Gazduire corecta pentru ispdn. De ce serverele majorității furnizorilor de cloud nu sunt potrivite pentru prelucrarea datelor cu caracter personal? Ce găzduire ar trebui să alegi – rusă sau străină – pentru a nu încălca Legea datelor cu caracter personal? Gazduire centru de calculatoare-pr

  • Legea federală „Cu privire la datele cu caracter personal” din 27 iulie 2006 N 152-FZ

Publicaţii

Din septembrie 2015 în Federația Rusă Prevederea privind localizarea stocării datelor cu caracter personal a intrat în vigoare (242-FZ din 21 iulie 2014). Această inovație, desigur, s-a dovedit a fi unul dintre principalii factori pe piața rusă de găzduire și cloud computing, obligând atât operatorii de date cu caracter personal, cât și furnizorii de găzduire să se gândească din nou la modul de asigurare a conformității unei entități atât de aparent simple precum un site web cu cerințele legislației privind datele cu caracter personal.

În ciuda faptului că Legea federală nr. 152-FZ din 27 iulie 2006 „Cu privire la datele cu caracter personal” a fost adoptată cu mult timp în urmă, nu toată lumea s-a adaptat și a învățat să o implementeze. Parțial datorită numărului mare de documente de reglementare și modificările emise în mod regulat la acestea. Astăzi provin din patru departamente: Guvernul, Roskomnadzor, FSTEC și FSB. Și, de asemenea, datorită poziției destul de echilibrate a regulatorului, care, în locul politicii de a conduce în cuie, a ales o strategie de strângere lină, dar inevitabilă a șuruburilor.

Dacă afaceri mari iar organismele guvernamentale, ca cei mai disciplinați participanți la piață, și-au adus deja în cea mai mare parte sistemele de informații cu date personale (ISPD) în conformitate cu legea, atunci întreprinderile mijlocii și mici abia acum încep să realizeze că, pentru existența și dezvoltarea ulterioară, vor trebui totuși să iasă din umbră, inclusiv în ceea ce privește implementarea legislației privind datele cu caracter personal, mai ales că tocmai această umbră rămâne din ce în ce mai puțin și începe deja să nu fie suficientă pentru toată lumea.

Ce ar trebui proprietarul unui site web în care sunt colectate și stocate datele personale ale utilizatorilor (de exemplu, în contul personal al unui magazin online)? Să încercăm să ne dăm seama împreună.

Dacă un site web colectează date cu caracter personal, atunci este un sistem de informații cu date personale și este supus 152-FZ

Iată ce spune însuși Roskomnadzor despre aceasta: „Conform clauzei 9 din art. 3 din Legea federală „Cu privire la datele cu caracter personal”, un sistem de informații cu caracter personal este un set de date cu caracter personal conținute în baze de date și care asigură prelucrarea acestora tehnologia de informațieŞi mijloace tehnice. Dacă site-ul web îndeplinește cerințele specificate, este un sistem informațional.”

Cu toții știm intuitiv ce sunt datele personale, dar este important să înțelegem ce sunt acestea din punct de vedere legal. Conform paragrafului 1 al articolului 3 din Legea federală nr. 152-FZ, datele cu caracter personal sunt orice informație care se referă direct sau indirect la o persoană specifică sau identificabilă. Adică, acesta este aproape orice: de la numărul de identificare fiscală până la culoarea părului și mărimea pantofilor, ca să nu mai vorbim de numărul de telefon și adresa, fie e-mail sau poștă.

Astfel, un magazin online sau doar un site web unde exista un cont personal sau inregistrare utilizator, comanda online, rezervare, plata, livrare etc. etc., în ceea ce privește 152-FZ, toate acestea sunt un sistem de informații cu date personale (ISPD), iar proprietarul acestuia este un operator de date cu caracter personal.

Legea datelor cu caracter personal ține cont de tendințele în cloud computing și externalizare

S-au spus și scris multe deja despre relevanța și perspectivele externalizării IT, în special pentru companiile din sectorul întreprinderilor mici și mijlocii, așa că în acest articol nu voi agita cititorul „pentru nori”. Mai mult, știm cu toții foarte bine că majoritatea site-urilor de pe Internet sunt găzduite pe serverele web publice ale furnizorilor de servicii de găzduire.

Există destul de multe motive pentru aceasta, dar cel mai important este, desigur, dorința de bun simț a companiilor de a economisi bani și de a obține un serviciu web ieftin cu disponibilitate ridicată. Crearea propriei infrastructuri de calcul cu o fiabilitate cel puțin comparabilă cu un centru de date standard Tier-III costă milioane de ruble. În primul rând, ai nevoie de o cameră adecvată: nu un coridor, nici un subsol, nici o mansardă, ca să nu se inunde și să nu aibă acces străinii acolo. Este nevoie de ventilație și aer condiționat, și cu o anumită redundanță. Este necesar să se organizeze alimentarea cu energie autonomă și de rezervă. Pentru a face acest lucru, trebuie să instalați undeva un grup electrogen diesel. În cele din urmă, este nevoie de personal de securitate fizică și de întreținere. În plus, pentru a garanta disponibilitatea serviciului, va trebui să cumpărați un set complet de piese de schimb pentru echipamente de server și de rețea. Adică, în loc de un server, de fapt trebuie să cumpărați două.

Desigur, odată cu dezvoltarea cloud computing-ului, a tehnologiilor de virtualizare și a unei tendințe clare spre externalizare, tot mai multe companii din sectorul IMM-urilor caută să-și transfere sistemele informatice de la unități de sistem „sub birou” la resurse de cloud computing situate în centre de calcul care respectă standardele industriale moderne.

ÎN sisteme informatice Fiecare întreprindere stochează și prelucrează o anumită cantitate de date personale. Acestea pot fi atât date personale ale angajaților companiei, cât și date ale clienților sau contrapărților. Sistemele de informații corporative sunt destul de diverse, atât din punct de vedere funcțional, cât și din punct de vedere tehnologic. Ar putea fi și un sistem de automatizare contabilitate, de exemplu, 1C și un site cu cont personal utilizator și magazin online. În același timp, aceste sisteme informatice, de regulă, sunt interconectate - își transmit informații între ele, inclusiv date personale.

Potrivit clauzei 3 a articolului 3 din 152-FZ, prelucrarea datelor cu caracter personal este orice acțiune (operațiune) sau set de acțiuni (operațiuni) efectuate folosind instrumente de automatizare, sau fără utilizarea unor astfel de instrumente cu date personale, inclusiv colectarea, înregistrarea. , sistematizare, acumulare, stocare, clarificare (actualizare, modificare), extragere, utilizare, transfer (distribuire, furnizare, acces), depersonalizare, blocare, ștergere, distrugere a datelor cu caracter personal.

Astfel, plasarea unui ISPD pe serverul furnizorului nu este altceva decât externalizarea, cel puțin, a unor funcții de prelucrare a datelor cu caracter personal precum înregistrarea, stocarea, citirea (preluarea), transferul și ștergerea.

Potrivit clauzei 2 din articolul 3 din 152-FZ, un operator (de date cu caracter personal) este o persoană juridică sau fizică care, independent sau împreună cu alte persoane, organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determină scopurile prelucrării datelor cu caracter personal, componența datelor cu caracter personal, supuse prelucrării, acțiunile (operațiunile) efectuate cu datele personale.

În consecință, furnizorul de găzduire, care și-a asumat funcțiile de stocare și transmitere a datelor cu caracter personal, este operatorul acestora, alături de proprietarul site-ului (sistemul informatic care prelucrează aceste date cu caracter personal) și, potrivit legii, este obligat să preia anumite măsuri pentru asigurarea securității acestora. De fapt, totul nu este atât de rău și trebuie să aducem un omagiu autorilor Legii „Cu privire la datele cu caracter personal” nr. 152-FZ și a HG nr. datele cu caracter personal ale unei părți din funcțiile pentru prelucrarea acestora către externalizare către organizații terțe.

Reglementare legislativă privind găzduirea site-urilor web care prelucrează date cu caracter personal privind găzduirea furnizate de o terță parte

Operatorul de date cu caracter personal are dreptul de a încredința prelucrarea datelor cu caracter personal unei alte persoane cu acordul persoanei vizate, pe baza unui acord (instrucțiune) încheiat cu această persoană. Persoana care prelucrează datele cu caracter personal în numele operatorului este obligată să respecte principiile și regulile de prelucrare a datelor cu caracter personal prevăzute de legislația în vigoare. Ordinul operatorului trebuie să definească o listă de acțiuni cu date personale care vor fi efectuate de persoana care prelucrează datele cu caracter personal și scopurile prelucrării, trebuie să stabilească obligația unei astfel de persoane de a păstra confidențialitatea datelor cu caracter personal și de a asigura securitatea datelor cu caracter personal. în timpul prelucrării acestora și trebuie să indice, de asemenea, cerințe pentru protecția datelor cu caracter personal prelucrate (clauza 3, articolul 6 152-FZ).

Astfel, furnizorul de hosting, la fel ca proprietarul site-ului, este operatorul datelor cu caracter personal prelucrate pe site și este responsabil de disponibilitatea, siguranța și securitatea acestora. Cu o singură diferență - proprietarul site-ului este responsabil față de subiecții datelor cu caracter personal și, în cazurile prevăzute de lege, este obligat să obțină permisiunea subiecților pentru prelucrarea datelor cu caracter personal, iar furnizorul de găzduire, în calitate de persoană autorizată. , este responsabil față de proprietarul site-ului și primește date personale de la acesta și le stochează, dar nu este responsabil pentru obținerea permisiunii de la subiecți.

În general, tema obținerii consimțământului subiecților pentru prelucrarea datelor lor personale este foarte amplă și interesantă și, desigur, merită un articol separat.

Delimitarea zonelor de responsabilitate ale furnizorului de găzduire și ale proprietarului site-ului pentru respectarea cerințelor de protecție a datelor cu caracter personal

De acord, ar fi nedrept să transferăm întreaga responsabilitate pentru securitatea datelor cu caracter personal către furnizorul de găzduire. La urma urmei, de multe ori nu are idee pe cine, cum și pe ce este scris site-ul găzduit pe serverul său. Ce parole sunt folosite pentru a autoriza accesul la datele personale, sub ce formă sunt stocate și dacă sunt folosite.

Conform HG nr. 1119 (clauzele 13 - 16), pentru a asigura nivelul cerut de securitate a datelor cu caracter personal atunci când sunt prelucrate în sisteme informatice, trebuie îndeplinite următoarele cerințe:

Cerința PP 1119

Nivel de securitate necesar

Domeniul de responsabilitate

Organizarea unui regim de securitate pentru spațiile în care se află sistemul informațional

UZ-4;
UZ-3;
UZ-2;
UZ-1;

Furnizor de gazduire;

Asigurarea securității purtătorilor de date cu caracter personal

Furnizor de gazduire;

Aprobarea de către conducătorul operatorului a listei persoanelor cu drept de acces la datele cu caracter personal

Utilizarea instrumentelor de securitate a informațiilor certificate (care au fost supuse evaluării conformității cu cerințele legale)

Furnizor de gazduire;

Numirea unui funcționar responsabil cu asigurarea securității datelor cu caracter personal

UZ-3;
UZ-2;
UZ-1;

Proprietarul site-ului; Furnizor de gazduire;

Accesul la conținutul jurnalului de mesaje electronice este posibil numai pentru persoanele care au corespunzătoare drepturi de acces

UZ-2;
UZ-1;

Proprietarul site-ului; Furnizor de gazduire;

Înregistrarea automată în jurnalul electronic de securitate a modificărilor în competențele angajaților operatorului de a accesa datele personale

UZ-1;

Proprietar site, furnizor de găzduire

Crearea unei unități structurale responsabile cu asigurarea securității datelor cu caracter personal

Proprietar site, furnizor de găzduire

Furnizorul de găzduire trebuie să aibă o licență de la Roskomnadzor pentru a furniza servicii de comunicații

După cum știți, pentru a furniza servicii de comunicare, este necesară o licență Roskomnadzor. Aceasta rezultă, de exemplu, din paragraful 36 al articolului 12 din Legea federală din 4 mai 2011 nr. 99-FZ „Cu privire la acordarea de licențe pentru anumite tipuri de activități”.

Potrivit listei denumirilor serviciilor de comunicații incluse în licențele de desfășurare a activităților în domeniul furnizării de servicii de comunicații, aprobată prin Decretul Guvernului Federației Ruse din 18 februarie 2005 nr. 87), serviciile de comunicații licențiate includ, printre alte lucruri:

  • Servicii de comunicații telematice (aceasta include găzduire);
  • Servicii de comunicații pentru transmisia de date, cu excepția serviciilor de comunicații pentru transmisia de date în scopul transmiterii de informații vocale.

Pentru a găzdui site-uri care prelucrează date personale, furnizorul de găzduire trebuie să aibă o licență FSTEC

Serviciul Federal pentru Control Tehnic și Export ( FSTEC din Rusia) - reglementează activitățile legate de protecția tehnică a informațiilor, se ocupă de probleme de politică publică în acest domeniu de legislație, standardizare, licențiere și, de asemenea, efectuează audituri relevante.

Întrucât furnizorul de găzduire, în calitate de persoană autorizată în baza contractului de cesiune, este un operator de date cu caracter personal, acesta este obligat să ia măsuri tehnice pentru protejarea acestora, adică să furnizeze servicii pt. protectie tehnica informații care, în conformitate cu regulamentul privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale, aprobat prin Decretul Guvernului Federației Ruse din 3 februarie 2012 N 79, se referă la tipuri de activități licențiate.

Măsurile organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal, aprobate prin Ordinul FSTEC nr. 21 din 18 februarie 2013, includ:

  • identificarea și autentificarea subiecților de acces și a obiectelor de acces;
  • controlul accesului subiecților de acces la obiecte de acces;
  • limitarea mediului software;
  • protecția mediilor de stocare a calculatorului;
  • înregistrarea evenimentelor de securitate;
  • protectie antivirus;
  • detectarea intruziunilor (prevenire);
  • controlul (analiza) securității datelor cu caracter personal;
  • asigurarea integritatii sistemului informatic si a datelor cu caracter personal;
  • asigurarea disponibilității datelor cu caracter personal;
  • protejarea mediului de virtualizare;
  • protecția mijloacelor tehnice;
  • protecția sistemului informațional, a sistemelor de comunicații și transmitere a datelor acestuia;
  • identificarea incidentelor și răspunsul la acestea;
  • managementul configurației ISPDn și SZPDn.

Pentru a efectua lucrări de asigurare a securității datelor cu caracter personal, este permisă angajarea pe bază contractuală de organizații terțe care au licență de a opera în domeniul protecției tehnice a informațiilor confidențiale (clauza 2, paragraful 2 din Ordinul FSTEC nr. 21). ).

O serie de măsuri pentru a asigura securitatea datelor cu caracter personal impun furnizorului de găzduire să aibă o licență FSB

Măsurile pentru asigurarea unui nivel adecvat de protecție a datelor cu caracter personal, conform Ordinului FSTEC nr. 21, includ următoarele măsuri:

  • Implementarea protected acces la distanță subiecții de acces la obiecte prin intermediul rețelelor externe de informații și telecomunicații (UPD.13);
  • Asigurarea protecției datelor cu caracter personal împotriva dezvăluirii, modificării și impunerii (introducerea de informații false) în timpul transmiterii acestora (pregătirea transmiterii) prin canale de comunicare care se extind dincolo de zona controlată, inclusiv canale de comunicații fără fir (ZIS.3);
  • Asigurarea Autenticității conexiuni de rețea(sesiuni de interacțiune), inclusiv pentru protecție împotriva falsării dispozitive de rețeași servicii (ZIS.11);

Pe baza esenței acestor măsuri, este clar că implementarea lor necesită utilizarea instrumentelor de protecție a informațiilor criptografice (CIPF). După cum se știe, problemele legate de utilizarea CIPF în Federația Rusă sunt reglementate de Serviciul Federal de Securitate (FSB al Rusiei).

Conform reglementărilor privind activitățile de licențiere pentru dezvoltarea, producerea, distribuția instrumentelor de criptare (criptografice), aprobate prin Decretul Guvernului Federației Ruse din 16 aprilie 2012 nr. 313, lista lucrărilor care constituie activități licențiate include:

  • Dezvoltarea siguranței, utilizând mijloace criptografice, sisteme informatice si de telecomunicatii;
  • Instalarea, instalarea, reglarea mijloacelor criptografice si a sistemelor informatice si de telecomunicatii protejate prin utilizarea acestora;
  • Lucrări de întreținere a mijloacelor criptografice;
  • Transfer de mijloace criptografice și sisteme de informații și telecomunicații protejate prin utilizarea acestora;
  • Furnizarea de servicii de criptare a informațiilor.

Centrul de calcul al furnizorului de găzduire trebuie să fie situat pe teritoriul Federației Ruse

La 1 septembrie 2015, Federația Rusă a intrat în vigoare privind localizarea stocării și anumite procese de prelucrare a datelor cu caracter personal, definite în Legea federală Nr. 242 din 21 iulie 2014 „Cu privire la modificările aduse anumitor acte legislative ale Federației Ruse în ceea ce privește clarificarea procedurii de prelucrare a datelor cu caracter personal în rețelele de informații și telecomunicații”, conform paragrafului 1 al articolului 2 din care, la colectarea datelor cu caracter personal , inclusiv prin informare - rețeaua de telecomunicații Internet, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), preluarea datelor cu caracter personal ale cetățenilor Federației Ruse folosind baze de date situate pe teritoriul Federației Ruse .

În același timp, este important de menționat că transferul transfrontalier de date cu caracter personal, ca atare, nu este interzis, ci este reglementat de lege. Puteți citi mai multe despre acest lucru în art. 12 152-FZ.

Pe scurt despre principalul lucru

Deci, să rezumam cele de mai sus.

Un site web este un sistem de informații cu date personale dacă funcționalitatea acestuia vă permite să introduceți, să stocați sau să vizualizați date personale. Un bun exemplu Aproape orice site cu cont personal, posibilitatea de rezervare online, comanda sau cumparare cu livrare, etc. poate servi.

Prelucrarea online a datelor personale ale clienților nu este doar o necesitate a comerțului electronic modern, ci și oportunități largi de marketing, a cărui descriere merită un articol separat.

Proprietarul unui site web care este ISPD este obligat să trimită o notificare către Roskomnadzor, indicând: ce date personale stochează și prelucrează, unde sunt situate fizic serverele pe care operează ISPD. Puteți citi despre acest lucru în articolul meu „Cum să trimiți o notificare la RKN și să nu intri în probleme”.

Un acord cu un furnizor de găzduire, pe lângă caracteristicile cantitative și calitative ale resurselor de calcul, trebuie să conțină în mod necesar o comandă de prelucrare a datelor cu caracter personal, care să indice o listă specifică de acțiuni care vor fi efectuate cu acestea, trebuie să indice scopurile și trebuie stabilite procedura de prelucrare a datelor cu caracter personal, cerințele privind protecția acestora și responsabilitatea furnizorului pentru securitatea datelor cu caracter personal.

Pe lângă licențele standard Roskomnadzor pentru companiile de găzduire pentru furnizarea de servicii de comunicații telematice, pentru a proteja datele personale prelucrate pe site-urile clienților, furnizorul de găzduire trebuie să dețină o licență FSTEC pentru activități legate de protecția tehnică a informațiilor confidențiale și un FSB. licență pentru furnizarea de servicii legate de utilizarea fondurilor de criptare (criptografice) ).

Și, în sfârșit, serverul furnizorului pe care sunt stocate fizic datele personale trebuie să fie situat pe teritoriul Federației Ruse.

Deci, acest articol discută multe, dar în niciun caz toate, aspectele plasării unui ISPD pe resursele de calcul ale furnizorilor. servicii cloud. Mai mult informatii detaliate pot fi obținute din următoarele documente și resurse de informare:

Legislație

  • Decretul Guvernului Federației Ruse din 1 noiembrie 2012 N 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”
  • Ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 privind aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal

    Telegram Passport vă va permite să identificați identitatea utilizatorului. Toate documentele și datele necesare vor trebui încărcate în Telegram o dată, apoi le puteți transfera instantaneu către partenerii Telegram. Este planificat ca până la lansarea noului serviciu, să fie posibilă utilizarea serviciilor mai multor astfel de parteneri, inclusiv Qiwi.

    Citeşte mai mult...

Deoarece serverul nu se află acasă, nu aveți acces la el și cu siguranță nu puteți influența în niciun fel politica centrului de date, pur și simplu nu aveți posibilitatea de a îndeplini o serie de cerințe legale. Mai rămâne un singur lucru de făcut, găsiți o găzduire care să îndeplinească cerințele legii.

Nu sunt Beget acum, le-am scris o scrisoare despre licența lor FSTEC pentru a proteja informațiile confidențiale. Ei au răspuns vag, de parcă eu nu sunt eu și casa nu e a mea, noi suntem doar aceștia și în general nu ar trebui... Pentru a rezuma, ei nu au licență, ceea ce înseamnă, în general, un site care colectează date personale nu poate fi păstrat acolo. Am navigat pe internet (nu foarte extins încă) și până acum am găsit doar RU-CENTER cu licență.

Licență pentru activități de dezvoltare și (sau) producere a mijloacelor de protecție a informațiilor confidențiale
LICENȚA Nr 0917 din 20 septembrie 2011

Licență pentru activități legate de protecția tehnică a informațiilor confidențiale
LICENŢĂ Nr. 1594 din 20 septembrie 2011
Deținătorul drepturilor de autor: Societatea pe acțiuni „Regional Network Information Center”
Perioada de valabilitate a licenței: nelimitat

Găzduirea de informații confidențiale în RU-CENTER

Pe 6 martie 2012, RU-CENTER începe să ofere un nou serviciu - găzduirea de informații confidențiale.
Găzduirea de informații confidențiale este plasarea unui site web pe Internet folosind măsuri suplimentare privind protecția informațiilor.
Acest serviciu vă va permite să îndepliniți o serie de cerințe obligatorii ale legislației în vigoare (Legea N 152-FZ), care sunt prezentate la prelucrarea datelor cu caracter personal.
Pe lângă metodele de bază de protecție a datelor și stocare a informațiilor utilizate în alte servicii RU-CENTER, găzduirea informațiilor confidențiale oferă:

  • echipamente specializate certificate care vă permit să efectuați o serie de acțiuni pentru protejarea informațiilor în timpul accesului la rețea;
  • restricție suplimentară acces fizic la echipamentul pe care se prestează serviciul;
  • zilnic backup(2 exemplare);
  • contabilizarea suporturilor fizice utilizate;
  • MySQL dedicat fiecărui serviciu.
Principalii consumatori serviciu nou- întreprinderi mici și mijlocii, magazine online, forumuri, sisteme de cercetare de marketing și multe alte resurse de internet care, atunci când procesează și stochează datele cu caracter personal ale utilizatorilor, trebuie să respecte cerințele legislației Federației Ruse (Legea N 152-FZ ).

Adevărata întrebare este, cum sunt de calitate?
Și dacă cineva găsește alți hosteri cu o licență FSTEC pentru a proteja informațiile confidențiale, postați-o în acest thread.

După intrarea în vigoare a clauzei 4, partea 2, articolul 19 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”, fiecare întreprindere este obligată să-și aducă sistemele și procesele de informații legate de prelucrarea datele personale în conformitate cu cerințele legislației Federației Ruse.

Ce înseamnă asta pentru persoanele juridice?

Organizațiile sunt obligate să asigure protecția drepturilor și libertăților persoanelor și cetățenilor atunci când prelucrează datele lor personale, inclusiv protecția drepturilor la confidențialitate, secrete personale și de familie. Astfel, ei devin „organizații de operatori de date cu caracter personal”. Serviciul Federal de Supraveghere a Comunicațiilor, Tehnologiilor Informaționale și Comunicațiilor de Masă (Roskomnadzor), FSTEC și FSB al Rusiei vor monitoriza conformitatea cu cerințele Legislației.

Legea federală se aplică companiilor de orice formă organizatorică - acestea includ organisme guvernamentale, instituții federale și municipale: bănci, companii de asigurări, instituții medicale, operatori de telecomunicații, magazine online, lanțuri de vânzare cu amănuntul, companiile producătoare și alte organizații care prelucrează datele cu caracter personal primite de la angajați, clienți și alte persoane fizice și juridice.

Responsabilitățile organizației de exploatare includ:

  • asigurarea legalității prelucrării datelor cu caracter personal;
  • construirea unui sistem de protecție a datelor cu caracter personal în conformitate cu cerințele FSTEC și FSB din Rusia;
  • trimiterea unei notificări către Roskomnadzor;
  • elaborarea documentatiei interne;
  • efectuarea de teste de certificare sau evaluare a conformității;
  • actualizarea sistematică a sistemului de protecție a datelor cu caracter personal.

Adesea, aceasta se dovedește a fi o sarcină dificilă și costisitoare, inclusiv din cauza necesității de a obține un document care să confirme eficacitatea măsurilor luate pentru protejarea datelor cu caracter personal. De aceea, majoritatea companiilor preferă să optimizeze acest proces prin găsirea unui partener de încredere soluție gata făcutăîntr-o infrastructură virtuală externă.

Pentru ca toată lumea să performeze persoane juridice pe teritoriul Rusiei, în conformitate cu Legea federală cu același nume - 152, noi - un site de găzduire în colaborare cu compania WELLSERVICE - oferim o soluție mai puțin costisitoare și consumatoare de timp: transferul sistemelor de stocare și procesare a datelor personale într-un sistem cloud securizat , pe care îl numim „ISPDn în cloud”.

Serverele pentru sistemele de informații cu date personale (PDIS) sunt furnizate oricăror companii situate pe teritoriu și care sunt rezidente în Federația Rusă.

Ce este „ISPDn în cloud”?

Produsul „ISPDn în cloud” este un produs separat, sigur server virtual, la tariful pe care îl alegeți, respectând în totalitate cerințele Legii Federale-152.

Fiecare „ISPDn în nor” este un obiect complet izolat. Aceasta înseamnă că accesul la ISPD-ul tău de la furnizorul de găzduire este blocat folosind instrumente de securitate certificate și este absolut confidențial!

Confidențialitatea informațiilor prelucrate se realizează prin:

  • Accesul la datele situate pe „ISPDn în cloud” este limitat utilizând certificat de FSTEC Rusia mijloace de protecție împotriva accesului neautorizat (NAD) și utilizarea funcțiilor unui hypervisor de mașină virtuală (care face parte dintr-un instrument de protecție certificat).
  • Date transmise prin canale de comunicare de la terminalul organizației-operator de date cu caracter personal către interfața de rețea mașină virtuală, sunt criptate folosind certificat de FSB Mijloacele rusești de protecție a informațiilor criptografice (CIPF). Imagini de disc mașinile virtuale sunt, de asemenea, criptate folosind CIPF.
  • Niciunul dintre centrele de date nu are chei de acces la facilitățile CIPF situate în mașina virtuală a clientului. Deci, de exemplu, pentru a descărca sistem de operare pe VPS, clientul introduce independent parola pentru containerul cripto pe care îl conține partiția sistemului. Această procedură este implementată folosind un bootloader al sistemului de operare dezvoltat special de compania noastră pe o mașină virtuală. În același timp, cheile de acces pot fi regenerate de către utilizatorul mașinii virtuale în mod independent în orice moment, iar criptocontainerul poate fi re-criptat corespunzător.
  • Disponibilitatea și integritatea informațiilor prelucrate este asigurată prin utilizarea canalelor de comunicații rezervate, sisteme de stocare a datelor fiabile, dispozitive de răcire și alimentare neîntreruptibilă. Partenerii noștri sunt cele mai bune centre de date din Rusia: Miran, IXCellerate, KIAEHOUSE.

Ce oferă ISPDn în cloud companiilor din Rusia?

Procedura simplă: vom întreprinde întregul complex de lucrări organizatorice, juridice și tehnice - dezvoltarea unui model de amenințare la securitate, conceptul unui sistem de protecție, metodologia de certificare, efectuarea directă a testelor de certificare și eliberarea unui certificat de conformitate. Alegând produsul nostru „ISPDn in the Cloud”, NU TREBUIE SĂ OBȚINEȚI CONSMISIMUL SUBIECȚILOR DATELOR PERSONALE la colectarea acestuia.

Economii semnificative: produsul nostru eliberează compania client de costurile creării și deținerii unei infrastructuri IT sigure pentru stocarea, procesarea și protejarea datelor cu caracter personal. Mai mult, găzduirea ISPD în cloud este oferită ca serviciu, compania client nu are costuri de capital.

Avantajele noastre:

  • sistemul securizat „ISPDn în cloud” a trecut toate certificările necesare ca fiind în conformitate cu toate cerințele legislației Federației Ruse în domeniul datelor cu caracter personal;
  • conformitatea deplină cu cerințele FSTEC și ale FSB din Rusia pentru toate elementele hardware, software și de rețea ale sistemului;
  • nu va trebui să obțineți consimțământul subiecților datelor cu caracter personal la colectarea acestora;
  • consultări și suport în toate etapele de implementare și lucru cu produsul.
  • un pachet complet de documente organizatorice, administrative și de reglementare;
  • fără costuri de capital.

Care este procesul de livrare a serviciilor?


1

Înregistrarea unui reprezentant al companiei client pe site-ul nostru și completarea ulterioară a unui formular de cerere pentru serviciul „ISPDn in the Cloud”: necesitatea certificării, detalii despre organizație, tip de activitate.

În funcție de cerințele ISPD, alegeți un plan tarifar potrivit cu parametrii necesari server: spațiu pe disc și RAM.

Încheierea unui acord pentru furnizarea serviciului „ISPDn în cloud” și efectuarea plății.

Pe baza datelor furnizate, vă vom pregăti un set de documente organizatorice, administrative și de reglementare, inclusiv o declarație privind datele personale, un act de clasificare ISPD, un model de amenințare și alte documente necesare. Un specialist de la firma noastra va verifica completarea si aprobarea corecta a acestor documente.

Suntem de acord cu dvs. cu privire la data certificării la fața locului a locului de muncă. După ce un specialist vizitează și verifică toate cerințele la locul de muncă, primiți un certificat de conformitate și întregul pachet de documente care atestă conformitatea deplină a ISPD cu cerințele și standardele nr. 152-FZ „Cu privire la datele personale” și toate prin- legi.


Licențele și certificatele noastre


* Costul unui server ISPD securizat cu un pachet de documente și procedura de certificare atunci când este plătit timp de 1 an.

Vanzarea infrastructurii securizate pentru stocarea si prelucrarea datelor cu caracter personal conform celor prezentate planuri tarifare efectuat pe o perioadă minimă de 1 an.

Când comandați primul server de la ISPD, se percepe o taxă de instalare de 11.300 de ruble.

Înainte de a începe analiza 152-FZ, trebuie să știți că există și Legea 242-FZ, care a intrat în vigoare la 1 septembrie 2015, care este un act de reglementare care a modificat un alt izvor fundamental de drept - Legea federală nr. 152 , adoptată în iulie 2006. Adoptarea legii „localizării datelor cu caracter personal” a fost însoțită de o acoperire pe scară largă a inițiativei legislative în diverse mass-media, în urma căreia s-a creat două mituri principale privind Legea federală nr. 242-FZ:

  • Rușilor li se interzice acum să își posteze datele personale (site-urile web) în străinătate;
  • Tuturor companiilor străine li sa interzis să primească și să prelucreze date personale ale rușilor pe servere din afara Federației Ruse.

Legea federală nr. 242-FZ prevede că „la colectarea datelor cu caracter personal, inclusiv prin intermediul internetului, operatorul este obligat să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), preluarea datelor cu caracter personal ale cetățenilor din Rusia. Federația care utilizează baze de date situate pe teritoriul Federației Ruse.” În caz de nerespectare a legii, accesul la un site condamnat pentru colectarea și stocarea primară a datelor cu caracter personal ale cetățenilor ruși în bazele de date situate în jurisdicția Federației Ruse poate fi limitat.

Pot folosi hosting în străinătate?

Legea nu interzice plasarea oricărui site web (bază de date) pe servere situate în țări care au semnat Convenția Consiliului Europei ETS Nr. 108, precum și transfer transfrontalier de date cu caracter personal. Conform Convenției Consiliului Europei ETS Nr. 108 „Cu privire la protecția indiviziiîn timpul prelucrării automate a datelor cu caracter personal”, Partea 2 a articolului 12 prevede că țările care au aderat la acesta nu vor interzice și nu vor pune sub control special fluxurile de informații de date cu caracter personal care ajung pe teritoriul unei alte părți la Convenție, iar art. 25 interzice orice rezerve la Convenție.

Aceasta înseamnă că utilizarea găzduirii în străinătate (nu în interiorul Federației Ruse), precum și stocarea și prelucrarea datelor cu caracter personal, este considerată legală dacă găzduirea este situată într-una dintre țările care au semnat Convenția: Austria, Belgia, Bulgaria, Danemarca, Marea Britanie, Ungaria, Germania, Grecia, Irlanda, Spania, Italia, Letonia, Lituania, Luxemburg, Malta, Țările de Jos, Polonia, Portugalia, România, Slovacia, Slovenia, Finlanda, Franța, Cehia, Suedia, Estonia și, de asemenea, după cum urmează din explicațiile lui Roskomnadzor , în țări , asigurând o protecție adecvată a datelor cu caracter personal. Acestea sunt recunoscute ca țări care au reglementări la nivel național în domeniul protecției datelor cu caracter personal și un organism de supraveghere autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal: Andorra, Argentina, Israel, Islanda, Canada, Liechtenstein, Norvegia, Serbia, Croația, Muntenegru, Elveția, Coreea de Sud, Japonia.

Unde ar trebui stocate datele personale?

Din punct de vedere fizic, site-ul și baza de date pot fi găzduite de orice țară care a semnat Convenția Consiliului Europei ETS Nr. 108. Legea impune operatorului să asigure înregistrarea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), preluarea datelor cu caracter personal ale cetățenilor Federației Ruse folosind baze de date situate pe teritoriul Federației Ruse, cu toate acestea, Legea nu interzice stocarea datelor cu caracter personal ale rușilor pe servere din afara teritoriului Federației Ruse. Singura condiție este ca datele cu caracter personal să fie inițial colectate și prelucrate în Federația Rusă. Dar, repetăm, acest lucru nu interzice transferul transfrontalier de date cu caracter personal și lucrul cu acestea în țările care au semnat Convenția.

Conformitatea gazduirii cu JIHOST 152-FZ

Jihost respectă pe deplin 152-FZ datorită utilizării replicării și transmitere transfrontalieră date personale.

Principiile de funcționare sunt descrise schematic mai jos:

Gazduire Jihost conformitate cu 152-FZ Orice modificare a bazei de date a site-ului, inclusiv transfer Informații personale, baza de date este replicată pe un server situat pe teritoriul Federației Ruse, asigurând astfel relevanța și caracterul complet al datelor în conformitate cu Legea. Apoi datele sunt replicate în baza de date a serverului local, de pe care site-ul funcționează ulterior. Acest model circular funcționează peste tot. Mai mult, dacă este necesară doar citirea datelor, atunci aceasta are loc fără replicare, direct de la baza locala date. Pe lângă conformitatea cu 152-FZ, această schemă