Облачно решение Федерален закон 152» освобождава Оператора на лични данни от разходите за създаване и притежаване на защитена ИТ инфраструктура, за да отговаря на изискванията на 152-FZ и 242-FZ. С други думи, ако руското законодателство задължава вашата компания да предприеме всички необходими организационни и технически мерки за защита на личните данни от неразрешен и незаконен достъп, изберете готово решениеот Cloud4Y.

Защо се нуждаете от „Cloud Federal Law 152“:

• Отделен защитен, сертифициран и удостоверен „облак“ за хостване на ISPD.
• Сертифициране на механизми за виртуализация: хипервизор на изчислителни ресурси, система за управление на виртуализирани мрежи за данни, платформа за виртуализация и система за съхранение на данни.
• Предоставяне на услуги за сигурност (базирани на сертифицирани инструменти за сигурност), които могат да се използват от клиенти, хостващи своите ISPD в облака.

Организация на разполагането на ISPDn в облака:

• Освобождава оператора на лични данни от капиталови разходи за създаване и притежаване на сигурна ИТ инфраструктура;
• Освобождава оператора от част от правната отговорност за спазване на изискванията на 152-FZ, 242-FZ;
• Позволява използването на системен и специфичен софтуер на доставчика;
• Позволява ви да получавате поддръжка на ИТ инфраструктура от висококвалифициран персонал 24×7

Характеристики на “Cloud FZ 152”:

• Хостингът на ISPD се предоставя като услуга, тоест клиентът няма капиталови разходи.
• Cloud4Y действа като лице, отговорно за обработката на лични данни от името на оператора.
• Системата е сертифицирана от лицензианти на FSTEC, което потвърждава нейното съответствие с изискванията за безопасност. Използваните предпазни средства бяха по установения редоценка на съответствието и имат сертификати, издадени от съответните органи на FSTEC и FSB на Русия.
• Наличие на сертификати за различни облачни елементи, които изпълняват функции за сигурност (хипервизор, инструменти за сигурност, интегрирани в облака, инструменти за сигурност, предлагани на клиентите като услуги за сигурност.
• Набор от организационни и технически мерки за защита за осигуряване на затваряне за клиенти текущи заплахиот обслужващ персонал, от други клиенти и други нарушители.

Нормативни документи и класификация

Бяла книга за Федерален закон 152 - книга, която може да се използва при обработка на лични данни

Лицензи и сертификати

цени

ПРОМОЦИЯ: само до 30 април 2020 г. "Cloud Federal Law 152" на редовната цена ЗАВИНАГИ! Подробности

За да получите оценка на разходите за облачната услуга FZ-152, свържете се с всеки мениджър по телефона +7 495 268 04 12 или всеки друг удобен метод, наличен в раздела

Разгледайте списъка с регулаторни правни актове, установяващи задължителни изисквания за извършване на дейности юридически лицаи индивидуални предприемачи за съответствие на обработката на лични данни с изискванията на законодателството на Руската федерация в областта на личните данни на връзката.

Често задавани въпроси (FAQ)

2. Защо имаме нужда от това?
Тъй като вие сте обработващ лични данни, действието на Федерален закон № 152 автоматично се прилага за вас. И държавните агенции, които притежават държавни информационни системи, също са обект на 17-та заповед на FSTEC.

3. Колко струва?
Цената се изчислява индивидуално за клиента, като се вземат предвид обемът, нивото на сигурност и времето на поставяне.

4. Можете ли да помогнете с подготовката на документацията?
Да, можем (ние предоставяме готови шаблони или поемаме целия процес на подготовка до ключ).

5. Как е организиран каналът за предаване на данни?
Чрез VipNet координатор се използва канал, криптиран според руския GOST.

Ако не сте намерили отговора на въпроса си, отидете на нашия, попитайте нашите консултанти на уебсайта чрез онлайн чат или напишете заявка за поддръжка чрез.

Измененията във федералния закон влязоха в сила на 1 септември 2015 г „За личните данни“ (Закон 152 Федерален закон).
Съгласно закона данните, които клиентът въвежда на вашия уебсайт, трябва да се съхраняват в Руската федерация.
И това не е всичко. Прочетете кого ще засегне този закон и какво да правите в нашата статия.

На 1 септември 2015 г. влязоха в сила промените в Закона за личните данни.
Съгласно този закон всички данни, които клиентът въвежда на вашия уебсайт и които са конкретно лични данни (паспортни данни, адреси, включително електронна поща, информация за плащане и т.н.), трябва да се съхраняват на територията на Руската федерация.

ЕТО И ИЗВЛЕЧКА ОТ ЗАКОН 152 за защита на личните данни

Е, това не е всичко.През февруари 2017 г. бяха направени допълнителни промени в закона за защита на личните данни. Настоящите промени задължават всички собственици на уебсайтове и онлайн магазини (Оператори) да уведомяват потребителите, че при въвеждането на лични данни в уебсайта дават съгласието си за тяхното събиране, обработване и съхраняване.

Ако пренебрегнете тези изменения в закона, рискувате да получите глоба до 75 000 рубли за едно нарушение. И ако има повече от тях, тогава размерът на глобата ще се увеличи (при нарушаване на законодателството на Руската федерация в областта на личните данни - член 13.11 от Кодекса за административните нарушения на Руската федерация)

КАКЪВ ДРУГ Е РИСКЪТ ОТ НЕСПАЗВАНЕ НА ЗАКОНА ЗА ЛИЧНИТЕ ДАННИ?

Освен административна, може да има и наказателна отговорност. Така че, ако причините морална вреда на потребител, чиито лични данни, например, са попаднали в неподходящи ръце.
Е, за такива нарушения Roskomnadzor може да блокира сайта и да ви добави в така наречения „черен списък“.
И тогава бъдете готови за допълнителни проверкиот Роскомнадзор.

КАКВО ДА ПРАВЯ?

1. Първото нещо, което трябва да направите, е да уведомите потребителите за обработката на лични данни. Ако все още не сте го направили, сега е моментът. Разработете и публикувайте на уебсайта документ за обработката на лични данни и също така получете съгласието на потребителите за такава обработка (например, като поставите отметка с информация под всеки регистрационен формуляр).
   Като цяло това може да стане по различни начини, в зависимост от вашите цели и бизнес характеристики. Например Ozone публикува политика за поверителност на уебсайта и при регистрация на потребител дава съгласие за обработка на лични данни. Или можете да поставите информация за събирането на PD вътре публична оферта, както прави Lamoda и също събират съгласие за обработка по време на регистрация. Или като SberBank, която поставя такава информация в споразумението.
2. Подгответе вътрешни документис който се уреждат правилата за прилагане на този закон. Те включват заповеди, инструкции и назначаване на лица, отговорни за съхранението лична информация.
3. Много е важно да се уверите, че данните се съхраняват в Русия (на руски сървъри).
   Това се изисква от закона за защита на потребителската информация (част 5 от член 18 от Федералния закон „За личните данни“).
   Затова проверете при вашия хостинг доставчик адреса на местоположението на сървърите, на които се хоства вашия сайт, и сключете договор с него, където ще бъде посочен този адрес. Този адрес ще ви е необходим, за да попълните известие до Roskomnadzor. Ако имате собствен сървър, не забравяйте да запазите документи на него. Те могат да бъдат изискани от Roskomnadzor по време на евентуална проверка. Същото важи и за договор с хостинг доставчик.

   Ако вашият хостинг доставчик постави своите сървъри в руски център за данни, тогава всичко е наред.
   Това е най-лесният начин да изпълните законовите изисквания, като закупите хостинг от местен доставчик.

   Има и друг метод, наречен трансграничен трансфер на данни. Това не е забранено от закона. Съхранението на лични данни в чужбина е разрешено, но с известни резерви. Така че във всеки случай компанията, освен че съхранява лични данни в чужбина, трябва да има такава база данни на територията на Руската федерация. Но в същото време базата данни трябва да бъде възможно най-пълна и актуална. Схемата тук е следната: цялата база данни с лични данни се събира, систематизира и съхранява на територията на Руската федерация, след което данните могат да бъдат прехвърлени в чужбина. Тук е важно да се разбере, че първоизточникът е база на територията на Руската федерация.

4. След това подгответе и изпратете известие до Roskomnadzor.
   Това може да стане чрез електронната форма на сайта:

   Не е необходимо да подавате известие, ако:

   
   → обработвате само данни на служители;

   → сключвате договор с конкретно лице и данните, посочени в договора, се използват само за изпълнение на този договор, т.е. информацията не се публикува или прехвърля на трети страни без съгласието на субекта на личните данни (този момент е двусмислен, тъй като могат да възникнат въпроси поради спецификата на бизнеса. Важно е правилно да се състави споразумение, като се вземат предвид всички нюансите, които отговарят на изискванията на закона, затова препоръчваме да се консултирате с адвокат. И ако няма ясен отговор, тогава е по-добре да изпратите известие.);

   → ако събраните данни включват само трите имена на потребителите;

   → ако потребителят сам е направил публично достъпни личните си данни.

Моля, обърнете внимание, че става дума само за случаите, когато не е необходимо да се подава уведомление. Горните данни все още са лични и потребителят трябва да бъде уведомен за тях.

ВМЕСТО ЗАКЛЮЧЕНИЕ

За собствениците на уебсайтове най-важното е да подредите всичко правилно. По този начин ще се предпазите от глоби и друга отговорност и ще спечелите доверието на клиентите си.
Малка забележка:Съветваме ви да не правите копие, например, като вашите конкуренти - всеки има своите специфики. По-добре е да отделите време за разработване на документация специално за вашия бизнес, отколкото да плащате глоби по-късно. И ако все още имате въпроси, Потърсете помощ от вашия адвокат, тъй като тази статия не е заместител на специалист, което ще ви помогне да направите всичко според нуждите и конкретно за вашите цели и задачи.

• споделяне:

• Федерален закон „За личните данни“ от 27 юли 2006 г. N 152-FZ

Публикации

От септември 2015 г. в Руската федерация влезе в сила регламент за локализиране на съхранението на лични данни (242-FZ от 21 юли 2014 г.). Тази иновация, разбира се, се оказа един от основните двигатели за руски пазархостинг и облачни изчисления, принуждавайки както операторите на лични данни, така и доставчиците на хостинг услуги отново да помислят как да осигурят съответствие на такъв на пръв поглед прост субект като уебсайт с изискванията на законодателството за личните данни.

Въпреки факта, че Федералният закон № 152-FZ от 27 юли 2006 г. „За личните данни“ беше приет доста отдавна, не всеки се адаптира към него и се научи да го прилага. Отчасти благодарение на големия брой нормативни документии редовни промени в тях. Днес те идват от четири отдела: правителството, Roskomnadzor, FSTEC и FSB. А също и благодарение на доста балансираната позиция на регулатора, който вместо политиката на забиване на пирони избра стратегия на плавно, но неизбежно затягане на винтовете.

Ако големият бизнес и държавните органи, като най-дисциплинираните участници на пазара, в по-голямата си част вече са привели своите информационни системи за лични данни (PDIS) в съответствие със закона, то средният и малкият бизнес едва сега започват да осъзнават, че за тяхното по-нататъшно съществуване и развитие, те имат нужда от всичко - тепърва ще трябва да излезем от сенките, включително и по отношение на прилагането на законодателството за личните данни, още повече че тази сянка остава все по-малко и вече започва да не стига за всички.

Какво трябва да направи собственикът на уебсайт, където се събират и съхраняват лични данни на потребителите (например в личния акаунт на онлайн магазин)? Нека се опитаме да разберем това заедно.

Ако уебсайт събира лични данни, това е информационна система за лични данни и е предмет на 152-FZ

Ето какво казва самият Роскомнадзор за това: „Съгласно клауза 9 на чл. 3 от Федералния закон „За личните данни“, информационната система за лични данни е набор от лични данни, съдържащи се в бази данни и осигуряващи тяхната обработка информационни технологииИ технически средства. Ако уебсайтът отговаря на посочените изисквания, той е информационна система.“

Всички интуитивно знаем какво представляват личните данни, но е важно да разберем какво представляват те от правна гледна точка. Съгласно параграф 1 на член 3 от Федерален закон № 152-FZ, лични данни са всяка информация, свързана пряко или косвено с конкретно или идентифицируемо физическо лице. Тоест, това е почти всичко: от данъчен идентификационен номер до цвят на косата и размер на обувките, да не говорим за телефонния номер и адреса, независимо дали е имейл или пощенски.

По този начин онлайн магазин или просто уебсайт, където има личен акаунт или регистрация на потребител, онлайн поръчка, резервация, плащане, доставка и т.н. и т.н., по отношение на 152-FZ, всичко това е информационна система за лични данни (ISPD), а нейният собственик е оператор на лични данни.

Законът за личните данни отчита тенденциите в облачните изчисления и аутсорсинга

Вече е казано и написано много за уместността и перспективите на ИТ аутсорсинга, особено за компании от сектора на малките и средни предприятия, така че в тази статия няма да агитирам читателя „за облаците“. Освен това всички знаем много добре, че повечето сайтове в Интернет се хостват на публични уеб сървъри на доставчици на хостинг услуги.

Има много причини за това, но най-важната е, разбира се, здравословното желание на компаниите да спестят пари и да получат евтина уеб услуга с висока наличност. Създаването на ваша собствена изчислителна инфраструктура с надеждност, която е поне сравнима със стандартен център за данни Tier-III, струва милиони рубли. Първо, имате нужда от подходящо помещение: не коридор, не мазе, не таван, за да не се наводнява и за да няма достъп там непознати. Необходима е вентилация и климатизация и то с известно резервиране. Необходимо е да се организира автономно и резервно захранване. За да направите това, трябва да инсталирате някъде дизел генератор. И накрая, необходим е персонал за физическа охрана и поддръжка. Освен това, за да гарантирате наличност на услугата, ще трябва да закупите пълен комплект резервни части за сървърно и мрежово оборудване. Тоест, вместо един сървър, всъщност трябва да закупите два.

Естествено, с развитието на облачните изчисления, технологиите за виртуализация и ясната тенденция към аутсорсинг, все повече компании от сектора на малкия и среден бизнес се стремят да прехвърлят своите информационни системи от системни единици „под бюрото“ към облачни изчислителни ресурси, разположени в компютърни центрове, които отговарят на съвременните индустриални стандарти.

IN информационни системиВсяко предприятие съхранява и обработва определено количество лични данни. Това могат да бъдат както лични данни на служители на компанията, така и данни на клиенти или контрагенти. Корпоративните информационни системи са доста разнообразни, както функционално, така и технологично. Това може да бъде система за автоматизиране на счетоводството, например 1C и уебсайт с личен акаунтпотребител и онлайн магазин. В същото време тези информационни системи, като правило, са взаимосвързани - те предават информация една на друга, включително лични данни.

Съгласно клауза 3 на член 3 от 152-FZ обработката на лични данни е всяко действие (операция) или набор от действия (операции), извършвани с помощта на средства за автоматизация или без използването на такива инструменти с лични данни, включително събиране, запис , систематизиране, натрупване, съхранение, изясняване (актуализация, промяна), извличане, използване, прехвърляне (разпространение, предоставяне, достъп), деперсонализация, блокиране, изтриване, унищожаване на лични данни.

По този начин поставянето на ISPD на сървъра на доставчика не е нищо повече от аутсорсване, като минимум, на такива функции за обработка на лични данни като запис, съхранение, четене (извличане), прехвърляне и изтриване.

Съгласно клауза 2 на член 3 от 152-FZ оператор (на лични данни) е юридическо или физическо лице, което самостоятелно или съвместно с други лица организира и (или) извършва обработката на лични данни, както и определя целите на обработката на лични данни, състава на личните данни, подлежащи на обработка, действия (операции), извършвани с лични данни.

Съответно, хостинг доставчикът, който е поел функциите по съхраняване и предаване на лични данни, е техен оператор, заедно със собственика на сайта (информационната система, обработваща тези лични данни) и съгласно закона е длъжен да предприеме определени мерки за гарантиране на тяхната сигурност. Всъщност всичко не е толкова лошо и трябва да отдадем почит на авторите на Закона „За личните данни“ № 152-FZ и Правителствен указ № 1119 от 1 ноември 2012 г., които предвиждат прехвърлянето от оператора на лични данни на част от функциите за тяхното обработване за възлагане на външни организации на трети страни.

Законодателно регулиране на хостинг уебсайтове, които обработват лични данни на хостинг, предоставен от трета страна

Операторът на лични данни има право да възложи обработването на лични данни на друго лице със съгласието на субекта на лични данни, въз основа на споразумение (инструкция), сключено с това лице. Лицето, обработващо лични данни от името на оператора, е длъжно да спазва принципите и правилата за обработка на лични данни, предвидени в действащото законодателство. Заповедта на оператора трябва да определя списък от действия с лични данни, които ще бъдат извършвани от лицето, обработващо лични данни, и целите на обработването, трябва да установява задължението на това лице да поддържа поверителността на личните данни и да гарантира сигурността на личните данни по време на тяхната обработка и трябва също да посочи изисквания за защита на обработваните лични данни (клауза 3, член 6 152-FZ).

По този начин хостинг доставчикът, подобно на собственика на сайта, е оператор на личните данни, обработвани на сайта и отговаря за тяхната наличност, безопасност и сигурност. С една единствена разлика - собственикът на сайта носи отговорност пред субектите на лични данни и в предвидените от закона случаи е длъжен да получи разрешение от субектите за обработка на лични данни, а хостинг доставчикът, като упълномощено лице, е длъжен отговаря пред собственика на сайта и получава лични данни от него и ги съхранява, но не носи отговорност за получаване на разрешение от субектите.

Като цяло темата за получаване на съгласието на субектите за обработка на техните лични данни е много обширна и интересна и, разбира се, заслужава отделна статия.

Разграничаване на зоните на отговорност на хостинг доставчика и собственика на сайта за спазване на изискванията за защита на личните данни

Съгласете се, би било несправедливо да прехвърлите цялата отговорност за сигурността на личните данни на хостинг доставчика. В края на краищата той често няма представа кой, как и на какво е написан сайтът, хостван на неговия сървър. Какви пароли се използват за разрешаване на достъп до лични данни, под каква форма се съхраняват и дали изобщо се използват.

Съгласно Постановление на правителството № 1119 (клаузи 13 - 16), за да се осигури необходимото ниво на сигурност на личните данни при обработката им в информационни системи, трябва да бъдат изпълнени следните изисквания:

Хостинг доставчикът трябва да има лиценз от Roskomnadzor за предоставяне на комуникационни услуги

Както знаете, за предоставяне на комуникационни услуги е необходим лиценз на Roskomnadzor. Това следва например от параграф 36 на член 12 от Федералния закон от 4 май 2011 г. № 99-FZ „За лицензирането отделни видоведейности."

Съгласно списъка с имена на комуникационни услуги, включени в лицензите за извършване на дейности в областта на предоставянето на комуникационни услуги, одобрен с постановление на правителството на Руската федерация от 18 февруари 2005 г. № 87), лицензираните комуникационни услуги включват, между други неща:

• Телематични комуникационни услуги (това включва хостинг);
• Комуникационни услуги за предаване на данни, с изключение на комуникационни услуги за предаване на данни с цел предаване на гласова информация.

За да хоства сайтове, които обработват лични данни, хостинг доставчикът трябва да има лиценз на FSTEC

Федералната служба за технически и експортен контрол (FSTEC на Русия) регулира дейностите, свързани с техническата защита на информацията, се занимава с въпроси на държавната политика в тази област на законодателството, стандартизацията, лицензирането, а също така провежда съответните проверки.

Тъй като хостинг доставчикът, като упълномощено по договора за преотстъпване лице, е оператор на лични данни, той е длъжен да предприеме технически мерки за защитата им, т.е. да предоставя услуги за техническа защитаинформация, която в съответствие с наредбата за лицензионни дейности за техническа защита на поверителна информация, одобрена с постановление на правителството на Руската федерация от 3 февруари 2012 г. N 79, се отнася до лицензирани видове дейности.

Организационните и технически мерки за гарантиране на сигурността на личните данни, одобрени със Заповед № 21 на FSTEC от 18 февруари 2013 г., включват:

• идентифициране и удостоверяване на субекти на достъп и обекти на достъп;
• контрол на достъпа на субекти на достъп до обекти на достъп;
• ограничаване на софтуерната среда;
• защита на компютърни носители за съхранение;
• регистриране на събития за сигурност;
• антивирусна защита;
• откриване на проникване (предотвратяване);
• контрол (анализ) на сигурността на личните данни;
• осигуряване целостта на информационната система и личните данни;
• осигуряване на наличност на лични данни;
• защита на средата за виртуализация;
• защита на технически средства;
• защита на информационната система, нейните системи за комуникация и предаване на данни;
• идентифициране на инциденти и реагиране при тях;
• управление на конфигурацията на ISPDn и SZPDn.

За извършване на работа за гарантиране на сигурността на личните данни е разрешено да се ангажират на договорна основа организации на трети страни, които имат лиценз за работа в областта на техническата защита на поверителна информация (клауза 2, параграф 2 от Заповед № 21 на FSTEC ).

Редица мерки за гарантиране на сигурността на личните данни изискват хостинг доставчикът да притежава лиценз на FSB

Мерките за осигуряване на подходящо ниво на защита на личните данни, съгласно Заповед № 21 на FSTEC, включват следните мерки:

• Изпълнение на защитени отдалечен достъпсубекти на достъп до обекти на достъп чрез външни информационни и телекомуникационни мрежи (UPD.13);
• Осигуряване на защита на личните данни от разкриване, промяна и налагане (въвеждане на невярна информация) по време на тяхното предаване (подготовка за предаване) по комуникационни канали, които излизат извън контролираната зона, включително безжични комуникационни канали (ZIS.3);
• Осигуряване на автентичност мрежови връзки(сесии за взаимодействие), включително за защита срещу спуфинг мрежови устройстваи услуги (ЗИС.11);

Въз основа на същността на тези мерки е ясно, че тяхното прилагане изисква използването на криптографски средства за защита на информацията (CIPF). Както е известно, въпросите, свързани с използването на CIPF в Руската федерация, се регулират от Федералната служба за сигурност (ФСБ на Русия).

Съгласно регламента за лицензионни дейности за разработване, производство, разпространение на криптиращи (криптографски) инструменти, одобрен с Указ на правителството на Руската федерация от 16 април 2012 г. № 313, списъкът на произведенията, които съставляват лицензираната дейност включва:

• Разработване на защитени информационни и телекомуникационни системи с използване на криптографски средства;
• Монтаж, инсталиране, настройка на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
• Работа по поддръжка на криптографски средства;
• Трансфер на криптографски средства и информационни и телекомуникационни системи, защитени с тяхното използване;
• Предоставяне на услуги за криптиране на информация.

Изчислителният център на хостинг доставчика трябва да се намира на територията на Руската федерация

На 1 септември 2015 г. Руската федерация влезе в сила относно локализирането на съхранението и някои процеси на обработка на лични данни, определени в Федерален закон№ 242 от 21 юли 2014 г. „За изменение на някои законодателни актове на Руската федерация по отношение на изясняването на процедурата за обработка на лични данни в информационни и телекомуникационни мрежи“, съгласно параграф 1 на член 2 от който, при събиране на лични данни , включително чрез информация - телекомуникационната интернет мрежа, операторът е длъжен да осигури записването, систематизирането, натрупването, съхранението, изясняването (актуализирането, промяната), извличането на лични данни на гражданите на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация. руска федерация.

В същото време е важно да се отбележи, че трансграничното предаване на лични данни като такова не е забранено, а се регулира от закона. Повече за това можете да прочетете в чл. 12 152-ФЗ.

Накратко за основното

И така, нека обобщим горното.

Уебсайтът е информационна система за лични данни, ако неговата функционалност ви позволява да въвеждате, съхранявате или преглеждате лични данни. Добър примерМоже да служи почти всеки уебсайт с личен акаунт, възможност за онлайн резервация, поръчка или покупка с доставка и др.

Обработката на лични данни на клиенти онлайн е не само необходимост на съвременната електронна търговия, но и широки възможности за маркетинг, чието описание заслужава отделна статия.

Собственикът на уебсайт, който е ISPD, е длъжен да изпрати уведомление до Roskomnadzor, като посочи: какви лични данни съхранява и обработва, къде са физически разположени сървърите, на които работи ISPD. Можете да прочетете за това в моята статия „Как да подадете уведомление до RKN и да не изпаднете в проблеми“.

Споразумението с хостинг доставчик, в допълнение към количествените и качествени характеристики на изчислителните ресурси, трябва задължително да съдържа ред за обработка на лични данни, като посочва конкретен списък от действия, които ще бъдат извършени с тях, трябва да посочва целите и трябва да се установи процедурата за обработка на лични данни, изискванията за тяхната защита и отговорността на доставчика за сигурността на личните данни.

В допълнение към стандартните лицензи на Роскомнадзор за хостинг компании за предоставяне на телематични комуникационни услуги, с цел защита на личните данни, обработвани на клиентски сайтове, хостинг доставчикът трябва да има лиценз на FSTEC за дейности, свързани с техническата защита на поверителна информация и FSB лиценз за предоставяне на услуги, свързани с използването на криптирани (криптографски) средства.

И накрая, сървърът на доставчика, на който физически се съхраняват лични данни, трябва да се намира на територията на Руската федерация.

И така, тази статия обсъжда много, но в никакъв случай не всички аспекти на поставянето на ISPD върху изчислителните ресурси на доставчиците на облачни услуги. повече подробна информацияможете да получите от следните документи и информационни ресурси:

Законодателство

• Указ на правителството на Руската федерация от 1 ноември 2012 г. N 1119 „За утвърждаване на изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни“
• Заповед на FSTEC на Русия от 18 февруари 2013 г. № 21 за одобряване на състава и съдържанието на организационни и технически мерки за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни

  Telegram Passport ще ви позволи да идентифицирате самоличността на потребителя. Всички необходими документи и данни ще трябва да бъдат качени в Telegram веднъж, след което можете незабавно да ги прехвърлите на партньорите на Telegram. Предвижда се до пускането на новата услуга да се използват услугите на няколко такива партньори, включително Qiwi.

  Прочети още...

Тъй като сървърът не се намира във вашия дом, вие нямате достъп до него и със сигурност не можете да повлияете по никакъв начин на политиката на центъра за данни, просто нямате възможност да изпълните редица законови изисквания. Остава само едно, да намерите хостинг, който отговаря на изискванията на закона.

Сега не съм Beget, написах им писмо относно лиценза им на FSTEC за защита на поверителна информация. Отговориха мъгляво, че не съм аз и къщата не е моя, ние сме само тези и общо взето не трябва... Да обобщим, те нямат лиценз, което означава общо взето, сайт, който събира лични данни, не може да се съхранява там. Сърфирах в интернет (все още не много) и досега намерих само RU-CENTER с лиценз.

Лиценз за дейности по разработване и (или) производство на средства за защита на поверителна информация
ЛИЦЕНЗ № 0917 от 20.09.2011г

Лиценз за дейности по техническа защита на поверителна информация
ЛИЦЕНЗ № 1594 от 20.09.2011г
Носител на авторските права: Акционерно дружество "Регионален мрежов информационен център"
Срок на валидност на лиценза: неограничен

Хостинг на поверителна информация в RU-CENTER

На 6 март 2012 г. RU-CENTER започва да предоставя нова услуга - хостинг на поверителна информация.
Хостинг на поверителна информация е поставянето на уебсайт в Интернет с помощта на допълнителни мерки за защита на информацията.
Тази услуга ще ви позволи да изпълните редица задължителни изисквания на действащото законодателство (Закон N 152-FZ), които се представят при обработката на лични данни.
В допълнение към основните методи за защита на данните и съхранение на информация, използвани в други услуги на RU-CENTER, хостингът на поверителна информация предлага:

• специализирано сертифицирано оборудване, което ви позволява да извършвате редица действия за защита на информацията по време на достъп до мрежата;
• допълнително ограничение физически достъпкъм оборудването, на което се предоставя услугата;
• ежедневно архивиране(2 екземпляра);
• отчитане на използваните физически носители за съхранение;
• MySQL, предназначен за всяка услуга.

Истинският въпрос е какво е качеството им?
И ако някой намери други хостери с лиценз на FSTEC за защита на поверителна информация, да го публикува в тази тема.

Преди да започнем анализа на 152-FZ, трябва да знаете, че има и Закон 242-FZ, който влезе в сила на 1 септември 2015 г., който е регулаторен акт, който измени друг основен източник на закон - Федерален закон № 152 , приет през юли 2006 г. Приемането на закона за „локализация на лични данни“ беше съпроводено с широко отразяване на законодателната инициатива в различни медии, в резултат на което създаването на два основни митаотносно Федерален закон № 242-FZ:

• На руснаците вече е забранено да публикуват свои лични данни (уебсайтове) в чужбина;
• На всички чуждестранни компании беше забранено да получават и обработват лични данни на руснаци на сървъри извън Руската федерация.

Федерален закон № 242-FZ предвижда, че „при събиране на лични данни, включително чрез интернет, операторът е длъжен да осигури запис, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Русия Федерация, използваща бази данни, разположени на територията на Руската федерация." В случай на неспазване на закона достъпът до сайт, осъден за първично събиране и съхранение на лични данни на руски граждани в бази данни, разположени в рамките на юрисдикцията на Руската федерация, може да бъде ограничен.

Мога ли да използвам хостинг в чужбина?

Законът не забранявапоставяне на уебсайт (база данни) на сървъри, разположени в държави, които са подписали Конвенцията на Съвета на Европа ETS № 108, както и трансграничен трансфер на лични данни. Съгласно Конвенцията на Съвета на Европа ETS № 108 „За защита на лицата по отношение на автоматизираната обработка на лични данни“, ратифицирана от Русия, част 2 на член 12 предвижда, че страните, които са се присъединили към нея, няма да забраняват или поставят под специални контрол информационни потоцилични данни, отиващи на територията на друга страна по конвенцията, и чл. 25 забранява всякакви резерви към Конвенцията.

Това означава, че използването на хостинг в чужбина (не в рамките на Руската федерация), както и съхраняването и обработката на лични данни се счита за законно, ако хостингът се намира в една от страните, подписали Конвенцията: Австрия, Белгия, България, Дания, Великобритания, Унгария, Германия, Гърция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Малта, Холандия, Полша, Португалия, Румъния, Словакия, Словения, Финландия, Франция, Чехия, Швеция, Естония, както и както следва от обясненията на Roskomnadzor , в държавите , осигуряващи адекватна защита на личните данни. Те са признати за държави, които имат общонационални разпоредби в областта на защитата на личните данни и упълномощен надзорен орган за защита на правата на субектите на лични данни: Андора, Аржентина, Израел, Исландия, Канада, Лихтенщайн, Норвегия, Сърбия, Хърватия, Черна гора, Швейцария, Южна Корея, Япония.

Къде трябва да се съхраняват личните данни?

Физически сайтът и базата данни могат да бъдат хоствани от всяка страна, която е подписала Конвенцията ETS № 108 на Съвета на Европа. Законът изисква операторът да осигури записване, систематизиране, натрупване, съхранение, изясняване (актуализиране, промяна), извличане на лични данни на граждани на Руската федерация, използвайки бази данни, разположени на територията на Руската федерация, но законът не забранява съхраняване на лични данни на руснаци на сървъри извън територията на Руската федерация. Единственото условие е личните данни да бъдат първоначално събрани и обработени в Руската федерация. Но, повтаряме, това не забранява трансграничното предаване на лични данни и работата с тях в страните, подписали Конвенцията.

Съответствие на хостинг с JIHOST 152-FZ

Jihost напълно спазва 152-FZ чрез използване на репликация и трансгранично предаване на лични данни.

Принципите на работа са описани схематично по-долу:

Хостинг Jihost съответствие с 152-FZ Всяка промяна в базата данни на сайта, включително прехвърляне на лична информация, базата данни се репликира на сървър, разположен на територията на Руската федерация, като по този начин се гарантира постоянна уместност и пълнота на данните в съответствие с Законът. След това данните се репликират в базата данни на локалния сървър, от която впоследствие работи сайтът. Този кръгъл модел работи навсякъде. Освен това, ако се изисква само четене на данни, това се случва без репликация, директно от локалната база данни. В допълнение към съответствието с 152-FZ,тази схема