راه حل ابری قانون فدرال 152» اپراتور داده های شخصی را از هزینه های ایجاد و داشتن زیرساخت IT ایمن برای مطابقت با الزامات 152-FZ و 242-FZ معاف می کند. به عبارت دیگر، اگر قوانین روسیه شرکت شما را ملزم به انجام کلیه اقدامات سازمانی و فنی لازم برای محافظت از داده های شخصی در برابر دسترسی غیرمجاز و غیرقانونی می کند، انتخاب کنید. راه حل آمادهاز Cloud4Y.

چرا به "قانون فدرال ابری 152" نیاز دارید:

• برای میزبانی ISPD، "ابر" ایمن، تایید شده و تایید شده جداگانه.
• گواهی مکانیزم های مجازی سازی: هایپروایزر منابع محاسباتی، سیستم مدیریت شبکه داده مجازی، پلت فرم مجازی سازی و سیستم ذخیره سازی داده ها.
• ارائه خدمات امنیتی (بر اساس ابزارهای امنیتی تایید شده) که می تواند توسط مشتریانی که ISPD خود را در فضای ابری میزبانی می کنند، استفاده کنند.

سازماندهی قرار دادن ISPDn در ابر:

• اپراتور داده های شخصی را از هزینه های سرمایه ای برای ایجاد و مالکیت زیرساخت ایمن فناوری اطلاعات آزاد می کند.
• اپراتور را از بخشی از مسئولیت قانونی برای رعایت الزامات 152-FZ، 242-FZ رها می کند.
• استفاده از نرم‌افزار ارائه‌دهنده خاص و گسترده سیستم را می‌دهد.
• به شما امکان می دهد پشتیبانی زیرساخت فناوری اطلاعات را توسط پرسنل بسیار ماهر به صورت 24×7 دریافت کنید

ویژگی های “Cloud FZ 152”:

• قرار دادن ISPD به صورت سرویس ارائه می شود، یعنی مشتری هزینه سرمایه ای ندارد.
• Cloud4Y به عنوان مسئول پردازش داده های شخصی از طرف اپراتور عمل می کند.
• این سیستم توسط صاحبان مجوز FSTEC تأیید شده است که مطابقت آن با الزامات ایمنی را تأیید می کند. تجهیزات حفاظتی مورد استفاده طبق روال تعیین شده مورد ارزیابی انطباق قرار گرفته و دارای گواهینامه های صادر شده توسط مقامات مربوطه FSTEC و FSB روسیه است.
• در دسترس بودن گواهی‌ها برای عناصر مختلف ابری که عملکردهای امنیتی را اجرا می‌کنند (هایپروایزر، ابزارهای امنیتی ادغام شده در ابر، ابزارهای امنیتی ارائه شده به مشتریان به عنوان خدمات امنیتی).
• مجموعه ای از اقدامات حفاظتی سازمانی و فنی برای اطمینان از بسته شدن مشتریان تهدیدات فعلیاز پرسنل خدمات، از دیگر مشتریان و سایر متخلفان.

اسناد نظارتی و طبقه بندی

کتاب سفید در مورد قانون فدرال 152 - کتابی که می توان در مورد پردازش داده های شخصی به آن اشاره کرد

مجوزها و گواهینامه ها

قیمت

تبلیغات: فقط تا 30 آوریل 2020 "Cloud Federal Law 152" با قیمت معمولی برای همیشه! جزئیات

به منظور دریافت برآورد هزینه برای سرویس FZ-152 Cloud، با هر مدیری از طریق تلفن تماس بگیرید +7 495 268 04 12 یا هر روش راحت دیگری که در بخش موجود است

فهرست اقدامات قانونی نظارتی را که الزامات اجباری را برای فعالیت های اشخاص حقوقی و کارآفرینان فردی ایجاد می کند را بخوانید تا اطمینان حاصل کنید که پردازش داده های شخصی با الزامات قانون فدراسیون روسیه در زمینه داده های شخصی مطابقت دارد.

سوالات متداول (سؤالات متداول)

2. چرا به این نیاز داریم؟
از آنجایی که شما یک پردازشگر داده های شخصی هستید، اثر قانون فدرال شماره 152 به طور خودکار برای شما اعمال می شود. و سازمان های دولتی که صاحب سیستم های اطلاعات دولتی هستند نیز مشمول هفدهمین دستور FSTEC هستند.

3. هزینه آن چقدر است؟
هزینه به صورت جداگانه برای مشتری با در نظر گرفتن حجم، سطح امنیت و زمان قرار دادن محاسبه می شود.

4. آیا می توانید در تهیه اسناد کمک کنید؟
بله، ما می توانیم (ما الگوهای آماده ارائه می دهیم یا کل فرآیند آماده سازی را بر عهده می گیریم).

5. کانال انتقال داده چگونه سازماندهی می شود؟
یک کانال رمزگذاری شده بر اساس GOST روسی از طریق یک هماهنگ کننده VipNet استفاده می شود.

اگر پاسخ سؤال خود را پیدا نکردید، به سؤال ما بروید، از مشاوران ما در وب سایت با استفاده از چت آنلاین بپرسید یا با استفاده از یک درخواست پشتیبانی بنویسید.

اصلاحات قانون فدرال در 1 سپتامبر 2015 لازم الاجرا شد "در مورد داده های شخصی" (قانون 152 قانون فدرال).
طبق قانون، داده هایی که مشتری در وب سایت شما وارد می کند باید در فدراسیون روسیه ذخیره شود.
و این همه ماجرا نیست. در مقاله ما در مورد اینکه این قانون چه کسانی را تحت تأثیر قرار می دهد و چه باید کرد بخوانید.

در 1 سپتامبر 2015، اصلاحات در قانون "در مورد داده های شخصی" لازم الاجرا شد.
طبق این قانون، تمام داده هایی که مشتری در وب سایت شما وارد می کند و به طور خاص داده های شخصی است (جزئیات گذرنامه، آدرس ها، از جمله ایمیل، اطلاعات پرداخت و غیره) باید در قلمرو فدراسیون روسیه ذخیره شود.

در اینجا گزیده ای از قانون 152 در مورد حفاظت از داده های شخصی آمده است

خوب، این همه چیز نیست.در فوریه 2017، اصلاحات بیشتری در قانون حفاظت از داده های شخصی انجام شد. این اصلاحات تمامی صاحبان وب‌سایت‌ها و فروشگاه‌های آنلاین (اپراتورها) را موظف می‌کند تا به کاربران اطلاع دهند که هنگام وارد کردن اطلاعات شخصی در وب‌سایت، با جمع‌آوری، پردازش و ذخیره‌سازی آنها موافقت می‌کنند.

اگر این اصلاحات در قانون را نادیده بگیرید، برای یک تخلف تا 75000 روبل جریمه دریافت خواهید کرد. و اگر تعداد آنها بیشتر باشد، میزان جریمه افزایش می یابد (در صورت نقض قوانین فدراسیون روسیه در زمینه داده های شخصی - ماده 13.11 قانون تخلفات اداری فدراسیون روسیه)

خطر عدم رعایت قانون داده های شخصی دیگر چیست؟

علاوه بر مسئولیت اداری، ممکن است مسئولیت کیفری نیز وجود داشته باشد. بنابراین اگر به کاربری آسیب اخلاقی وارد کنید که مثلاً اطلاعات شخصی او به دست افراد نادرستی افتاده است.
خوب ، برای چنین تخلفاتی ، Roskomnadzor می تواند سایت را مسدود کند و شما را به اصطلاح "لیست سیاه" اضافه کند.
و سپس آماده باشید چک های اضافیاز Roskomnadzor.

چه باید کرد؟

1. اولین کاری که باید انجام دهید این است که کاربران را در مورد پردازش داده های شخصی آگاه کنید. اگر هنوز این کار را انجام نداده اید، اکنون زمان آن است. سندی در مورد پردازش داده های شخصی ایجاد و در وب سایت پست کنید و همچنین رضایت کاربران را برای چنین پردازشی جلب کنید (به عنوان مثال، با قرار دادن یک چک باکس حاوی اطلاعات در زیر هر فرم ثبت نام).
   به طور کلی، بسته به اهداف و ویژگی های تجاری شما، می توان این کار را به روش های مختلفی انجام داد. به عنوان مثال، Ozone یک سیاست حفظ حریم خصوصی در وب سایت منتشر می کند و هنگام ثبت نام کاربر، رضایت خود را برای پردازش داده های شخصی می گیرد. یا می توانید مانند لامودا اطلاعاتی در مورد مجموعه PD به عنوان بخشی از یک پیشنهاد عمومی ارسال کنید، و همچنین رضایت خود را برای پردازش در طول ثبت نام دریافت کنید. یا مانند SberBank که چنین اطلاعاتی را در توافق نامه قرار می دهد.
2. اسناد داخلی را آماده کنیدتنظیم ضوابط اجرای این قانون. اینها شامل دستورات، دستورالعمل ها و قرار ملاقات های افراد مسئول ذخیره سازی اطلاعات شخصی است.
3. بسیار مهم است که مطمئن شوید داده ها در روسیه (در سرورهای روسی) ذخیره می شوند.
   این توسط قانون حفاظت از اطلاعات کاربر (بخش 5 ماده 18 قانون فدرال "در مورد داده های شخصی") مورد نیاز است.
   بنابراین، آدرس محل سرورهایی که سایت شما بر روی آنها میزبانی شده است را با ارائه دهنده هاست خود بررسی کنید و با آن قرارداد ببندید که این آدرس در آن نشان داده شود. برای پر کردن اعلان به Roskomnadzor به این آدرس نیاز دارید. اگر سرور خود را دارید، حتما اسناد را روی آن ذخیره کنید. آنها ممکن است توسط Roskomnadzor در طول یک بازرسی احتمالی مورد نیاز باشند. همین امر در مورد قرارداد با ارائه دهنده هاست نیز صادق است.

   اگر ارائه دهنده هاست شما سرورهای خود را در مرکز داده روسیه قرار دهد، پس همه چیز خوب است.
   این ساده ترین راه برای برآورده کردن الزامات قانونی با خرید هاست از یک ارائه دهنده داخلی است.

   روش دیگری به نام انتقال اطلاعات بین مرزی وجود دارد. این کار منع قانونی ندارد. ذخیره سازی داده های شخصی در خارج از کشور مجاز است، اما با کمی رزرو. بنابراین، در هر صورت، این شرکت علاوه بر ذخیره داده های شخصی در خارج از کشور، باید چنین پایگاه داده ای در قلمرو فدراسیون روسیه داشته باشد. اما در عین حال پایگاه داده باید تا حد امکان کامل و به روز باشد. طرح در اینجا این است: کل پایگاه داده با داده های شخصی در قلمرو فدراسیون روسیه جمع آوری، سیستماتیک و ذخیره می شود و سپس داده ها می توانند به خارج از کشور منتقل شوند. درک این نکته مهم است که منبع اصلی پایگاهی در قلمرو فدراسیون روسیه است.

4. پس از این، یک اعلان برای Roskomnadzor آماده و ارسال کنید.
   این کار از طریق فرم الکترونیکی موجود در وب سایت قابل انجام است:

   نیازی به ارسال اخطار نیست اگر:

   
   → شما فقط داده های کارکنان را پردازش می کنید.

   → شما با شخص خاصی قرارداد منعقد می کنید و داده های مشخص شده در توافق نامه فقط برای اجرای این قرارداد استفاده می شود، یعنی. اطلاعات بدون رضایت موضوع داده های شخصی منتشر یا به اشخاص ثالث منتقل نمی شود (این نکته مبهم است، زیرا ممکن است به دلیل ویژگی های کسب و کار سؤالاتی ایجاد شود. تنظیم صحیح توافق نامه با در نظر گرفتن همه مهم است. نکات ظریفی که الزامات قانون را برآورده می کند.بنابراین توصیه می کنیم با وکیل مشورت کنید و اگر پاسخ قطعی وجود ندارد، بهتر است اخطاریه ارسال کنید.)

   → اگر داده های جمع آوری شده فقط شامل نام کامل کاربران باشد.

   → اگر خود کاربر اطلاعات شخصی خود را در دسترس عموم قرار داده باشد.

توجه داشته باشید، که ما فقط در مورد مواردی صحبت می کنیم که نیازی به ارسال اطلاعیه نیست. اطلاعات فوق هنوز شخصی است و باید به کاربر اطلاع داده شود.

به جای نتیجه گیری

برای صاحبان وب سایت، مهمترین چیز این است که همه چیز را به درستی مرتب کنند. با این کار از خود در برابر جریمه ها و سایر مسئولیت ها محافظت می کنید و اعتماد مشتریان خود را جلب می کنید.
یادداشت کوچک:ما به شما توصیه می کنیم که مثلاً مانند رقبای خود یک کپی از کربن تهیه نکنید - هر کدام ویژگی های خاص خود را دارند. بهتر است زمانی را صرف توسعه اسناد به طور خاص برای تجارت خود کنید تا اینکه بعداً جریمه بپردازید. و اگر هنوز سوالی دارید، از وکیل خود کمک بگیرید، زیرا این مقاله جایگزین متخصص نیست، که به شما کمک می کند هر کاری را در صورت نیاز و به طور خاص برای اهداف و اهداف خود انجام دهید.

• اشتراک گذاری:

• قانون فدرال "در مورد داده های شخصی" مورخ 27 ژوئیه 2006 N 152-FZ

انتشارات

از سپتامبر 2015، مقررات مربوط به محلی سازی ذخیره سازی داده های شخصی در فدراسیون روسیه اجرایی شده است (242-FZ مورخ 21 ژوئیه 2014). این نوآوری، البته، یکی از محرک های اصلی بود بازار روسیهمیزبانی و رایانش ابری، هم اپراتورهای داده های شخصی و هم ارائه دهندگان میزبانی را مجبور می کند که یک بار دیگر به این فکر کنند که چگونه از انطباق چنین موجودیت به ظاهر ساده ای مانند یک وب سایت با الزامات قانون در مورد داده های شخصی اطمینان حاصل کنند.

علیرغم این واقعیت که قانون فدرال شماره 152-FZ مورخ 27 ژوئیه 2006 "درباره داده های شخصی" مدت ها پیش تصویب شد، همه با آن سازگار نشده اند و اجرای آن را یاد نگرفته اند. تا حدی از تعداد زیاد تشکر می کنم اسناد نظارتیو تغییرات منظم در آنها. امروز آنها از چهار بخش می آیند: دولت، Roskomnadzor، FSTEC و FSB. و همچنین به لطف موقعیت نسبتاً متعادل تنظیم کننده، که به جای سیاست رانندگی در میخ، استراتژی سفت کردن صاف اما اجتناب ناپذیر پیچ ها را انتخاب کرد.

اگر کسب‌وکارهای بزرگ و ارگان‌های دولتی، به‌عنوان منضبط‌ترین شرکت‌کنندگان در بازار، در اکثر موارد، سیستم‌های اطلاعات شخصی (PDIS) خود را با قانون مطابقت داده‌اند، در این صورت کسب‌وکارهای متوسط ​​و کوچک تازه شروع به درک این موضوع کرده‌اند. وجود و توسعه بیشتر آنها، آنها به همه چیز نیاز دارند - ما هنوز باید از سایه ها بیرون بیاییم، از جمله از نظر اجرای قانون در مورد داده های شخصی، به خصوص که این سایه کمتر و کمتر باقی می ماند و در حال حاضر کافی نیست. برای همه.

مالک وب سایتی که اطلاعات شخصی کاربران در آن جمع آوری و ذخیره می شود (مثلاً در حساب شخصی یک فروشگاه آنلاین) چه باید کرد؟ بیایید سعی کنیم این را با هم بفهمیم.

اگر وب‌سایتی داده‌های شخصی را جمع‌آوری می‌کند، یک سیستم اطلاعات شخصی است و مشمول قانون 152-FZ است

در اینجا چیزی است که خود Roskomnadzor در این مورد می گوید: "طبق بند 9 هنر. 3 قانون فدرال "در مورد داده های شخصی"، یک سیستم اطلاعات شخصی مجموعه ای از داده های شخصی موجود در پایگاه های داده و اطمینان از پردازش آنها است. فناوری اطلاعاتو وسایل فنی. اگر وب سایت شرایط مشخص شده را برآورده کند، یک سیستم اطلاعاتی است.»

همه ما به طور شهودی می دانیم که داده های شخصی چیست، اما مهم است که بدانیم از دیدگاه حقوقی چیست. طبق بند 1 ماده 3 قانون فدرال شماره 152-FZ، داده های شخصی هر گونه اطلاعاتی است که به طور مستقیم یا غیرمستقیم به یک فرد خاص یا قابل شناسایی مربوط می شود. یعنی تقریباً همه چیز است: از شماره شناسایی مالیاتی گرفته تا رنگ مو و سایز کفش، بدون ذکر شماره تلفن و آدرس، ایمیل یا پستی.

بنابراین، یک فروشگاه آنلاین یا فقط یک وب سایت که در آن یک حساب شخصی یا ثبت نام کاربر، سفارش آنلاین، رزرو، پرداخت، تحویل و غیره وجود دارد. و غیره، از نظر 152-FZ، همه اینها یک سیستم اطلاعات اطلاعات شخصی (ISPD) است و صاحب آن یک اپراتور داده های شخصی است.

قانون داده‌های شخصی، روندهای رایانش ابری و برون‌سپاری را در نظر می‌گیرد

قبلاً در مورد ارتباط و چشم‌انداز برون‌سپاری فناوری اطلاعات، به‌ویژه برای شرکت‌های بخش شرکت‌های کوچک و متوسط، چیزهای زیادی گفته و نوشته شده است، بنابراین در این مقاله خواننده را "برای ابرها" تحریک نمی‌کنم. علاوه بر این، همه ما به خوبی می دانیم که اکثر سایت های موجود در اینترنت بر روی وب سرورهای عمومی ارائه دهندگان خدمات میزبانی می شوند.

دلایل زیادی برای این وجود دارد، اما مهمترین آنها، البته، تمایل عقل سلیم شرکت ها برای صرفه جویی در هزینه و دریافت یک وب سرویس ارزان با در دسترس بودن بالا است. ایجاد زیرساخت محاسباتی خود با قابلیت اطمینان حداقل قابل مقایسه با مرکز داده استاندارد Tier-III میلیون ها روبل هزینه دارد. اولاً، شما به یک اتاق مناسب نیاز دارید: نه راهرو، نه زیرزمین، نه اتاق زیر شیروانی، تا سیل نیاید و غریبه ها به آنجا دسترسی نداشته باشند. تهویه و تهویه مطبوع مورد نیاز است، و با افزونگی خاصی. سازماندهی منبع تغذیه مستقل و پشتیبان ضروری است. برای انجام این کار، باید یک مجموعه دیزل ژنراتور را در جایی نصب کنید. در نهایت، پرسنل حفاظت فیزیکی و نگهداری مورد نیاز است. علاوه بر این، برای تضمین در دسترس بودن خدمات، باید مجموعه کاملی از قطعات یدکی تجهیزات سرور و شبکه را خریداری کنید. یعنی به جای یک سرور در واقع باید دو تا بخرید.

طبیعتاً، با توسعه رایانش ابری، فناوری‌های مجازی‌سازی و گرایش واضح به سمت برون‌سپاری، شرکت‌های بیشتری از بخش SMB به دنبال انتقال سیستم‌های اطلاعاتی خود از واحدهای سیستم «زیر میز» به منابع رایانش ابری واقع در مراکز رایانه‌ای هستند. مطابق با استانداردهای صنعتی مدرن

که در سیستم های اطلاعاتیهر سازمانی مقدار معینی از داده های شخصی را ذخیره و پردازش می کند. این می تواند هم داده های شخصی کارکنان شرکت و هم داده های مشتریان یا طرف مقابل باشد. سیستم‌های اطلاعات شرکت‌ها، هم از نظر عملکردی و هم از نظر فناوری، بسیار متنوع هستند. این می تواند یک سیستم اتوماسیون حسابداری باشد، به عنوان مثال، 1C و یک وب سایت با حساب شخصیکاربر و فروشگاه اینترنتی در عین حال، این سیستم های اطلاعاتی، به عنوان یک قاعده، به هم مرتبط هستند - آنها اطلاعات را از جمله داده های شخصی به یکدیگر منتقل می کنند.

طبق بند 3 ماده 3 قانون 152-FZ، پردازش داده های شخصی هر عمل (عملیات) یا مجموعه اقدامات (عملیات) انجام شده با استفاده از ابزارهای اتوماسیون یا بدون استفاده از چنین ابزارهایی با داده های شخصی از جمله جمع آوری، ضبط است. ، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استخراج، استفاده، انتقال (توزیع، ارائه، دسترسی)، شخصی سازی، مسدود کردن، حذف، از بین بردن داده های شخصی.

بنابراین، قرار دادن یک ISPD در سرور ارائه‌دهنده چیزی جز برون‌سپاری، حداقل، عملکردهایی برای پردازش داده‌های شخصی مانند ضبط، ذخیره‌سازی، خواندن (بازیابی)، انتقال و حذف نیست.

طبق بند 2 ماده 3 152-FZ، اپراتور (داده های شخصی) شخص حقوقی یا حقیقی است که به طور مستقل یا مشترک با سایر افراد، پردازش داده های شخصی را سازماندهی و (یا) انجام می دهد و همچنین. اهداف پردازش داده های شخصی، ترکیب داده های شخصی، موضوع پردازش، اقدامات (عملیات) انجام شده با داده های شخصی را تعیین می کند.

بر این اساس، ارائه دهنده میزبانی که وظیفه ذخیره و انتقال داده های شخصی را بر عهده گرفته است، به همراه مالک سایت (سیستم اطلاعاتی که این داده های شخصی را پردازش می کند) اپراتور آنها است و طبق قانون موظف است مواردی را اتخاذ کند. اقداماتی برای تضمین امنیت آنها. در واقع، همه چیز خیلی بد نیست و ما باید به نویسندگان قانون "درباره داده های شخصی" شماره 152-FZ و قطعنامه شماره 1119 دولت در 1 نوامبر 2012 ادای احترام کنیم که انتقال توسط اپراتور را فراهم کرده است. داده های شخصی بخشی از عملکردها برای پردازش آنها به برون سپاری به سازمان های شخص ثالث.

مقررات قانونی میزبانی وب سایت هایی که داده های شخصی را در میزبانی ارائه شده توسط شخص ثالث پردازش می کنند

اپراتور داده های شخصی این حق را دارد که بر اساس توافق نامه (دستورالعمل) منعقد شده با این شخص، پردازش داده های شخصی را با رضایت موضوع داده های شخصی به شخص دیگری واگذار کند. شخصی که از طرف اپراتور داده های شخصی را پردازش می کند موظف است از اصول و قوانین پردازش داده های شخصی پیش بینی شده توسط قانون فعلی پیروی کند. دستور اپراتور باید فهرستی از اقدامات با داده های شخصی را که توسط شخص پردازش کننده داده های شخصی انجام می شود و اهداف پردازش تعریف می کند، باید تعهد چنین شخصی برای حفظ محرمانه بودن داده های شخصی و اطمینان از امنیت داده های شخصی را تعیین کند. در طول پردازش آنها، و همچنین باید الزامات حفاظت از داده های شخصی پردازش شده را نشان دهد (بند 3، ماده 6 152-FZ).

بنابراین، ارائه دهنده هاست مانند صاحب سایت، اپراتور داده های شخصی پردازش شده در سایت است و مسئول در دسترس بودن، ایمنی و امنیت آن است. تنها با یک تفاوت - مالک سایت در قبال موضوعات داده های شخصی مسئولیت دارد و در مواردی که قانون پیش بینی می کند، موظف است از افراد برای پردازش داده های شخصی مجوز بگیرد و ارائه دهنده میزبانی وب به عنوان یک فرد مجاز می باشد. نسبت به صاحب سایت مسئولیت دارد و داده های شخصی را از او دریافت می کند و آنها را ذخیره می کند، اما مسئولیتی در قبال کسب مجوز از سوژه ها ندارد.

به طور کلی، موضوع کسب رضایت افراد برای پردازش اطلاعات شخصی آنها بسیار بزرگ و جالب است و البته جای مقاله جداگانه ای دارد.

تعیین حوزه های مسئولیت ارائه دهنده هاست و مالک سایت برای رعایت الزامات حفاظت از داده های شخصی

موافقم، ناعادلانه است که تمام مسئولیت امنیت داده های شخصی را به ارائه دهنده میزبانی منتقل کنیم. از این گذشته ، اغلب او نمی داند که سایتی که روی سرور او میزبانی شده است روی چه کسی ، چگونه و چه چیزی نوشته شده است. از چه گذرواژه هایی برای مجوز دسترسی به داده های شخصی استفاده می شود، به چه شکلی ذخیره می شود و آیا اصلاً از آنها استفاده می شود.

طبق فرمان شماره 1119 دولت (بند 13 - 16)، به منظور اطمینان از سطح مورد نیاز از امنیت داده های شخصی هنگام پردازش در سیستم های اطلاعاتی، الزامات زیر باید رعایت شود:

ارائه دهنده هاست باید دارای مجوز از Roskomnadzor برای ارائه خدمات ارتباطی باشد

همانطور که می دانید برای ارائه خدمات ارتباطی، مجوز Roskomnadzor مورد نیاز است. این به عنوان مثال از بند 36 ماده 12 قانون فدرال 4 مه 2011 شماره 99-FZ "در مورد مجوز انواع خاصی از فعالیت ها" نتیجه می گیرد.

با توجه به فهرست اسامی خدمات ارتباطی موجود در مجوزهای انجام فعالیت در زمینه ارائه خدمات ارتباطی، مصوب 18 فوریه 2005 شماره 87 دولت فدراسیون روسیه، خدمات ارتباطی دارای مجوز، از جمله چیز های دیگر:

• خدمات ارتباطی از راه دور (این شامل میزبانی می شود).
• خدمات ارتباطی برای انتقال داده، به استثنای خدمات ارتباطی برای انتقال داده به منظور انتقال اطلاعات صوتی.

برای میزبانی سایت هایی که داده های شخصی را پردازش می کنند، ارائه دهنده میزبانی باید مجوز FSTEC داشته باشد

سرویس فدرال برای کنترل فنی و صادرات (FSTEC روسیه) فعالیت های مربوط به حفاظت فنی اطلاعات را تنظیم می کند، با مسائل مربوط به سیاست های ایالتی در این زمینه قانون گذاری، استانداردسازی، صدور مجوز سروکار دارد و همچنین بازرسی های مربوطه را انجام می دهد.

از آنجایی که ارائه دهنده هاست، به عنوان شخصی که طبق قرارداد واگذاری مجاز است، اپراتور داده های شخصی است، موظف است اقدامات فنی را برای محافظت از آنها انجام دهد، یعنی خدماتی را برای آنها ارائه دهد. حفاظت فنیاطلاعاتی که مطابق با مقررات مربوط به مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه، مصوب 3 فوریه 2012 N 79 دولت فدراسیون روسیه، به انواع فعالیت های دارای مجوز مربوط می شود.

اقدامات سازمانی و فنی برای تضمین امنیت داده های شخصی، مصوب FSTEC FSTEC شماره 21 مورخ 18 فوریه 2013، عبارتند از:

• شناسایی و احراز هویت موضوعات دسترسی و اشیاء دسترسی؛
• کنترل دسترسی به موضوعات دسترسی به اشیاء دسترسی.
• محدودیت محیط نرم افزار؛
• حفاظت از رسانه های ذخیره سازی رایانه؛
• ثبت رویدادهای امنیتی؛
• حفاظت از آنتی ویروس؛
• تشخیص نفوذ (پیشگیری)؛
• کنترل (تجزیه و تحلیل) امنیت داده های شخصی؛
• اطمینان از یکپارچگی سیستم اطلاعاتی و داده های شخصی؛
• اطمینان از در دسترس بودن داده های شخصی؛
• حفاظت از محیط مجازی سازی؛
• حفاظت از وسایل فنی؛
• حفاظت از سیستم اطلاعاتی، ارتباطات و سیستم های انتقال داده آن؛
• شناسایی حوادث و واکنش به آنها؛
• مدیریت پیکربندی ISPDn و SZPDn.

برای انجام کار برای اطمینان از امنیت داده های شخصی، مجاز است به صورت قراردادی سازمان های شخص ثالثی را که مجوز فعالیت در حفاظت فنی از اطلاعات محرمانه را دارند (بند 2، بند 2 دستور شماره 21 FSTEC) درگیر کند. ).

تعدادی از اقدامات برای اطمینان از امنیت داده های شخصی، ارائه دهنده میزبانی را ملزم به داشتن مجوز FSB می کند

اقدامات برای اطمینان از سطح مناسب حفاظت از داده های شخصی، طبق دستور شماره 21 FSTEC، شامل اقدامات زیر است:

• اجرای حفاظت شده دسترسی از راه دورموضوعات دسترسی به اشیاء دسترسی از طریق اطلاعات خارجی و شبکه های مخابراتی (UPD.13).
• تضمین حفاظت از داده های شخصی در برابر افشا، اصلاح و تحمیل (ورود اطلاعات نادرست) در حین انتقال آن (آماده سازی برای انتقال) از طریق کانال های ارتباطی که فراتر از منطقه کنترل شده، از جمله کانال های ارتباطی بی سیم (ZIS.3).
• اطمینان از اصالت اتصالات شبکه(جلسات تعامل)، از جمله برای محافظت در برابر جعل دستگاه های شبکهو خدمات (ZIS.11);

بر اساس ماهیت این اقدامات، واضح است که اجرای آنها مستلزم استفاده از ابزارهای حفاظت از اطلاعات رمزنگاری (CIPF) است. همانطور که مشخص است، مسائل مربوط به استفاده از CIPF در فدراسیون روسیه توسط سرویس امنیت فدرال (FSB روسیه) تنظیم می شود.

با توجه به مقررات مربوط به صدور مجوز فعالیت برای توسعه، تولید، توزیع ابزارهای رمزگذاری (رمزنگاری)، مصوب 16 آوریل 2012 شماره 313 دولت فدراسیون روسیه، فهرست آثاری که فعالیت مجاز را تشکیل می دهند. شامل می شود:

• توسعه اطلاعات امن و سیستم های مخابراتی با استفاده از ابزارهای رمزنگاری.
• نصب، نصب، تنظیم وسایل رمزنگاری و سیستم های اطلاعاتی و مخابراتی محافظت شده با استفاده از آنها.
• کار بر روی نگهداری وسایل رمزنگاری؛
• انتقال وسایل رمزنگاری و اطلاعات و سیستم های مخابراتی محافظت شده با استفاده از آنها.
• ارائه خدمات رمزگذاری اطلاعات

مرکز محاسبات ارائه دهنده میزبانی باید در قلمرو فدراسیون روسیه واقع شود

در 1 سپتامبر 2015، فدراسیون روسیه با مقرراتی در مورد محلی سازی ذخیره سازی و فرآیندهای خاص پردازش داده های شخصی، تعریف شده در قانون فدرالشماره 242 21 ژوئیه 2014 "در مورد اصلاحات برخی از اقدامات قانونی فدراسیون روسیه از نظر شفاف سازی روش پردازش داده های شخصی در شبکه های اطلاعاتی و مخابراتی"، طبق بند 1 ماده 2 آن، هنگام جمع آوری داده های شخصی از جمله از طریق اطلاعات - شبکه مخابراتی اینترنتی، اپراتور موظف است از ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، بازیابی اطلاعات شخصی شهروندان فدراسیون روسیه با استفاده از پایگاه های داده واقع در قلمرو فدراسیون روسیه اطمینان حاصل کند. فدراسیون روسیه.

در عین حال، توجه به این نکته مهم است که انتقال برون مرزی داده های شخصی، به این ترتیب، ممنوع نیست، اما توسط قانون تنظیم می شود. شما می توانید در مورد این مطلب در Art. 12 152-FZ.

به طور خلاصه در مورد اصل مطلب

بنابراین، بیایید موارد فوق را خلاصه کنیم.

یک وب سایت یک سیستم اطلاعات اطلاعات شخصی است در صورتی که عملکرد آن به شما اجازه ورود، ذخیره یا مشاهده داده های شخصی را می دهد. یک مثال خوبتقریباً هر وب سایتی با حساب شخصی، امکان رزرو آنلاین، سفارش یا خرید با تحویل و ... می تواند خدمت رسانی کند.

پردازش اطلاعات شخصی مشتریان به صورت آنلاین نه تنها یک ضرورت تجارت الکترونیک مدرن است، بلکه فرصت های گسترده ای برای بازاریابی است که شرح آن مستحق یک مقاله جداگانه است.

صاحب وب‌سایتی که یک ISPD است ملزم به ارسال اعلان به Roskomnadzor است که نشان می‌دهد: چه داده‌های شخصی را ذخیره و پردازش می‌کند، سرورهایی که ISPD روی آنها کار می‌کند به صورت فیزیکی در کجا قرار دارند. شما می توانید در مورد این موضوع در مقاله من "چگونه یک اعلان به RKN ارسال کنیم و دچار مشکل نشویم" بخوانید.

توافق نامه با یک ارائه دهنده میزبانی، علاوه بر ویژگی های کمی و کیفی منابع محاسباتی، لزوماً باید حاوی دستوری برای پردازش داده های شخصی باشد که فهرست خاصی از اقداماتی که با آنها انجام می شود را نشان دهد، باید اهداف و اهداف را نشان دهد. رویه پردازش داده های شخصی، الزامات حفاظت از آنها و مسئولیت ارائه دهنده برای امنیت داده های شخصی باید تعیین شود.

علاوه بر مجوزهای استاندارد Roskomnadzor برای شرکت های میزبان برای ارائه خدمات ارتباطی از راه دور، به منظور محافظت از داده های شخصی پردازش شده در سایت های مشتری، ارائه دهنده میزبان باید دارای مجوز FSTEC برای فعالیت های مربوط به حفاظت فنی از اطلاعات محرمانه و FSB باشد. مجوز برای ارائه خدمات مربوط به استفاده از رمزگذاری (رمزنگاری) وجوه.

و در نهایت، سرور ارائه دهنده که داده های شخصی به طور فیزیکی در آن ذخیره می شود باید در قلمرو فدراسیون روسیه واقع شود.

بنابراین، این مقاله بسیاری از جنبه‌های قرار دادن یک ISPD در منابع محاسباتی ارائه‌دهندگان خدمات ابری را مورد بحث قرار می‌دهد. بیشتر اطلاعات دقیقاز اسناد و منابع اطلاعاتی زیر قابل دریافت است:

قانون گذاری

• فرمان دولت فدراسیون روسیه در تاریخ 1 نوامبر 2012 N 1119 "در مورد تصویب الزامات حفاظت از داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی"
• دستور FSTEC روسیه مورخ 18 فوریه 2013 شماره 21 در مورد تأیید ترکیب و محتوای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی در هنگام پردازش آنها در سیستم های اطلاعات داده های شخصی

  پاسپورت تلگرام به شما این امکان را می دهد که هویت کاربر را شناسایی کنید. تمام اسناد و داده های لازم باید یک بار در تلگرام آپلود شوند و سپس می توانید فوراً آنها را به شرکای تلگرام منتقل کنید. برنامه ریزی شده است که تا زمان راه اندازی سرویس جدید، امکان استفاده از خدمات چندین شریک از جمله Qiwi وجود داشته باشد.

  ادامه مطلب...

از آنجایی که سرور در خانه شما قرار ندارد، شما به آن دسترسی ندارید و مطمئناً به هیچ وجه نمی توانید روی خط مشی مرکز داده تأثیر بگذارید، شما به سادگی فرصت انجام تعدادی از الزامات قانونی را ندارید. تنها یک کار باقی مانده است، یافتن هاستینگی که مطابق با الزامات قانون باشد.

من اکنون Beget نیستم، برای محافظت از اطلاعات محرمانه نامه ای در مورد مجوز FSTEC آنها نوشتم. مبهم جواب دادند مثل اینکه من نیستم و خانه مال من نیست، ما فقط اینها هستیم و در کل نباید... خلاصه اینکه مجوز ندارند، یعنی در کل، سایتی که داده های شخصی را جمع آوری می کند نمی تواند در آنجا نگهداری شود. من در اینترنت گشت و گذار کردم (هنوز نه چندان گسترده) و تا کنون فقط RU-CENTER را با مجوز پیدا کرده ام.

مجوز فعالیت برای توسعه و (یا) تولید وسایل حفاظت از اطلاعات محرمانه
مجوز شماره 0917 مورخ 20 سپتامبر 2011

مجوز فعالیت های مربوط به حفاظت فنی از اطلاعات محرمانه
پروانه شماره 1594 مورخ 20 سپتامبر 2011
دارنده حق چاپ: شرکت سهامی "مرکز اطلاع رسانی شبکه منطقه ای"
مدت اعتبار مجوز: نامحدود

میزبانی اطلاعات محرمانه در RU-CENTER

در 6 مارس 2012، RU-CENTER شروع به ارائه یک سرویس جدید - میزبانی اطلاعات محرمانه می کند.
میزبانی اطلاعات محرمانه عبارت است از قرار دادن یک وب سایت در اینترنت با استفاده از اقدامات اضافی برای محافظت از اطلاعات.
این سرویس به شما امکان می دهد تعدادی از الزامات اجباری قانون فعلی (قانون N 152-FZ) را انجام دهید که هنگام پردازش داده های شخصی ارائه می شود.
علاوه بر روش های اساسی حفاظت از داده ها و ذخیره سازی اطلاعات مورد استفاده در سایر خدمات RU-CENTER، میزبانی اطلاعات محرمانه ارائه می دهد:

• تجهیزات تایید شده تخصصی که تعدادی از اقدامات را برای محافظت از اطلاعات در هنگام دسترسی به شبکه امکان پذیر می کند.
• محدودیت اضافی دسترسی فیزیکیبه تجهیزاتی که خدمات بر روی آن ارائه می شود؛
• روزانه پشتیبان گیری(2 نسخه)؛
• حسابداری رسانه های فیزیکی مورد استفاده؛
• MySQL به هر سرویس اختصاص داده شده است.

سوال واقعی این است که کیفیت آنها چگونه است؟
و اگر کسی میزبان دیگری با مجوز FSTEC برای محافظت از اطلاعات محرمانه پیدا کرد، آن را در این تاپیک ارسال کنید.

قبل از شروع تجزیه و تحلیل 152-FZ، باید بدانید که قانون 242-FZ نیز وجود دارد که در 1 سپتامبر 2015 لازم الاجرا شد، که یک قانون نظارتی است که یکی دیگر از منابع اساسی قانون - قانون فدرال شماره 152 را اصلاح کرد. ، در جولای 2006 به تصویب رسید. تصویب قانون "بومی سازی داده های شخصی" با پوشش گسترده ابتکار قانونگذاری در رسانه های مختلف همراه بود که در نتیجه ایجاد دو اسطوره اصلیدر قانون فدرال شماره 242-FZ:

• روس ها اکنون از ارسال اطلاعات شخصی (وب سایت) خود در خارج از کشور منع شده اند.
• همه شرکت های خارجی از دریافت و پردازش اطلاعات شخصی روس ها در سرورهای خارج از فدراسیون روسیه منع شدند.

قانون فدرال شماره 242-FZ مقرر می دارد که "هنگام جمع آوری داده های شخصی، از جمله از طریق اینترنت، اپراتور موظف است از ضبط، سیستم سازی، تجمع، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، بازیابی اطلاعات شخصی شهروندان روسیه اطمینان حاصل کند. فدراسیون با استفاده از پایگاه های داده واقع در قلمرو فدراسیون روسیه." در صورت عدم رعایت قانون، دسترسی به سایتی که محکوم به جمع آوری اولیه و ذخیره داده های شخصی شهروندان روسیه در پایگاه های داده واقع در حوزه قضایی فدراسیون روسیه است ممکن است محدود شود.

آیا می توانم از هاست خارج از کشور استفاده کنم؟

قانون منعی نداردقرار دادن هر وب سایت (پایگاه داده) بر روی سرورهای واقع در کشورهایی که کنوانسیون شورای اروپا ETS شماره 108 را امضا کرده اند و همچنین انتقال برون مرزی داده های شخصی. بر اساس کنوانسیون شورای اروپا ETS شماره 108 «در مورد حمایت از افراد در خصوص پردازش خودکار داده‌های شخصی» که توسط روسیه تصویب شده است، قسمت 2 ماده 12 مقرر می‌دارد که کشورهایی که به آن ملحق شده‌اند آن را منع نخواهند کرد. کنترل ویژه جریان اطلاعاتداده های شخصی که به قلمرو طرف دیگر کنوانسیون می رود، و ماده. 25 هر گونه رزرو برای کنوانسیون را ممنوع می کند.

این بدان معنی است که استفاده از میزبانی در خارج از کشور (نه در فدراسیون روسیه)، و همچنین ذخیره و پردازش داده های شخصی، در صورتی قانونی تلقی می شود که میزبانی در یکی از کشورهای امضا کننده کنوانسیون واقع شده باشد: اتریش، بلژیک، بلغارستان، دانمارک، بریتانیا، مجارستان، آلمانیونان، ایرلند، اسپانیا، ایتالیا، لتونی، لیتوانی، لوکزامبورگ، مالت، هلند، لهستان، پرتغال، رومانی، اسلواکی، اسلوونی، فنلاند، فرانسه، جمهوری چک، سوئد، استونی و همچنین به شرح زیر از توضیحات Roskomnadzor ، در کشورها، تضمین حفاظت کافی از داده های شخصی. این کشورها به عنوان کشورهایی شناخته می شوند که دارای مقررات سراسری در زمینه حفاظت از داده های شخصی و یک نهاد نظارتی مجاز برای حمایت از حقوق افراد سوژه داده های شخصی هستند: آندورا، آرژانتین، اسرائیل، ایسلند، کانادا، لیختن اشتاین، نروژ، صربستان، کرواسی، مونته نگرو، سوئیس، کره جنوبی، ژاپن.

اطلاعات شخصی در کجا باید ذخیره شود؟

از نظر فیزیکی، سایت و پایگاه داده می تواند توسط هر کشوری که کنوانسیون شورای اروپا ETS شماره 108 را امضا کرده باشد میزبانی کند. قانون اپراتور را ملزم می کند از ضبط، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، بازیابی اطلاعات شخصی شهروندان فدراسیون روسیه با استفاده از پایگاه های داده واقع در قلمرو فدراسیون روسیه اطمینان حاصل کند، با این حال، قانون منع نمی کند. ذخیره اطلاعات شخصی روس ها در سرورهای خارج از قلمرو فدراسیون روسیه. تنها شرط این است که داده های شخصی در ابتدا باید در فدراسیون روسیه جمع آوری و پردازش شوند. اما، ما تکرار می کنیم، این انتقال برون مرزی داده های شخصی و کار با آن را در کشورهایی که کنوانسیون را امضا کرده اند، ممنوع نمی کند.

انطباق میزبانی با JIHOST 152-FZ

Jihost به طور کامل با 152-FZ از طریق استفاده از تکرار و انتقال فرامرزی داده های شخصی مطابقت دارد.

اصول عملیات به صورت شماتیک در زیر توضیح داده شده است:

سازگاری میزبانی Jihost با 152-FZ هر گونه تغییر در پایگاه داده سایت، از جمله انتقال اطلاعات شخصی، پایگاه داده به سروری که در قلمرو فدراسیون روسیه قرار دارد تکرار می شود، بنابراین از ارتباط و کامل بودن داده ها مطابق با قانون. سپس داده ها در پایگاه داده سرور محلی، که سایت متعاقباً از آن کار می کند، تکرار می شود. این الگوی دایره ای در همه جا کار می کند. علاوه بر این، اگر فقط خواندن داده مورد نیاز باشد، بدون تکرار، مستقیماً از پایگاه داده محلی رخ می دهد. علاوه بر انطباق با 152-FZ، این طرح عملیاتی عملکرد، تحمل خطا و قابلیت اطمینان میزبانی را افزایش می دهد.