Alojamiento correcto para ispdn. ¿Por qué los servidores de la mayoría de los proveedores de la nube no son adecuados para procesar datos personales? ¿Qué hosting debería elegir, ruso o extranjero, para no violar la Ley de Datos Personales? Centro de cómputo hosting-pr

  • Ley Federal "Sobre Datos Personales" de 27 de julio de 2006 N 152-FZ

Publicaciones

Desde septiembre de 2015 en Federación Rusa Entró en vigor la disposición sobre la localización del almacenamiento de datos personales (242-FZ del 21 de julio de 2014). Esta innovación, por supuesto, resultó ser uno de los principales impulsores del mercado de hosting ruso y computación en la nube, lo que obliga tanto a los operadores de datos personales como a los proveedores de alojamiento a pensar una vez más en cómo garantizar que una entidad aparentemente tan simple como un sitio web cumpla con los requisitos de la legislación sobre datos personales.

A pesar de que la Ley Federal No. 152-FZ del 27 de julio de 2006 "Sobre Datos Personales" fue aprobada hace bastante tiempo, no todos se han adaptado a ella y han aprendido a implementarla. En parte debido a la gran cantidad de documentos reglamentarios y a los cambios que se les realizan periódicamente. Hoy provienen de cuatro departamentos: el Gobierno, Roskomnadzor, FSTEC y el FSB. Y también gracias a la posición bastante equilibrada del regulador, que, en lugar de la política de clavar clavos, optó por una estrategia de apretar los tornillos de forma suave pero inevitable.

Si grandes negocios y los organismos gubernamentales, como participantes más disciplinados del mercado, ya han adaptado sus sistemas de información de datos personales (ISPD) a la ley, las medianas y pequeñas empresas recién ahora están empezando a darse cuenta de que para una mayor existencia y desarrollo, Todavía tendrán que salir de las sombras, incluso en términos de la implementación de la legislación sobre datos personales, especialmente porque esta sombra es cada vez menos y ya empieza a no ser suficiente para todos.

¿Qué debe hacer el propietario de un sitio web donde se recogen y almacenan datos personales de los usuarios (por ejemplo, en la cuenta personal de una tienda online)? Intentemos resolver esto juntos.

Si un sitio web recopila datos personales, entonces es un sistema de información de datos personales y está sujeto a 152-FZ.

Esto es lo que dice el propio Roskomnadzor al respecto: “Según el párrafo 9 del art. 3 de la Ley Federal "Sobre Datos Personales", un sistema de información de datos personales es un conjunto de datos personales contenidos en bases de datos y que garantizan su procesamiento. tecnologías de la información Y medios tecnicos. Si el sitio web cumple con los requisitos especificados, es un sistema de información”.

Todos sabemos intuitivamente qué son los datos personales, pero es importante entender qué son desde un punto de vista legal. Según el párrafo 1 del artículo 3 de la Ley Federal No. 152-FZ, los datos personales son cualquier información relacionada directa o indirectamente con un individuo específico o identificable. Es decir, esto es casi cualquier cosa: desde el número de identificación fiscal hasta el color de cabello y la talla de zapato, sin olvidar el número de teléfono y la dirección, ya sea correo electrónico o postal.

Así, una tienda online o simplemente un sitio web donde existe una cuenta personal o registro de usuario, pedido online, reserva, pago, entrega, etc. etc., según 152-FZ, todo esto es un sistema de información de datos personales (ISPD), y su propietario es un operador de datos personales.

La ley de datos personales tiene en cuenta las tendencias de la computación en la nube y la subcontratación

Ya se ha dicho y escrito mucho sobre la relevancia y las perspectivas de la subcontratación de TI, especialmente para las empresas del sector de las pequeñas y medianas empresas, por lo que en este artículo no agitaré al lector "por las nubes". Además, todos sabemos muy bien que la mayoría de los sitios de Internet están alojados en servidores web públicos de proveedores de servicios de alojamiento.

Hay muchas razones para esto, pero la más importante es, por supuesto, el deseo de sentido común de las empresas de ahorrar dinero y conseguir un servicio web barato y de alta disponibilidad. Crear su propia infraestructura informática con una confiabilidad al menos comparable a la de un centro de datos estándar de nivel III cuesta millones de rublos. En primer lugar, necesita una habitación adecuada: ni un pasillo, ni un sótano, ni un ático, para que no se inunde y para que los extraños no tengan acceso allí. Se necesita ventilación y aire acondicionado, y con cierta redundancia. Es necesario organizar un suministro de energía autónomo y de respaldo. Para hacer esto, necesita instalar un grupo electrógeno diesel en algún lugar. Finalmente, se necesita personal de seguridad física y mantenimiento. Además, para garantizar la disponibilidad del servicio, deberá comprar un juego completo de repuestos para servidores y equipos de red. Es decir, en lugar de un servidor, en realidad tendrás que comprar dos.

Naturalmente, con el desarrollo de la computación en la nube, las tecnologías de virtualización y una clara tendencia hacia la subcontratación, cada vez más empresas del sector PYMES buscan trasladar sus sistemas de información desde unidades de sistema "debajo del escritorio" a recursos de computación en la nube ubicados en centros de cómputo que cumplir con los estándares industriales modernos.

EN sistemas de información Cada empresa almacena y procesa una determinada cantidad de datos personales. Pueden tratarse tanto de datos personales de los empleados de la empresa como de datos de clientes o contrapartes. Los sistemas de información corporativos son bastante diversos, tanto funcional como tecnológicamente. También podría ser un sistema de automatización. contabilidad, por ejemplo, 1C y un sitio con cuenta personal usuario y tienda online. Además, estos sistemas de información suelen estar interconectados: se transmiten información entre sí, incluidos datos personales.

Según el inciso 3 del artículo 3 de 152-FZ, el procesamiento de datos personales es cualquier acción (operación) o conjunto de acciones (operaciones) realizadas utilizando herramientas de automatización, o sin el uso de dichas herramientas con datos personales, incluida la recopilación, el registro. , sistematización, acumulación, almacenamiento, aclaración (actualización, modificación), extracción, uso, transferencia (distribución, provisión, acceso), despersonalización, bloqueo, supresión, destrucción de datos personales.

Por lo tanto, colocar un ISPD en el servidor del proveedor no es más que subcontratar, como mínimo, funciones de procesamiento de datos personales como registro, almacenamiento, lectura (recuperación), transferencia y eliminación.

Según el inciso 2 del artículo 3 de 152-FZ, un operador (de datos personales) es una persona física o jurídica que, de forma independiente o junto con otras personas, organiza y (o) lleva a cabo el procesamiento de datos personales, así como determina los fines del procesamiento de datos personales, la composición de los datos personales sujetos a procesamiento, las acciones (operaciones) realizadas con datos personales.

En consecuencia, el proveedor de hosting, que ha asumido las funciones de almacenamiento y transmisión de datos personales, es su operador, junto con el propietario del sitio (el sistema de información que procesa estos datos personales) y, de acuerdo con la ley, está obligado a tomar ciertas medidas para garantizar su seguridad. De hecho, no todo está tan mal y debemos rendir homenaje a los autores de la Ley “Sobre Datos Personales” No. 152-FZ y la Resolución Gubernamental No. 1119 del 1 de noviembre de 2012, que preveía la transferencia por parte del operador de datos personales de parte de las funciones para su procesamiento a la subcontratación a organizaciones de terceros.

Regulación legislativa de alojamiento de sitios web que procesan datos personales en hosting proporcionado por un tercero

El operador de datos personales tiene derecho a confiar el procesamiento de datos personales a otra persona con el consentimiento del interesado, sobre la base de un acuerdo (instrucción) celebrado con esta persona. La persona que procesa datos personales por cuenta del operador está obligada a cumplir con los principios y reglas para el procesamiento de datos personales previstos por la legislación vigente. La orden del operador debe definir una lista de acciones con datos personales que realizará la persona que procesa los datos personales y los fines del procesamiento, debe establecer la obligación de dicha persona de mantener la confidencialidad de los datos personales y garantizar la seguridad de los datos personales. durante su procesamiento, debiendo también indicar los requisitos para la protección de los datos personales procesados ​​(cláusula 3 del artículo 6 152-FZ).

Por lo tanto, el proveedor de alojamiento, al igual que el propietario del sitio, es el operador de los datos personales procesados ​​en el sitio y es responsable de su disponibilidad y seguridad. Con una sola diferencia: el propietario del sitio es responsable ante los interesados ​​de los datos personales y, en los casos previstos por la ley, está obligado a obtener permiso de los interesados ​​para procesar los datos personales, y el proveedor de alojamiento, como persona autorizada, es responsable ante el propietario del sitio y recibe datos personales de él y los almacena, pero no es responsable de obtener el permiso de los sujetos.

En general, el tema de la obtención del consentimiento de los sujetos para el tratamiento de sus datos personales es muy amplio e interesante y, por supuesto, merece un artículo aparte.

Delimitación de las áreas de responsabilidad del proveedor de alojamiento y del propietario del sitio para el cumplimiento de los requisitos de protección de datos personales.

De acuerdo, sería injusto transferir toda la responsabilidad de la seguridad de los datos personales al proveedor de alojamiento. Después de todo, a menudo no tiene idea de quién, cómo y en qué está escrito el sitio alojado en su servidor. Qué contraseñas se utilizan para autorizar el acceso a los datos personales, en qué forma se almacenan y si se utilizan en absoluto.

Según el Decreto Gubernamental No. 1119 (cláusulas 13 a 16), para garantizar el nivel requerido de seguridad de los datos personales cuando se procesan en sistemas de información, se deben cumplir los siguientes requisitos:

Requisito PP 1119

Nivel de seguridad requerido

Área de responsabilidad

Organización de un régimen de seguridad para las instalaciones en las que se ubica el sistema de información.

UZ-4;
UZ-3;
UZ-2;
UZ-1;

Proveedor de alojamiento;

Garantizar la seguridad de los portadores de datos personales

Proveedor de alojamiento;

Aprobación por el jefe del operador de la lista de personas con derecho de acceso a datos personales

Uso de herramientas de seguridad de la información certificadas (que hayan sido sometidas a la evaluación del cumplimiento de los requisitos legales)

Proveedor de alojamiento;

Designación de un funcionario responsable de garantizar la seguridad de los datos personales

UZ-3;
UZ-2;
UZ-1;

Dueño del Sitio; Proveedor de alojamiento;

El acceso al contenido del registro de mensajes electrónicos sólo es posible para personas que tengan la adecuada derechos de acceso

UZ-2;
UZ-1;

Dueño del Sitio; Proveedor de alojamiento;

Registro automático en el registro de seguridad electrónico de cambios en las facultades de los empleados del operador para acceder a datos personales

UZ-1;

Propietario del sitio web, proveedor de hosting

Creación de una unidad estructural encargada de garantizar la seguridad de los datos personales.

Propietario del sitio web, Proveedor de hosting

El proveedor de alojamiento debe tener una licencia de Roskomnadzor para prestar servicios de comunicación.

Como sabe, para prestar servicios de comunicación se requiere una licencia de Roskomnadzor. Esto se desprende, por ejemplo, del párrafo 36 del artículo 12 de la Ley Federal de 4 de mayo de 2011 No. 99-FZ "Sobre la concesión de licencias para ciertos tipos de actividades".

Según la lista de nombres de servicios de comunicación incluidos en las licencias para la realización de actividades en el campo de la prestación de servicios de comunicación, aprobada por Decreto del Gobierno de la Federación de Rusia del 18 de febrero de 2005 No. 87), los servicios de comunicación con licencia incluyen, entre otras cosas:

  • Servicios de comunicaciones telemáticas (esto incluye alojamiento);
  • Servicios de comunicación para transmisión de datos, con excepción de los servicios de comunicación para transmisión de datos con el fin de transmitir información de voz.

Para alojar sitios que procesan datos personales, el proveedor de hosting debe tener una licencia FSTEC

Servicio Federal de Control Técnico y de Exportaciones ( FSTEC de Rusia) - regula las actividades relacionadas con la protección técnica de la información, se ocupa de cuestiones de política pública en esta área de legislación, estandarización, concesión de licencias y también realiza las auditorías pertinentes.

Dado que el proveedor de alojamiento, como persona autorizada en virtud del contrato de cesión, es un operador de datos personales, está obligado a tomar medidas técnicas para protegerlos, es decir, a prestar servicios para proteccion tecnica información que, de conformidad con el reglamento sobre actividades de concesión de licencias para la protección técnica de información confidencial, aprobado por Decreto del Gobierno de la Federación de Rusia del 3 de febrero de 2012 N 79, se relaciona con tipos de actividades con licencia.

Las medidas organizativas y técnicas para garantizar la seguridad de los datos personales, aprobadas por Orden FSTEC No. 21 de 18 de febrero de 2013, incluyen:

  • identificación y autenticación de sujetos de acceso y objetos de acceso;
  • control de acceso de sujetos de acceso a objetos de acceso;
  • limitación del entorno de software;
  • protección de medios de almacenamiento informático;
  • registro de eventos de seguridad;
  • protección antivirus;
  • detección (prevención) de intrusiones;
  • control (análisis) de la seguridad de los datos personales;
  • asegurar la integridad del sistema de información y de los datos personales;
  • asegurar la disponibilidad de datos personales;
  • proteger el entorno de virtualización;
  • protección de medios técnicos;
  • protección del sistema de información, sus sistemas de comunicaciones y transmisión de datos;
  • identificar incidentes y responder a ellos;
  • Gestión de configuración de ISPDn y SZPDn.

Para realizar trabajos para garantizar la seguridad de los datos personales, se permite contratar sobre una base contractual a organizaciones de terceros que tengan licencia para operar en la protección técnica de información confidencial (cláusula 2, párrafo 2 de la Orden FSTEC No. 21 ).

Varias medidas para garantizar la seguridad de los datos personales requieren que el proveedor de hosting tenga una licencia FSB

Las medidas para garantizar un nivel adecuado de protección de datos personales, según la Orden FSTEC No. 21, incluyen las siguientes medidas:

  • Implementación de protegido acceso remoto sujetos de acceso para acceder a objetos a través de redes externas de información y telecomunicaciones (UPD.13);
  • Garantizar la protección de los datos personales contra la divulgación, modificación e imposición (ingreso de información falsa) durante su transmisión (preparación para la transmisión) a través de canales de comunicación que se extienden más allá del área controlada, incluidos los canales de comunicación inalámbrica (ZIS.3);
  • Garantizar la autenticidad conexiones de red(sesiones de interacción), incluso para la protección contra la suplantación de identidad dispositivos de red y servicios (ZIS.11);

Según la esencia de estas medidas, está claro que su implementación requiere el uso de herramientas de protección de información criptográfica (CIPF). Como es sabido, las cuestiones relacionadas con el uso de CIPF en la Federación de Rusia están reguladas por el Servicio Federal de Seguridad (FSB de Rusia).

De acuerdo con el reglamento sobre actividades de concesión de licencias para el desarrollo, producción y distribución de herramientas de cifrado (criptográficas), aprobado por Decreto del Gobierno de la Federación de Rusia del 16 de abril de 2012 No. 313, la lista de trabajos que constituyen actividades con licencia incluye:

  • Desarrollo de seguridad, utilizando medios criptográficos, sistemas de información y telecomunicaciones;
  • Instalación, instalación, ajuste de medios criptográficos y sistemas de información y telecomunicaciones protegidos con su uso;
  • Trabajos de mantenimiento de medios criptográficos;
  • Transferencia de medios criptográficos y sistemas de información y telecomunicaciones protegidos con su uso;
  • Proporcionar servicios de cifrado de información.

El centro informático del proveedor de alojamiento debe estar ubicado en el territorio de la Federación de Rusia.

El 1 de septiembre de 2015 entró en vigor la disposición sobre la localización del almacenamiento y determinados procesos de procesamiento de datos personales definidos en la Federación de Rusia. Ley Federal No. 242 de 21 de julio de 2014 "Sobre enmiendas a ciertos actos legislativos de la Federación de Rusia en términos de aclarar el procedimiento para el procesamiento de datos personales en las redes de información y telecomunicaciones", según el párrafo 1 del artículo 2 del cual, al recopilar datos personales , incluso a través de la información: la red de telecomunicaciones de Internet, el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación) y recuperación de los datos personales de los ciudadanos de la Federación de Rusia utilizando bases de datos ubicadas en el territorio de la Federación de Rusia. Federación Rusa.

Al mismo tiempo, es importante señalar que la transferencia transfronteriza de datos personales como tal no está prohibida, pero está regulada por la ley. Puedes leer más sobre esto en el art. 12 152-FZ.

Brevemente sobre lo principal.

Entonces, resumamos lo anterior.

Un sitio web es un sistema de información de datos personales si su funcionalidad le permite ingresar, almacenar o ver datos personales. Un buen ejemplo Puede servir casi cualquier sitio web con una cuenta personal, la posibilidad de reservar online, realizar pedidos o comprar con entrega, etc.

El procesamiento de datos personales de clientes en línea no es sólo una necesidad del comercio electrónico moderno, sino también amplias oportunidades de marketing, cuya descripción merece un artículo aparte.

El propietario de un sitio web que sea un ISPD debe enviar una notificación a Roskomnadzor, indicando: qué datos personales almacena y procesa, dónde están ubicados físicamente los servidores en los que opera el ISPD. Puedes leer sobre esto en mi artículo "Cómo enviar una notificación al RKN y no meterte en problemas".

Un contrato con un proveedor de hosting, además de las características cuantitativas y cualitativas de los recursos informáticos, debe contener necesariamente una orden para el tratamiento de datos personales, indicando una lista específica de acciones que se realizarán con ellos, debe indicar las finalidades y Se debe establecer el procedimiento para el procesamiento de datos personales, los requisitos para su protección y la responsabilidad del proveedor por la seguridad de los datos personales.

Además de las licencias estándar de Roskomnadzor para empresas de hosting para la prestación de servicios de comunicaciones telemáticas, para proteger los datos personales procesados ​​en los sitios de los clientes, el proveedor de hosting debe tener una licencia FSTEC para actividades relacionadas con la protección técnica de información confidencial y un FSB. licencia para la prestación de servicios relacionados con el uso de fondos de cifrado (criptográficos).

Y, por último, el servidor del proveedor en el que se almacenan físicamente los datos personales debe estar ubicado en el territorio de la Federación Rusa.

Por lo tanto, este artículo analiza muchos, pero no todos, aspectos de la colocación de un ISPD en los recursos informáticos de los proveedores. servicios en la nube. Más información detallada Puede obtenerse de los siguientes documentos y recursos de información:

Legislación

  • Decreto del Gobierno de la Federación de Rusia del 1 de noviembre de 2012 N 1119 "Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en los sistemas de información de datos personales"
  • Orden de la FSTEC de Rusia de 18 de febrero de 2013 No. 21 Sobre la aprobación de la composición y contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales

    Telegram Passport te permitirá identificar la identidad del usuario. Todos los documentos y datos necesarios deberán cargarse en Telegram una vez y luego podrá transferirlos instantáneamente a los socios de Telegram. Está previsto que cuando se lance el nuevo servicio, será posible utilizar los servicios de varios de estos socios, incluido Qiwi.

    Leer más...

Dado que el servidor no está ubicado en su casa, usted no tiene acceso a él y ciertamente no puede influir de ninguna manera en la política del centro de datos, simplemente no tiene la oportunidad de cumplir una serie de requisitos legales. Sólo queda una cosa por hacer, encontrar un hosting que cumpla con los requisitos de la ley.

Ahora no soy Beget, les escribí una carta sobre su licencia FSTEC para proteger información confidencial. Respondieron vagamente, como que yo no soy yo y la casa no es mía, solo somos estos y en general no deberíamos... En resumen, no tienen licencia, lo que significa, en general, un sitio que recopila datos personales no puede mantenerse allí. Navegué por Internet (todavía no mucho) y hasta ahora solo encontré RU-CENTER con licencia.

Licencia para actividades para el desarrollo y (o) producción de medios para proteger información confidencial.
LICENCIA No. 0917 de fecha 20 de septiembre de 2011

Licencia para actividades relacionadas con la protección técnica de información confidencial.
LICENCIA No. 1594 de fecha 20 de septiembre de 2011
Titular de los derechos de autor: Sociedad Anónima "Centro de Información de la Red Regional"
Período de validez de la licencia: ilimitado

Alojamiento de información confidencial en RU-CENTER

El 6 de marzo de 2012, RU-CENTER comienza a ofrecer un nuevo servicio: alojamiento de información confidencial.
Alojar información confidencial es la colocación de un sitio web en Internet utilizando medidas adicionales sobre protección de la información.
Este servicio le permitirá cumplir con una serie de requisitos obligatorios de la legislación vigente (Ley N 152-FZ), que se presentan en el procesamiento de datos personales.
Además de los métodos básicos de protección de datos y almacenamiento de información utilizados en otros servicios de RU-CENTER, el alojamiento de información confidencial ofrece:

  • equipos certificados especializados que permiten una serie de acciones para proteger la información durante el acceso a la red;
  • restricción adicional acceso físico al equipo en el que se presta el servicio;
  • a diario respaldo(2 copias);
  • contabilidad de los medios de almacenamiento físico utilizados;
  • MySQL dedicado a cada servicio.
Principales consumidores nuevo servicio- pequeñas y medianas empresas, tiendas en línea, foros, sistemas de investigación de mercados y muchos otros recursos de Internet que, al procesar y almacenar datos personales de los usuarios, deben cumplir con los requisitos de la legislación de la Federación de Rusia (Ley N 152-FZ ).

La verdadera pregunta es, ¿cómo son de calidad?
Y si alguien encuentra otros proveedores de alojamiento con licencia FSTEC para proteger información confidencial, publíquelo en este hilo.

Después de la entrada en vigor del inciso 4, parte 2, artículo 19 de la Ley Federal de 27 de julio de 2006 No. 152-FZ “Sobre Datos Personales”, cada empresa está obligada a adaptar sus sistemas y procesos de información relacionados con el procesamiento de datos personales de acuerdo con los requisitos de la legislación de la Federación de Rusia.

¿Qué significa esto para las personas jurídicas?

Las organizaciones están obligadas a garantizar la protección de los derechos y libertades de las personas y los ciudadanos al procesar sus datos personales, incluida la protección de los derechos a la privacidad y a los secretos personales y familiares. Se convierten así en “organizaciones operadoras de datos personales”. El Servicio Federal de Supervisión de Comunicaciones, Tecnologías de la Información y Comunicaciones Masivas (Roskomnadzor), FSTEC y el FSB de Rusia controlarán el cumplimiento de los requisitos de la Legislación.

La ley federal se aplica a empresas de cualquier forma organizativa: estos incluyen organismos gubernamentales, instituciones federales y municipales: bancos, compañías de seguros, instituciones médicas, operadores de telecomunicaciones, tiendas en línea, cadenas minoristas, empresas manufactureras y otras organizaciones que procesan datos personales recibidos de empleados, clientes y otras personas físicas y jurídicas.

Las responsabilidades de la entidad explotadora incluyen:

  • garantizar la legalidad del procesamiento de datos personales;
  • construir un sistema de protección de datos personales de acuerdo con los requisitos de FSTEC y el FSB de Rusia;
  • enviar una notificación a Roskomnadzor;
  • desarrollo de documentación interna;
  • realizar pruebas de certificación o evaluaciones de la conformidad;
  • Actualización sistemática del sistema de protección de datos personales.

A menudo, esto resulta una tarea difícil y costosa, incluso debido a la necesidad de obtener un documento que confirme la efectividad de las medidas tomadas para proteger los datos personales. Es por eso que la mayoría de las empresas prefieren optimizar este proceso encontrando un socio confiable con solución preparada en una infraestructura virtual externa.

Para que todos actúen entidades legales En el territorio de Rusia, según la Ley Federal del mismo nombre - 152, nosotros, un sitio de alojamiento en colaboración con la empresa WELLSERVICE, ofrecemos una solución menos costosa y que requiere más tiempo: transferir los sistemas de procesamiento y almacenamiento de datos personales a un sistema seguro en la nube. , que llamamos “ISPDn en la nube”.

Los servidores para los sistemas de información de datos personales (PDIS) se proporcionan a cualquier empresa ubicada en el territorio y que sea residente en la Federación de Rusia.

¿Qué es “ISPDn en la nube”?

El producto “ISPDn en la Nube” es un producto independiente y seguro. servidor virtual, a la tarifa que elijas, cumpliendo íntegramente con los requisitos de la Ley Federal-152.

Cada “ISPDn en la nube” es un objeto completamente aislado. Esto significa que el acceso a su ISPD por parte del proveedor de alojamiento se bloquea mediante herramientas de seguridad certificadas y es absolutamente confidencial.

La confidencialidad de la información procesada se logra mediante:

  • El acceso a los datos ubicados en el “ISPDn en la nube” está limitado mediante certificado por FSTEC Rusia utiliza medios de protección contra el acceso no autorizado (NAD) y utiliza las funciones de un hipervisor de máquina virtual (que forma parte de una herramienta de protección certificada).
  • Datos transmitidos a través de canales de comunicación desde el terminal de la organización-operador de datos personales a la interfaz de red. máquina virtual, están cifrados usando certificado por el FSB Medios rusos de protección de información criptográfica (CIPF). Imágenes de disco Las máquinas virtuales también se cifran mediante CIPF.
  • Ninguno de los centros de datos tiene claves de acceso a las instalaciones CIPF ubicadas en la máquina virtual del cliente. Así, por ejemplo, para descargar Sistema operativo en VPS, el cliente ingresa de forma independiente la contraseña para el contenedor criptográfico que contiene partición del sistema. Este procedimiento se implementa utilizando un cargador de arranque del sistema operativo especialmente desarrollado por nuestra empresa en una máquina virtual. Al mismo tiempo, las claves de acceso pueden ser regeneradas por el usuario de la máquina virtual de forma independiente en cualquier momento, y el criptocontenedor puede volver a cifrarse en consecuencia.
  • La disponibilidad e integridad de la información procesada se garantiza mediante el uso de canales de comunicación reservados, sistemas confiables de almacenamiento de datos, dispositivos de enfriamiento y fuente de poder ininterrumpible. Nuestros socios son los mejores centros de datos de Rusia: Miran, IXCellerate, KIAEHOUSE.

¿Qué aporta ISPDn en la nube a las empresas en Rusia?

Procedimiento sencillo: Nos encargaremos de todo el complejo de trabajo organizativo, legal y técnico: desarrollo de un modelo de amenaza a la seguridad, concepto de sistema de protección, metodología de certificación, realización directa de pruebas de certificación y emisión de un certificado de conformidad. Al elegir nuestro producto “ISPDn en la nube”, NO ES NECESARIO OBTENER EL CONSENTIMIENTO DE LOS SUJETOS DE DATOS PERSONALES al momento de recopilarlos.

Ahorros importantes: nuestro producto libera a la empresa cliente de los costos de crear y poseer una infraestructura de TI segura para almacenar, procesar y proteger datos personales. Además, el alojamiento de ISPD en la nube se proporciona como un servicio para la empresa cliente;

Nuestras ventajas:

  • el sistema seguro "ISPDn en la nube" ha obtenido todas las certificaciones necesarias y cumple plenamente con todos los requisitos de la legislación de la Federación de Rusia en el ámbito de los datos personales;
  • pleno cumplimiento de los requisitos de FSTEC y FSB de Rusia para todos los elementos de hardware, software y red del sistema;
  • no necesitará obtener el consentimiento de los titulares de datos personales al recopilarlos;
  • consultas y soporte en todas las etapas de implementación y trabajo con el producto.
  • un paquete completo de documentos organizativos, administrativos y reglamentarios;
  • sin costos de capital.

¿Cuál es el proceso de prestación de servicios?


1

Registro de un representante de la empresa cliente en nuestra web y posterior cumplimentación de un formulario de solicitud del servicio “ISPDn en la Nube”: necesidad de certificación, datos de la organización, tipo de actividad.

Dependiendo de los requisitos de ISPD, usted elige un plan de tarifas adecuado con los parámetros necesarios servidor: espacio en disco y RAM.

Celebrar un contrato para la prestación del servicio “ISPDn en la nube” y realizar el pago.

Basándonos en los datos proporcionados, prepararemos para usted un conjunto de documentos organizativos, administrativos y regulatorios, incluida una declaración sobre datos personales, una ley de clasificación ISPD, un modelo de amenaza y otros documentos necesarios. Un especialista de nuestra empresa verificará la correcta cumplimentación y aprobación de estos documentos.

Acordamos con usted la fecha de la certificación in situ del lugar de trabajo. Después de que un especialista visite y verifique todos los requisitos para el lugar de trabajo, usted recibirá un certificado de cumplimiento y el paquete completo de documentos que certifican el pleno cumplimiento de su ISPD con los requisitos y normas No. 152-FZ "Sobre datos personales" y todos los requisitos. leyes.


Nuestras licencias y certificados


* El costo de un servidor ISPD seguro con un paquete de documentos y procedimiento de certificación cuando se paga por 1 año.

Venta de infraestructura segura para el almacenamiento y procesamiento de datos personales según lo presentado planes tarifarios realizado por un período mínimo de 1 año.

Al solicitar el primer servidor a ISPD, se cobra una tarifa de instalación de 11.300 rublos.

Antes de comenzar el análisis de 152-FZ, debe saber que también existe la ley 242-FZ, que entró en vigor el 1 de septiembre de 2015, que es un acto normativo que modificó otra fuente fundamental del derecho: la Ley Federal No. 152. , adoptado en julio de 2006. La aprobación de la ley sobre “localización de datos personales” estuvo acompañada de una amplia cobertura de la iniciativa legislativa en varios medios de comunicación, como resultado de lo cual se aprobó la creación de dos mitos principales sobre la Ley Federal No. 242-FZ:

  • Los rusos ahora tienen prohibido publicar sus datos personales (sitios web) en el extranjero;
  • A todas las empresas extranjeras se les prohibió recibir y procesar datos personales de rusos en servidores fuera de la Federación de Rusia.

La Ley Federal No. 242-FZ establece que “al recopilar datos personales, incluso a través de Internet, el operador está obligado a garantizar el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación) y recuperación de los datos personales de los ciudadanos de Rusia. Federación que utiliza bases de datos ubicadas en el territorio de la Federación de Rusia." En caso de incumplimiento de la ley, el acceso a un sitio condenado por la recopilación primaria y el almacenamiento de datos personales de ciudadanos rusos en bases de datos ubicadas dentro de la jurisdicción de la Federación de Rusia puede ser limitado.

¿Puedo utilizar hosting en el extranjero?

La ley no prohíbe colocación de cualquier sitio web (base de datos) en servidores ubicados en países que han firmado el Convenio ETS No. 108 del Consejo de Europa, así como transferencia transfronteriza de datos personales. Según el Convenio ETS N° 108 del Consejo de Europa “Sobre la protección de individuos durante el procesamiento automatizado de datos personales”, la Parte 2 del artículo 12 establece que los países que se hayan adherido a él no prohibirán ni someterán a control especial los flujos de información de datos personales que se dirijan al territorio de otra parte en el Convenio, y el art. 25 prohíbe cualquier reserva a la Convención.

Esto significa que el uso de alojamiento en el extranjero (fuera de la Federación de Rusia), así como el almacenamiento y procesamiento de datos personales, se considera legal si el alojamiento está ubicado en uno de los países que han firmado la Convención: Austria, Bélgica, Bulgaria, Dinamarca, Gran Bretaña, Hungría, Alemania, Grecia, Irlanda, España, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, Finlandia, Francia, República Checa, Suecia, Estonia, y también lo que se desprende de las explicaciones de Roskomnadzor. , en los países , garantizando una adecuada protección de los datos personales. Se reconocen como países que cuentan con normativa de ámbito nacional en materia de protección de datos personales y un organismo de control autorizado para la protección de los derechos de los interesados: Andorra, Argentina, Israel, Islandia, Canadá, Liechtenstein, Noruega, Serbia, Croacia, Montenegro, Suiza, Corea del Sur, Japón.

¿Dónde deben almacenarse los datos personales?

Físicamente, el sitio y la base de datos pueden alojarse en cualquier país que haya firmado el Convenio ETS No. 108 del Consejo de Europa. La Ley exige que el operador garantice el registro, sistematización, acumulación, almacenamiento, aclaración (actualización, modificación) y recuperación de los datos personales de los ciudadanos de la Federación de Rusia utilizando bases de datos ubicadas en el territorio de la Federación de Rusia; sin embargo, la Ley no prohíbe el almacenamiento de datos personales de rusos en servidores fuera del territorio de la Federación de Rusia. La única condición es que los datos personales deben recopilarse y procesarse inicialmente en la Federación de Rusia. Pero, repetimos, esto no prohíbe la transferencia transfronteriza de datos personales y trabajar con ellos en países que han firmado el Convenio.

Cumplimiento del hosting con JIHOST 152-FZ

Jihost cumple totalmente con 152-FZ debido al uso de replicación y transmisión transfronteriza información personal.

Los principios de funcionamiento se describen esquemáticamente a continuación:

Hosting Jihost cumple con 152-FZ Cualquier cambio en la base de datos del sitio, incluida la transferencia informacion personal, la base de datos se replica en un servidor ubicado en el territorio de la Federación de Rusia, garantizando así la constante relevancia e integridad de los datos de conformidad con la Ley. Luego, los datos se replican en la base de datos del servidor local, desde donde posteriormente funciona el sitio. Este patrón circular funciona en todas partes. Además, si sólo se requiere lectura de datos, entonces se produce sin replicación, directamente desde base local datos. Además del cumplimiento de 152-FZ, este esquema