранявапоставяне на уебсайт (база данни) на сървъри, разположени в държави, които са подписали Конвенцията на Съвета на Европа ETS № 108, както и трансграничен трансфер на лични данни. Съгласно Конвенция ETS № 108 на Съвета на Европа „За защита на лицапо време на автоматизирана обработка на лични данни“, част 2 на член 12 предвижда, че държавите, които са се присъединили към него, няма да забраняват или поставят под специален контрол информационни потоци от лични данни, отиващи на територията на друга страна по Конвенцията, а чл. 25 забранява всякакви резерви към Конвенцията.

Това означава, че използването на хостинг в чужбина (не в рамките на Руската федерация), както и съхраняването и обработката на лични данни се счита за законно, ако хостингът се намира в една от страните, подписали Конвенцията: Австрия, Белгия, България, Дания, Великобритания, Унгария, Германия, Гърция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Малта, Холандия, Полша, Португалия, Румъния, Словакия, Словения, Финландия, Франция, Чехия, Швеция, Естония, както и както следва от обясненията на Roskomnadzor , в държавите , осигуряващи адекватна защита на личните данни. Те са признати за държави, които имат общонационални разпоредби в областта на защитата на личните данни и упълномощен надзорен орган за защита на правата на субектите на лични данни: Андора, Аржентина, Израел, Исландия, Канада, Лихтенщайн, Норвегия, Сърбия, Хърватия, Черна гора, Швейцария, Южна Корея, Япония.

Къде трябва да се съхраняват личните данни?

Физически сайтът и базата данни могат да бъдат хоствани от всяка страна, която е подписала Конвенцията ETS № 108 на Съвета на Европа. Законът изисква операторът да осигури записване, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация, но законът не забранява съхраняване на лични данни на руснаци на сървъри извън територията на Руската федерация. Единственото условие е личните данни първоначално да бъдат събрани и обработени в Руската федерация. Но, повтаряме, това не забранява трансграничното предаване на лични данни и работата с тях в страните, подписали Конвенцията.

Съответствие на хостинг с JIHOST 152-FZ

Jihost напълно отговаря на 152-FZ поради използването на репликация и трансгранично предаванелични данни.

Принципите на работа са описани схематично по-долу:

Хостинг Jihost съответствие с 152-FZ Всяка промяна в базата данни на сайта, включително прехвърляне лична информация, базата данни се копира на сървър, разположен на територията на Руската федерация, като по този начин се гарантира постоянната актуалност и пълнота на данните в съответствие със закона. След това данните се репликират в базата данни на локалния сървър, от която впоследствие работи сайтът. Този кръгъл модел работи навсякъде. Освен това, ако се изисква само четене на данни, тогава това се случва без репликация, директно от местна базаданни. В допълнение към съответствието с 152-FZ,тази схема