Cloud-Lösung Bundesgesetz 152» befreit den Betreiber personenbezogener Daten von den Kosten für die Erstellung und den Besitz einer sicheren IT-Infrastruktur zur Einhaltung der Anforderungen von 152-FZ und 242-FZ. Mit anderen Worten: Wenn die russische Gesetzgebung Ihr Unternehmen dazu verpflichtet, alle notwendigen organisatorischen und technischen Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem und rechtswidrigem Zugriff zu schützen, wählen Sie fertige Lösung von Cloud4Y.

Warum brauchen Sie „Cloud Federal Law 152“:

• Separate sichere, zertifizierte und zertifizierte „Cloud“ für das Hosting von ISPD.
• Zertifizierung von Virtualisierungsmechanismen: Rechenressourcen-Hypervisor, virtualisiertes Datennetzwerk-Managementsystem, Virtualisierungsplattform und Datenspeichersystem.
• Bereitstellung von Sicherheitsdiensten (basierend auf zertifizierten Sicherheitstools), die von Kunden genutzt werden können, die ihr ISPD in der Cloud hosten.

Organisation der ISPDn-Platzierung in der Cloud:

• Befreit den Betreiber personenbezogener Daten von den Kapitalkosten für die Schaffung und den Besitz einer sicheren IT-Infrastruktur;
• Entbindet den Betreiber von einem Teil der gesetzlichen Haftung für die Einhaltung der Anforderungen von 152-FZ, 242-FZ;
• Ermöglicht die Verwendung systemweiter und spezifischer Anbietersoftware;
• Ermöglicht Ihnen, rund um die Uhr IT-Infrastrukturunterstützung durch hochqualifiziertes Personal zu erhalten

Eigenschaften von „Cloud FZ 152“:

• Die Platzierung von ISPD erfolgt als Dienstleistung, das heißt, für den Kunden entstehen keine Kapitalkosten.
• Cloud4Y fungiert als Verantwortlicher für die Verarbeitung personenbezogener Daten im Auftrag des Betreibers.
• Das System wurde von FSTEC-Lizenznehmern zertifiziert, was die Einhaltung der Sicherheitsanforderungen bestätigt. Die verwendete Schutzausrüstung wurde gemäß dem festgelegten Verfahren einer Konformitätsbewertung unterzogen und verfügt über Zertifikate, die von den zuständigen Behörden des FSTEC und des FSB Russlands ausgestellt wurden.
• Verfügbarkeit von Zertifikaten für verschiedene Cloud-Elemente, die Sicherheitsfunktionen implementieren (Hypervisor, in die Cloud integrierte Sicherheitstools, Sicherheitstools, die Kunden als Sicherheitsdienste angeboten werden).
• Eine Reihe organisatorischer und technischer Schutzmaßnahmen, um die Schließung für Kunden sicherzustellen aktuelle Bedrohungen vom Servicepersonal, von anderen Kunden und anderen Verstößen.

Regulatorische Dokumente und Klassifizierung

White Paper zum Bundesgesetz 152 – ein Buch, auf das in Fragen der Verarbeitung personenbezogener Daten verwiesen werden kann

Lizenzen und Zertifikate

Preise

AKTION: Nur bis 30. April 2020 „Cloud Federal Law 152“ zum regulären Preis für immer! Einzelheiten

Um einen Kostenvoranschlag für den FZ-152 Cloud-Dienst zu erhalten, wenden Sie sich telefonisch an einen beliebigen Manager +7 495 268 04 12 oder eine andere praktische Methode, die in diesem Abschnitt verfügbar ist

Lesen Sie unter dem Link die Liste der Rechtsakte, die verbindliche Anforderungen für die Tätigkeit juristischer Personen und Einzelunternehmer festlegen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten den Anforderungen der Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten entspricht.

Häufig gestellte Fragen (FAQ)

2. Warum brauchen wir das?
Da Sie ein Verarbeiter personenbezogener Daten sind, gilt für Sie automatisch die Wirkung des Bundesgesetzes Nr. 152. Und auch Regierungsbehörden, die staatliche Informationssysteme besitzen, unterliegen der 17. Verordnung des FSTEC.

3. Wie viel kostet es?
Die Kosten werden individuell für den Kunden berechnet und berücksichtigen dabei das Volumen, die Sicherheitsstufe und den Zeitpunkt der Platzierung.

4. Können Sie bei der Erstellung der Dokumentation helfen?
Ja, das können wir (wir stellen vorgefertigte Vorlagen zur Verfügung oder übernehmen die komplette schlüsselfertige Vorbereitung).

5. Wie ist der Datenübertragungskanal organisiert?
Über einen VipNet-Koordinator wird ein nach russischem GOST verschlüsselter Kanal genutzt.

Wenn Sie die Antwort auf Ihre Frage nicht gefunden haben, besuchen Sie unsere, fragen Sie unsere Berater auf der Website per Online-Chat oder schreiben Sie eine Supportanfrage über.

Änderungen des Bundesgesetzes traten am 1. September 2015 in Kraft „Über personenbezogene Daten“ (Gesetz 152 des Bundesgesetzes).
Laut Gesetz müssen die Daten, die der Kunde auf Ihrer Website eingibt, in der Russischen Föderation gespeichert werden.
Und das ist noch nicht alles. Lesen Sie in unserem Artikel, wen dieses Gesetz betrifft und was zu tun ist.

Am 1. September 2015 traten Änderungen des Gesetzes „Über personenbezogene Daten“ in Kraft.
Nach diesem Gesetz müssen alle Daten, die der Kunde auf Ihrer Website eingibt und bei denen es sich insbesondere um personenbezogene Daten handelt (Passdaten, Adressen, einschließlich E-Mail, Zahlungsinformationen usw.), auf dem Territorium der Russischen Föderation gespeichert werden.

HIER IST EIN AUSZUG AUS DEM GESETZ 152 zum Schutz personenbezogener Daten

Nun, das ist noch nicht alles. Im Februar 2017 wurden weitere Änderungen des Gesetzes zum Schutz personenbezogener Daten vorgenommen. Diese Änderungen verpflichten alle Eigentümer von Websites und Online-Shops (Betreiber), die Benutzer darüber zu informieren, dass sie bei der Eingabe personenbezogener Daten auf der Website mit deren Erhebung, Verarbeitung und Speicherung einverstanden sind.

Wenn Sie diese Gesetzesänderungen ignorieren, riskieren Sie eine Geldstrafe von bis zu 75.000 Rubel für einen Verstoß. Und wenn es mehr davon gibt, erhöht sich die Höhe der Geldbuße (bei Verstoß gegen die Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten – Artikel 13.11 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation).

WAS IST SONST DAS RISIKO DER NICHTEINHALTUNG DES PERSONENBEZOGENEN DATENGESETZES?

Neben der Verwaltungshaftung kann auch eine strafrechtliche Haftung bestehen. Wenn Sie also einem Benutzer moralischen Schaden zufügen, dessen persönliche Daten beispielsweise in die falschen Hände geraten sind.
Nun, bei solchen Verstößen kann Roskomnadzor die Website sperren und Sie auf die sogenannte „schwarze Liste“ setzen.
Und dann seien Sie bereit dafür zusätzliche Kontrollen aus Roskomnadzor.

WAS ZU TUN IST?

1. Als erstes müssen Sie die Nutzer über die Verarbeitung personenbezogener Daten informieren. Wenn Sie dies noch nicht getan haben, ist es jetzt an der Zeit. Entwickeln und veröffentlichen Sie ein Dokument über die Verarbeitung personenbezogener Daten auf der Website und holen Sie auch die Zustimmung der Benutzer zu dieser Verarbeitung ein (z. B. indem Sie unter jedem Registrierungsformular ein Kontrollkästchen mit Informationen platzieren).
   Dies kann im Allgemeinen auf unterschiedliche Weise erfolgen, abhängig von Ihren Zielen und Geschäftsmerkmalen. Ozone veröffentlicht beispielsweise eine Datenschutzerklärung auf der Website und holt bei der Registrierung eines Nutzers die Einwilligung zur Verarbeitung personenbezogener Daten ein. Oder Sie veröffentlichen Informationen zur Erhebung personenbezogener Daten im Rahmen eines öffentlichen Angebots, wie es Lamoda tut, und holen bei der Registrierung auch die Einwilligung zur Verarbeitung ein. Oder wie die SberBank, die solche Informationen in die Vereinbarung einfügt.
2. Bereiten Sie interne Dokumente vor regelt die Regeln zur Durchführung dieses Gesetzes. Dazu gehören Anordnungen, Anweisungen und Benennungen von Personen, die für die Speicherung personenbezogener Daten verantwortlich sind.
3. Es ist sehr wichtig sicherzustellen, dass die Daten in Russland (auf russischen Servern) gespeichert werden.
   Dies ist durch das Gesetz zum Schutz von Benutzerinformationen (Artikel 18 Teil 5 des Bundesgesetzes „Über personenbezogene Daten“) vorgeschrieben.
   Erkundigen Sie sich daher bei Ihrem Hosting-Anbieter nach der Adresse des Standorts der Server, auf denen Ihre Website gehostet wird, und schließen Sie mit ihm eine Vereinbarung ab, in der diese Adresse angegeben wird. Sie benötigen diese Adresse, um eine Meldung an Roskomnadzor auszufüllen. Wenn Sie über einen eigenen Server verfügen, speichern Sie unbedingt Dokumente darauf. Sie können von Roskomnadzor bei einer möglichen Inspektion verlangt werden. Gleiches gilt für einen Vertrag mit einem Hosting-Anbieter.

   Wenn Ihr Hosting-Anbieter seine Server in einem russischen Rechenzentrum platziert, ist alles in Ordnung.
   Dies ist der einfachste Weg, rechtliche Anforderungen zu erfüllen, indem Sie das Hosting bei einem inländischen Anbieter erwerben.

   Es gibt eine andere Methode, die als grenzüberschreitende Datenübertragung bezeichnet wird. Dies ist gesetzlich nicht verboten. Die Speicherung personenbezogener Daten im Ausland ist erlaubt, allerdings mit gewissen Einschränkungen. In jedem Fall muss das Unternehmen also zusätzlich zur Speicherung personenbezogener Daten im Ausland über eine solche Datenbank auf dem Territorium der Russischen Föderation verfügen. Gleichzeitig sollte die Datenbank aber möglichst vollständig und aktuell sein. Das Schema hier ist folgendes: Die gesamte Datenbank mit personenbezogenen Daten wird auf dem Territorium der Russischen Föderation gesammelt, systematisiert und gespeichert, und dann können die Daten ins Ausland übertragen werden. Dabei ist es wichtig zu verstehen, dass die Hauptquelle ein Stützpunkt auf dem Territorium der Russischen Föderation ist.

4. Bereiten Sie anschließend eine Benachrichtigung vor und senden Sie sie an Roskomnadzor.
   Dies kann über das elektronische Formular auf der Website erfolgen:

   Es besteht keine Notwendigkeit, eine Mitteilung einzureichen, wenn:

   
   → Sie verarbeiten ausschließlich Mitarbeiterdaten;

   → Sie schließen mit einer bestimmten Person einen Vertrag ab und die im Vertrag genannten Daten werden nur zur Durchführung dieses Vertrages verwendet, d. h. Informationen werden ohne Zustimmung des Betroffenen der personenbezogenen Daten nicht veröffentlicht oder an Dritte weitergegeben (dieser Punkt ist nicht eindeutig, da sich aufgrund der Besonderheiten des Unternehmens Fragen ergeben können. Es ist wichtig, eine Vereinbarung unter Berücksichtigung aller korrekt zu erstellen die Nuancen, die den Anforderungen des Gesetzes entsprechen. Wir empfehlen daher die Rücksprache mit einem Anwalt. Und wenn es keine eindeutige Antwort gibt, ist es besser, eine Mitteilung einzureichen.);

   → wenn die erhobenen Daten nur den vollständigen Namen der Nutzer umfassen;

   → wenn der Nutzer seine personenbezogenen Daten selbst öffentlich zugänglich gemacht hat.

beachten Sie, dass es sich nur um Fälle handelt, in denen keine Anzeige erforderlich ist. Die oben genannten Daten sind weiterhin personenbezogen und müssen dem Nutzer mitgeteilt werden.

STATT SCHLUSSFOLGERUNG

Für Websitebesitzer ist es am wichtigsten, alles richtig zu arrangieren. Dadurch schützen Sie sich vor Bußgeldern und anderen Haftungsansprüchen und gewinnen das Vertrauen Ihrer Kunden.
Kleine Anmerkung: Wir raten Ihnen davon ab, z. B. wie bei Ihren Mitbewerbern einen Durchschlag anzufertigen – jeder hat seine eigenen Besonderheiten. Es ist besser, Zeit damit zu verbringen, Dokumentationen speziell für Ihr Unternehmen zu entwickeln, als später Bußgelder zu zahlen. Und wenn Sie noch Fragen haben, Bitten Sie Ihren Anwalt um Hilfe, da dieser Artikel keinen Ersatz für einen Spezialisten darstellt, das Ihnen dabei hilft, alles nach Bedarf und speziell für Ihre Ziele und Ziele zu tun.

• Aktie:

• Bundesgesetz „Über personenbezogene Daten“ vom 27. Juli 2006 N 152-FZ

Veröffentlichungen

Seit September 2015 ist in der Russischen Föderation eine Verordnung zur Lokalisierung der Speicherung personenbezogener Daten in Kraft getreten (242-FZ vom 21. Juli 2014). Diese Innovation erwies sich natürlich als einer der Haupttreiber dafür Russischer Markt Hosting und Cloud Computing, was sowohl Betreiber personenbezogener Daten als auch Hosting-Anbieter dazu zwingt, erneut darüber nachzudenken, wie sichergestellt werden kann, dass eine so scheinbar einfache Einheit wie eine Website den Anforderungen der Gesetzgebung zu personenbezogenen Daten entspricht.

Obwohl das Bundesgesetz Nr. 152-FZ vom 27. Juli 2006 „Über personenbezogene Daten“ schon vor langer Zeit verabschiedet wurde, hat sich nicht jeder daran gewöhnt und gelernt, es umzusetzen. Zum Teil dank der großen Zahl Regulierungsdokumente und regelmäßige Änderungen daran. Heute kommen sie aus vier Abteilungen: der Regierung, Roskomnadzor, FSTEC und dem FSB. Und auch dank der recht ausgewogenen Haltung des Regulators, der statt der Politik des Einschlagens von Nägeln eine Strategie des sanften, aber unvermeidlichen Anziehens der Schrauben wählte.

Wenn große Unternehmen und staatliche Stellen als disziplinierteste Marktteilnehmer ihre persönlichen Dateninformationssysteme (PDIS) größtenteils bereits in Einklang mit dem Gesetz gebracht haben, dann beginnen mittlere und kleine Unternehmen dies erst jetzt zu erkennen Für ihre weitere Existenz und Entwicklung brauchen sie alles – wir müssen noch aus dem Schatten treten, auch im Hinblick auf die Umsetzung der Gesetzgebung zu personenbezogenen Daten, zumal dieser Schatten immer weniger bleibt und bereits nicht mehr ausreicht für jeden.

Was sollte der Inhaber einer Website tun, auf der personenbezogene Daten der Nutzer erfasst und gespeichert werden (z. B. im persönlichen Konto eines Online-Shops)? Versuchen wir, das gemeinsam herauszufinden.

Wenn eine Website personenbezogene Daten sammelt, handelt es sich um ein Informationssystem für personenbezogene Daten und unterliegt 152-FZ

Dazu sagt Roskomnadzor selbst: „Gemäß Artikel 9 der Kunst. 3 des Bundesgesetzes „Über personenbezogene Daten“ ist ein Informationssystem für personenbezogene Daten eine Reihe personenbezogener Daten, die in Datenbanken enthalten sind und deren Verarbeitung sicherstellen Informationstechnologien Und technische Mittel. Erfüllt die Website die genannten Anforderungen, handelt es sich um ein Informationssystem.“

Wir alle wissen intuitiv, was personenbezogene Daten sind, aber es ist wichtig zu verstehen, was es aus rechtlicher Sicht ist. Gemäß Artikel 3 Absatz 1 des Bundesgesetzes Nr. 152-FZ sind personenbezogene Daten alle Informationen, die sich direkt oder indirekt auf eine bestimmte oder identifizierbare natürliche Person beziehen. Das heißt, das ist fast alles: von der Steueridentifikationsnummer über Haarfarbe und Schuhgröße bis hin zur Telefonnummer und Adresse, sei es E-Mail oder Post.

Also ein Online-Shop oder einfach nur eine Website, auf der es ein persönliches Konto oder eine Benutzerregistrierung, Online-Bestellung, Buchung, Zahlung, Lieferung usw. gibt. usw. Im Sinne von 152-FZ ist dies alles ein Informationssystem für personenbezogene Daten (ISPD), und sein Eigentümer ist ein Betreiber personenbezogener Daten.

Das Gesetz über personenbezogene Daten berücksichtigt Trends im Cloud Computing und Outsourcing

Über die Relevanz und die Perspektiven des IT-Outsourcings, insbesondere für Unternehmen im Mittelstand, wurde bereits viel gesagt und geschrieben, daher werde ich in diesem Artikel den Leser nicht „für die Cloud“ aufhetzen. Darüber hinaus wissen wir alle sehr gut, dass die meisten Seiten im Internet auf öffentlichen Webservern von Hosting-Dienstleistern gehostet werden.

Dafür gibt es viele Gründe, aber der wichtigste ist natürlich der gesunde Menschenverstand des Unternehmens, Geld zu sparen und einen günstigen Webservice mit hoher Verfügbarkeit zu erhalten. Der Aufbau einer eigenen Computerinfrastruktur mit einer Zuverlässigkeit, die mindestens mit der eines Tier-III-Standard-Rechenzentrums vergleichbar ist, kostet Millionen Rubel. Erstens brauchen Sie einen geeigneten Raum: keinen Flur, keinen Keller, keinen Dachboden, damit es nicht überschwemmt wird und Fremde dort keinen Zutritt haben. Belüftung und Klimatisierung sind erforderlich, und zwar mit einer gewissen Redundanz. Es ist notwendig, eine autonome und Notstromversorgung zu organisieren. Dazu müssen Sie irgendwo einen Dieselgenerator installieren. Schließlich wird physisches Sicherheits- und Wartungspersonal benötigt. Um die Serviceverfügbarkeit zu gewährleisten, müssen Sie außerdem einen vollständigen Satz Ersatzteile für Server- und Netzwerkgeräte kaufen. Das heißt, statt eines Servers müssen Sie tatsächlich zwei kaufen.

Mit der Entwicklung von Cloud Computing, Virtualisierungstechnologien und einem klaren Trend zum Outsourcing streben natürlich immer mehr Unternehmen aus dem Mittelstandssektor danach, ihre Informationssysteme von „Untertisch“-Systemeinheiten auf Cloud-Computing-Ressourcen in Rechenzentren zu übertragen entsprechen modernen Industriestandards.

IN Informationssysteme Jedes Unternehmen speichert und verarbeitet eine bestimmte Menge personenbezogener Daten. Hierbei kann es sich sowohl um personenbezogene Daten von Firmenmitarbeitern als auch um Daten von Kunden oder Gegenparteien handeln. Unternehmensinformationssysteme sind sowohl funktional als auch technologisch sehr vielfältig. Dies könnte ein Busein, zum Beispiel 1C und eine Website mit persönliches Konto Benutzer und Online-Shop. Gleichzeitig sind diese Informationssysteme in der Regel miteinander verbunden – sie übermitteln einander Informationen, darunter auch personenbezogene Daten.

Gemäß Artikel 3 Absatz 3 des Gesetzes 152-FZ handelt es sich bei der Verarbeitung personenbezogener Daten um jede Aktion (Vorgang) oder Reihe von Aktionen (Vorgängen), die mithilfe von Automatisierungstools oder ohne Verwendung solcher Tools mit personenbezogenen Daten durchgeführt wird, einschließlich der Erhebung und Aufzeichnung , Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Veränderung), Extraktion, Nutzung, Weitergabe (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten.

Somit ist die Platzierung eines ISPD auf dem Server des Anbieters nichts anderes als zumindest die Auslagerung von Funktionen zur Verarbeitung personenbezogener Daten wie Aufzeichnen, Speichern, Lesen (Abrufen), Übertragen und Löschen.

Gemäß Artikel 3 Absatz 2 des Gesetzes 152-FZ ist ein Betreiber (personenbezogener Daten) eine juristische oder natürliche Person, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt legt die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der personenbezogenen Daten, den Gegenstand der Verarbeitung und die mit personenbezogenen Daten durchgeführten Aktionen (Vorgänge) fest.

Dementsprechend ist der Hosting-Provider, der die Funktionen der Speicherung und Übermittlung personenbezogener Daten übernommen hat, deren Betreiber und Eigentümer der Website (des Informationssystems, das diese personenbezogenen Daten verarbeitet) und gesetzlich verpflichtet, dafür Sorge zu tragen Maßnahmen zur Gewährleistung ihrer Sicherheit. Tatsächlich ist nicht alles so schlimm und wir müssen den Autoren des Gesetzes „Über personenbezogene Daten“ Nr. 152-FZ und des Regierungsbeschlusses Nr. 1119 vom 1. November 2012 Tribut zollen, die die Übertragung durch den Betreiber vorsahen personenbezogene Daten eines Teils der Funktionen für deren Verarbeitung bis hin zur Auslagerung an Drittorganisationen.

Gesetzliche Regelung des Hostings von Websites, die personenbezogene Daten beim Hosting durch Dritte verarbeiten

Der Verantwortliche für personenbezogene Daten hat das Recht, die Verarbeitung personenbezogener Daten mit Zustimmung der betroffenen Person auf der Grundlage einer mit dieser Person geschlossenen Vereinbarung (Anweisung) einer anderen Person anzuvertrauen. Die Person, die im Auftrag des Betreibers personenbezogene Daten verarbeitet, ist verpflichtet, die in der geltenden Gesetzgebung vorgesehenen Grundsätze und Regeln für die Verarbeitung personenbezogener Daten einzuhalten. Die Anordnung des Betreibers muss eine Liste der Maßnahmen mit personenbezogenen Daten festlegen, die von der Person, die personenbezogene Daten verarbeitet, und die Zwecke der Verarbeitung durchgeführt werden. Außerdem muss die Verpflichtung einer solchen Person zur Wahrung der Vertraulichkeit personenbezogener Daten und zur Gewährleistung der Sicherheit personenbezogener Daten festgelegt werden während ihrer Verarbeitung und muss auch Anforderungen zum Schutz der verarbeiteten personenbezogenen Daten angeben (Absatz 3, Artikel 6 152-FZ).

Somit ist der Hosting-Anbieter ebenso wie der Website-Inhaber der Betreiber der auf der Website verarbeiteten personenbezogenen Daten und für deren Verfügbarkeit, Sicherheit und Schutz verantwortlich. Mit nur einem Unterschied: Der Eigentümer der Website ist gegenüber den Personen, die personenbezogene Daten verarbeiten, verantwortlich und in den gesetzlich vorgesehenen Fällen verpflichtet, die Erlaubnis der Personen zur Verarbeitung personenbezogener Daten einzuholen, und der Hosting-Anbieter ist als autorisierte Person zuständig gegenüber dem Seiteninhaber verantwortlich und erhält von ihm personenbezogene Daten und speichert diese, ist jedoch nicht für die Einholung der Einwilligung der Betroffenen verantwortlich.

Generell ist das Thema der Einholung der Einwilligung von Betroffenen zur Verarbeitung ihrer personenbezogenen Daten sehr umfangreich und interessant und verdient natürlich einen eigenen Artikel.

Abgrenzung der Verantwortungsbereiche des Hosting-Anbieters und des Seitenbetreibers für die Einhaltung der Anforderungen des Datenschutzes

Stimmen Sie zu, es wäre unfair, die gesamte Verantwortung für die Sicherheit personenbezogener Daten auf den Hosting-Anbieter abzuwälzen. Schließlich hat er oft keine Ahnung, wer, wie und worüber die auf seinem Server gehostete Seite geschrieben ist. Mit welchen Passwörtern der Zugriff auf personenbezogene Daten autorisiert wird, in welcher Form diese gespeichert werden und ob sie überhaupt genutzt werden.

Gemäß der Regierungsverordnung Nr. 1119 (Absätze 13 – 16) müssen zur Gewährleistung des erforderlichen Sicherheitsniveaus personenbezogener Daten bei der Verarbeitung in Informationssystemen die folgenden Anforderungen erfüllt sein:

Der Hosting-Anbieter muss über eine Lizenz von Roskomnadzor zur Bereitstellung von Kommunikationsdiensten verfügen

Wie Sie wissen, ist für die Bereitstellung von Kommunikationsdiensten eine Roskomnadzor-Lizenz erforderlich. Dies ergibt sich beispielsweise aus Artikel 12 Absatz 36 des Bundesgesetzes Nr. 99-FZ vom 4. Mai 2011 „Über die Lizenzierung bestimmter Arten von Tätigkeiten“.

Gemäß der Liste der Namen von Kommunikationsdiensten, die in Lizenzen für die Durchführung von Tätigkeiten im Bereich der Bereitstellung von Kommunikationsdiensten enthalten sind und durch das Dekret der Regierung der Russischen Föderation vom 18. Februar 2005 Nr. 87 genehmigt wurden, umfassen lizenzierte Kommunikationsdienste unter anderem andere Dinge:

• Telematische Kommunikationsdienste (einschließlich Hosting);
• Kommunikationsdienstleistungen zur Datenübertragung, mit Ausnahme von Kommunikationsdienstleistungen zur Datenübertragung zum Zweck der Übermittlung von Sprachinformationen.

Um Websites zu hosten, die personenbezogene Daten verarbeiten, muss der Hosting-Anbieter über eine FSTEC-Lizenz verfügen

Der Föderale Dienst für technische und Exportkontrolle (FSTEC Russlands) regelt Aktivitäten im Zusammenhang mit dem technischen Schutz von Informationen, befasst sich mit Fragen der Staatspolitik in diesem Bereich der Gesetzgebung, Standardisierung, Lizenzierung und führt auch entsprechende Inspektionen durch.

Da der Hosting-Provider als Bevollmächtigter im Rahmen des Übertragungsvertrages Betreiber personenbezogener Daten ist, ist er verpflichtet, technische Maßnahmen zu deren Schutz, also zur Erbringung von Dienstleistungen, zu ergreifen technischer Schutz Informationen, die sich gemäß der Verordnung über Lizenzierungsaktivitäten zum technischen Schutz vertraulicher Informationen, genehmigt durch das Dekret der Regierung der Russischen Föderation vom 3. Februar 2012 N 79, auf lizenzierte Arten von Aktivitäten beziehen.

Zu den organisatorischen und technischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten, genehmigt durch die FSTEC-Verordnung Nr. 21 vom 18. Februar 2013, gehören:

• Identifizierung und Authentifizierung von Zugriffssubjekten und Zugriffsobjekten;
• Zugriffskontrolle von Zugriffssubjekten auf Zugriffsobjekte;
• Einschränkung der Softwareumgebung;
• Schutz von Computerspeichermedien;
• Protokollierung von Sicherheitsereignissen;
• Virenschutz;
• Einbrucherkennung (Prävention);
• Kontrolle (Analyse) der Sicherheit personenbezogener Daten;
• Gewährleistung der Integrität des Informationssystems und der personenbezogenen Daten;
• Sicherstellung der Verfügbarkeit personenbezogener Daten;
• Schutz der Virtualisierungsumgebung;
• Schutz technischer Mittel;
• Schutz des Informationssystems, seiner Kommunikations- und Datenübertragungssysteme;
• Vorfälle identifizieren und darauf reagieren;
• Konfigurationsmanagement von ISPDn und SZPDn.

Zur Durchführung von Arbeiten zur Gewährleistung der Sicherheit personenbezogener Daten ist es zulässig, auf vertraglicher Basis Drittorganisationen zu beauftragen, die über eine Lizenz zum technischen Schutz vertraulicher Informationen verfügen (Absatz 2 Absatz 2 der FSTEC-Verordnung Nr. 21). ).

Eine Reihe von Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten erfordern eine FSB-Lizenz des Hosting-Anbieters

Zu den Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus personenbezogener Daten gemäß FSTEC-Verordnung Nr. 21 gehören die folgenden Maßnahmen:

• Umsetzung geschützt Fernzugriff Subjekte des Zugriffs auf Zugriffsobjekte über externe Informations- und Telekommunikationsnetze (UPD.13);
• Gewährleistung des Schutzes personenbezogener Daten vor Offenlegung, Änderung und Auferlegung (Eingabe falscher Informationen) während ihrer Übermittlung (Vorbereitung zur Übermittlung) über Kommunikationskanäle, die über den kontrollierten Bereich hinausgehen, einschließlich drahtloser Kommunikationskanäle (ZIS.3);
• Authentizität sicherstellen Netzwerkverbindungen(Interaktionssitzungen), auch zum Schutz vor Spoofing Netzwerkgeräte und Dienstleistungen (ZIS.11);

Aufgrund des Wesens dieser Maßnahmen ist klar, dass ihre Umsetzung den Einsatz kryptografischer Informationsschutztools (CIPF) erfordert. Wie bekannt ist, werden Fragen im Zusammenhang mit der Verwendung von CIPF in der Russischen Föderation vom Föderalen Sicherheitsdienst (FSB Russlands) geregelt.

Gemäß der Verordnung über Lizenzaktivitäten für die Entwicklung, Produktion und Verbreitung von Verschlüsselungstools (kryptografischen Werkzeugen), genehmigt durch das Dekret der Regierung der Russischen Föderation vom 16. April 2012 Nr. 313, ist die Liste der Werke, aus denen die lizenzierte Aktivität besteht beinhaltet:

• Entwicklung sicherer Informations- und Telekommunikationssysteme unter Verwendung kryptografischer Tools;
• Installation, Installation, Anpassung von kryptografischen Mitteln und durch deren Verwendung geschützten Informations- und Telekommunikationssystemen;
• Arbeiten zur Wartung kryptografischer Mittel;
• Übertragung von kryptografischen Mitteln und durch ihre Nutzung geschützten Informations- und Telekommunikationssystemen;
• Bereitstellung von Informationsverschlüsselungsdiensten.

Das Rechenzentrum des Hosting-Anbieters muss sich auf dem Territorium der Russischen Föderation befinden

Am 1. September 2015 trat in der Russischen Föderation eine Bestimmung zur Lokalisierung der Speicherung und bestimmter Prozesse der Verarbeitung personenbezogener Daten in Kraft, definiert in Bundesgesetz Nr. 242 vom 21. Juli 2014 „Über Änderungen bestimmter Rechtsakte der Russischen Föderation im Hinblick auf die Klärung des Verfahrens zur Verarbeitung personenbezogener Daten in Informations- und Telekommunikationsnetzen“, gemäß Artikel 2 Absatz 1 bei der Erhebung personenbezogener Daten , auch durch Informationen - das Internet-Telekommunikationsnetz, ist der Betreiber verpflichtet, die Erfassung, Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Änderung) und den Abruf personenbezogener Daten von Bürgern der Russischen Föderation mithilfe von Datenbanken sicherzustellen, die sich auf dem Territorium der Russischen Föderation befinden Russische Föderation.

Dabei ist zu beachten, dass die grenzüberschreitende Übermittlung personenbezogener Daten als solche nicht verboten, sondern gesetzlich geregelt ist. Mehr dazu können Sie im Art. lesen. 12 152-FZ.

Kurz zur Hauptsache

Fassen wir also das oben Gesagte zusammen.

Eine Website ist ein Informationssystem für personenbezogene Daten, wenn ihre Funktionalität die Eingabe, Speicherung oder Anzeige personenbezogener Daten ermöglicht. Ein gutes Beispiel Nahezu jede Website mit einem persönlichen Konto, der Möglichkeit zur Online-Buchung, Bestellung oder zum Kauf mit Lieferung usw. kann dienen.

Die Online-Verarbeitung personenbezogener Daten von Kunden ist nicht nur eine Notwendigkeit des modernen E-Commerce, sondern bietet auch vielfältige Marketingmöglichkeiten, deren Beschreibung einen eigenen Artikel verdient.

Der Eigentümer einer Website, bei der es sich um einen ISPD handelt, ist verpflichtet, Roskomnadzor eine Meldung zu übermitteln, in der er angibt, welche personenbezogenen Daten er speichert und verarbeitet und wo sich die Server, auf denen der ISPD arbeitet, physisch befinden. Dies können Sie in meinem Artikel „Wie Sie eine Meldung beim RKN einreichen und nicht in Schwierigkeiten geraten“ nachlesen.

Eine Vereinbarung mit einem Hosting-Anbieter muss neben den quantitativen und qualitativen Merkmalen der Rechenressourcen unbedingt einen Auftrag zur Verarbeitung personenbezogener Daten enthalten, der eine konkrete Liste der mit ihnen durchgeführten Aktionen angibt, die Zwecke angibt und Das Verfahren zur Verarbeitung personenbezogener Daten, Anforderungen an deren Schutz und die Verantwortung des Anbieters für die Sicherheit personenbezogener Daten müssen festgelegt werden.

Zusätzlich zu den standardmäßigen Roskomnadzor-Lizenzen für Hosting-Unternehmen für die Bereitstellung von Telematik-Kommunikationsdiensten muss der Hosting-Anbieter zum Schutz der auf Kundenstandorten verarbeiteten personenbezogenen Daten über eine FSTEC-Lizenz für Aktivitäten im Zusammenhang mit dem technischen Schutz vertraulicher Informationen und einen FSB verfügen Lizenz für die Erbringung von Dienstleistungen im Zusammenhang mit der Verwendung von Verschlüsselungsmitteln (kryptografisch).

Und schließlich muss sich der Server des Anbieters, auf dem personenbezogene Daten physisch gespeichert werden, auf dem Territorium der Russischen Föderation befinden.

In diesem Artikel werden daher viele, aber keineswegs alle Aspekte der Platzierung eines ISPD auf den Rechenressourcen von Cloud-Dienstanbietern erörtert. Mehr genaue Information können den folgenden Dokumenten und Informationsquellen entnommen werden:

Gesetzgebung

• Dekret der Regierung der Russischen Föderation vom 1. November 2012 N 1119 „Über die Genehmigung von Anforderungen zum Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“
• Beschluss des FSTEC Russlands vom 18. Februar 2013 Nr. 21 über die Genehmigung der Zusammensetzung und des Inhalts organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten

  Mit Telegram Passport können Sie die Identität des Benutzers identifizieren. Alle erforderlichen Dokumente und Daten müssen einmalig auf Telegram hochgeladen werden und können dann sofort an Telegram-Partner übertragen werden. Es ist geplant, dass bis zum Start des neuen Dienstes die Dienste mehrerer solcher Partner, darunter auch Qiwi, genutzt werden können.

  Mehr lesen...

Da sich der Server nicht bei Ihnen zu Hause befindet, haben Sie keinen Zugriff darauf und können die Richtlinien des Rechenzentrums in keiner Weise beeinflussen. Sie haben einfach nicht die Möglichkeit, eine Reihe gesetzlicher Anforderungen zu erfüllen. Es bleibt nur noch eines zu tun: ein Hosting zu finden, das den gesetzlichen Anforderungen entspricht.

Ich bin jetzt nicht Beget, ich habe ihnen einen Brief über ihre FSTEC-Lizenz zum Schutz vertraulicher Informationen geschrieben. Sie antworteten vage, als ob ich nicht ich bin und das Haus nicht mir gehört, wir sind nur diese und im Allgemeinen sollten wir nicht ... Zusammenfassend lässt sich sagen, dass sie keine Lizenz haben, was im Großen und Ganzen bedeutet, Eine Website, die personenbezogene Daten sammelt, kann dort nicht gespeichert werden. Ich habe im Internet gesurft (noch nicht sehr ausgiebig) und bisher nur RU-CENTER mit Lizenz gefunden.

Lizenz für Aktivitäten zur Entwicklung und (oder) Herstellung von Mitteln zum Schutz vertraulicher Informationen
LIZENZ Nr. 0917 vom 20. September 2011

Lizenz für Tätigkeiten im Zusammenhang mit dem technischen Schutz vertraulicher Informationen
LIZENZ Nr. 1594 vom 20. September 2011
Urheberrechtsinhaber: Aktiengesellschaft „Regional Network Information Center“
Gültigkeitsdauer der Lizenz: unbegrenzt

Hosting vertraulicher Informationen im RU-CENTER

Am 6. März 2012 beginnt RU-CENTER mit der Bereitstellung eines neuen Dienstes – dem Hosten vertraulicher Informationen.
Beim Hosten vertraulicher Informationen handelt es sich um die Platzierung einer Website im Internet unter Einsatz zusätzlicher Maßnahmen zum Schutz der Informationen.
Mit diesem Service können Sie eine Reihe zwingender Anforderungen der geltenden Gesetzgebung (Gesetz N 152-FZ) erfüllen, die bei der Verarbeitung personenbezogener Daten gelten.
Zusätzlich zu den grundlegenden Methoden des Datenschutzes und der Informationsspeicherung, die in anderen RU-CENTER-Diensten verwendet werden, bietet das Hosting vertraulicher Informationen:

• spezialisierte zertifizierte Ausrüstung, die eine Reihe von Maßnahmen zum Schutz von Informationen beim Netzwerkzugriff ermöglicht;
• zusätzliche Einschränkung Physischer Zugang an der Ausrüstung, auf der die Dienstleistung erbracht wird;
• täglich Sicherung(2 Kopien);
• Abrechnung der verwendeten physischen Medien;
• MySQL ist für jeden Dienst reserviert.

Die eigentliche Frage ist: Wie ist die Qualität?
Und wenn jemand andere Hoster mit einer FSTEC-Lizenz zum Schutz vertraulicher Informationen findet, posten Sie es in diesem Thread.

Bevor wir mit der Analyse von 152-FZ beginnen, sollten Sie wissen, dass es auch das am 1. September 2015 in Kraft getretene Gesetz 242-FZ gibt, bei dem es sich um einen Verordnungsakt handelt, der eine weitere grundlegende Rechtsquelle ändert – das Bundesgesetz Nr. 152 , angenommen im Juli 2006. Die Verabschiedung des Gesetzes zur „Lokalisierung personenbezogener Daten“ ging mit einer breiten Berichterstattung über die Gesetzesinitiative in verschiedenen Medien einher, was zur Schaffung von führte zwei Hauptmythen zum Bundesgesetz Nr. 242-FZ:

• Russen ist es nun verboten, ihre persönlichen Daten (Websites) im Ausland zu veröffentlichen;
• Allen ausländischen Unternehmen war es untersagt, personenbezogene Daten von Russen auf Servern außerhalb der Russischen Föderation zu empfangen und zu verarbeiten.

Das Bundesgesetz Nr. 242-FZ sieht vor, dass „bei der Erhebung personenbezogener Daten, auch über das Internet, der Betreiber verpflichtet ist, die Erfassung, Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Änderung) und den Abruf personenbezogener Daten der Bürger der Russischen Föderation sicherzustellen.“ Föderation unter Verwendung von Datenbanken, die sich auf dem Territorium der Russischen Föderation befinden.“ Im Falle der Nichteinhaltung des Gesetzes kann der Zugriff auf eine Website, die wegen der primären Erhebung und Speicherung personenbezogener Daten russischer Staatsbürger in Datenbanken im Hoheitsgebiet der Russischen Föderation verurteilt wurde, eingeschränkt werden.

Kann ich Hosting im Ausland nutzen?

Das Gesetz verbietet es nicht Platzierung einer beliebigen Website (Datenbank) auf Servern in Ländern, die das Übereinkommen des Europarates ETS Nr. 108 unterzeichnet haben, sowie grenzüberschreitende Übermittlung personenbezogener Daten. Gemäß dem von Russland ratifizierten Übereinkommen ETS Nr. 108 des Europarats „Über den Schutz natürlicher Personen bei der automatisierten Verarbeitung personenbezogener Daten“ sieht Teil 2 von Artikel 12 vor, dass Länder, die ihm beigetreten sind, es nicht verbieten oder unterlassen besondere Kontrolle Informationsflüsse personenbezogene Daten, die in das Hoheitsgebiet einer anderen Vertragspartei des Übereinkommens gelangen, und Art. 25 verbietet jegliche Vorbehalte zum Übereinkommen.

Dies bedeutet, dass die Nutzung von Hosting im Ausland (nicht innerhalb der Russischen Föderation) sowie die Speicherung und Verarbeitung personenbezogener Daten als rechtmäßig gilt, wenn sich das Hosting in einem der Länder befindet, die das Übereinkommen unterzeichnet haben: Österreich, Belgien, Bulgarien, Dänemark, Großbritannien, Ungarn, Deutschland, Griechenland, Irland, Spanien, Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Polen, Portugal, Rumänien, Slowakei, Slowenien, Finnland, Frankreich, Tschechische Republik, Schweden, Estland sowie wie folgt aus den Erläuterungen von Roskomnadzor , in den Ländern, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten. Als Länder gelten anerkannte Länder, die über landesweite Regelungen im Bereich des Schutzes personenbezogener Daten und eine autorisierte Aufsichtsbehörde zum Schutz der Rechte personenbezogener Daten verfügen: Andorra, Argentinien, Israel, Island, Kanada, Liechtenstein, Norwegen, Serbien, Kroatien, Montenegro, Schweiz, Südkorea, Japan.

Wo sollen personenbezogene Daten gespeichert werden?

Physisch können die Website und die Datenbank von jedem Land gehostet werden, das das Übereinkommen ETS Nr. 108 des Europarats unterzeichnet hat. Das Gesetz verpflichtet den Betreiber, die Aufzeichnung, Systematisierung, Sammlung, Speicherung, Klärung (Aktualisierung, Änderung) und den Abruf personenbezogener Daten von Bürgern der Russischen Föderation mithilfe von Datenbanken sicherzustellen, die sich auf dem Territorium der Russischen Föderation befinden. Das Gesetz verbietet dies jedoch nicht die Speicherung personenbezogener Daten von Russen auf Servern außerhalb des Territoriums der Russischen Föderation. Einzige Voraussetzung ist, dass personenbezogene Daten zunächst in der Russischen Föderation erhoben und verarbeitet werden. Aber wir wiederholen, dies verbietet nicht die grenzüberschreitende Übermittlung personenbezogener Daten und die Arbeit damit in Ländern, die das Übereinkommen unterzeichnet haben.

Hosting-Konformität mit JIHOST 152-FZ

Jihost erfüllt 152-FZ vollständig durch den Einsatz von Replikation und grenzüberschreitender Übertragung personenbezogener Daten.

Nachfolgend werden die Funktionsprinzipien schematisch beschrieben:

Hosting Jihost Einhaltung von 152-FZ Bei jeder Änderung der Site-Datenbank, einschließlich der Übertragung personenbezogener Daten, wird die Datenbank auf einen Server repliziert, der sich auf dem Territorium der Russischen Föderation befindet, wodurch die ständige Relevanz und Vollständigkeit der Daten gemäß gewährleistet wird das Gesetz. Anschließend werden die Daten in die lokale Serverdatenbank repliziert, von der aus die Site anschließend funktioniert. Dieses kreisförmige Muster funktioniert überall. Wenn außerdem nur das Lesen der Daten erforderlich ist, erfolgt dies ohne Replikation direkt aus der lokalen Datenbank. Zusätzlich zur Einhaltung von 152-FZ erhöht dieses Betriebsschema die Leistung, Fehlertoleranz und Zuverlässigkeit des Hostings.