Solusi awan Hukum Federal 152» membebaskan Operator Data Pribadi dari biaya pembuatan dan kepemilikan infrastruktur TI yang aman untuk mematuhi persyaratan 152-FZ dan 242-FZ. Dengan kata lain, jika undang-undang Rusia mewajibkan perusahaan Anda untuk mengambil semua tindakan organisasi dan teknis yang diperlukan untuk melindungi data pribadi dari akses yang tidak sah dan melanggar hukum, pilih solusi siap pakai dari Cloud4Y.

Mengapa Anda memerlukan “Hukum Federal Cloud 152”:

• Pisahkan “cloud” yang aman, bersertifikat, dan teruji untuk hosting ISPD.
• Sertifikasi mekanisme virtualisasi: hypervisor sumber daya komputasi, sistem manajemen jaringan data tervirtualisasi, platform virtualisasi dan sistem penyimpanan data.
• Menyediakan layanan keamanan (berdasarkan alat keamanan bersertifikat) yang dapat digunakan oleh klien yang menghosting ISPD mereka di cloud.

Organisasi penempatan ISPDn di cloud:

• Membebaskan operator data pribadi dari biaya modal untuk pembuatan dan kepemilikan infrastruktur TI yang aman;
• Membebaskan operator dari sebagian tanggung jawab hukum untuk memenuhi persyaratan 152-FZ, 242-FZ;
• Memungkinkan penggunaan perangkat lunak penyedia seluruh sistem dan spesifik;
• Memungkinkan Anda menerima dukungan infrastruktur TI oleh personel berkualifikasi tinggi 24×7

Fitur “Cloud FZ 152”:

• Penempatan ISPD diberikan sebagai suatu layanan, yaitu pelanggan tidak dibebani biaya modal.
• Cloud4Y bertindak sebagai orang yang bertanggung jawab untuk memproses data pribadi atas nama operator.
• Sistem ini telah disertifikasi oleh pemegang lisensi FSTEC, yang menegaskan kepatuhannya terhadap persyaratan keselamatan. Alat pelindung diri yang digunakan adalah dengan cara yang ditentukan penilaian kesesuaian dan memiliki sertifikat yang dikeluarkan oleh badan terkait FSTEC dan FSB Rusia.
• Ketersediaan sertifikat untuk berbagai elemen cloud yang mengimplementasikan fungsi keamanan (hypervisor, alat keamanan yang terintegrasi ke dalam cloud, alat keamanan yang ditawarkan kepada klien sebagai layanan keamanan.
• Serangkaian tindakan perlindungan organisasi dan teknis untuk memastikan penutupan bagi klien ancaman saat ini dari petugas servis, dari klien lain dan pelanggar lainnya.

Dokumen peraturan dan klasifikasi

Buku Putih tentang Undang-Undang Federal 152 - buku yang dapat dijadikan acuan dalam urusan pemrosesan data pribadi

Lisensi dan sertifikat

Harga

PROMOSI: hanya hingga 30 April 2020 "Cloud Federal Law 152" dengan harga reguler SELAMANYA! Detail

Untuk menerima perkiraan biaya layanan FZ-152 Cloud, hubungi manajer mana pun melalui telepon +7 495 268 04 12 atau metode mudah lainnya yang tersedia di bagian ini

Simak Daftar peraturan perundang-undangan yang menetapkan persyaratan wajib dalam melaksanakan kegiatan badan hukum dan pengusaha perorangan untuk kepatuhan pemrosesan data pribadi dengan persyaratan undang-undang Federasi Rusia di bidang data pribadi di tautan.

Pertanyaan yang sering diajukan (FAQ)

2. Mengapa kita memerlukannya?
Karena Anda adalah pemroses data pribadi, dampak Undang-Undang Federal No. 152 secara otomatis berlaku untuk Anda. Dan lembaga pemerintah yang memiliki sistem informasi negara juga tunduk pada perintah FSTEC ke-17.

3. Berapa biayanya?
Biaya dihitung secara individual untuk pelanggan, dengan mempertimbangkan volume, tingkat keamanan, dan waktu penempatan.

4. Bisakah Anda membantu menyiapkan dokumentasi?
Ya, kami bisa (kami menyediakan templat yang sudah jadi atau menangani seluruh proses persiapan turnkey).

5. Bagaimana saluran transmisi data diatur?
Saluran yang dienkripsi menurut Gost Rusia digunakan melalui koordinator VipNet.

Jika Anda belum menemukan jawaban atas pertanyaan Anda, kunjungi pertanyaan kami, tanyakan kepada konsultan kami di situs web menggunakan obrolan online, atau tulis permintaan dukungan menggunakan.

Amandemen undang-undang federal mulai berlaku pada tanggal 1 September 2015 “Tentang data pribadi” (UU 152 Hukum Federal).
Menurut hukum, data yang dimasukkan klien ke situs web Anda harus disimpan di Federasi Rusia.
Dan itu belum semuanya. Baca tentang siapa yang akan terkena dampak undang-undang ini dan apa yang harus dilakukan di artikel kami.

Pada tanggal 1 September 2015, amandemen Undang-Undang “Tentang Data Pribadi” mulai berlaku.
Menurut undang-undang ini, semua data yang dimasukkan klien ke situs web Anda dan khususnya data pribadi (detail paspor, alamat, termasuk email, informasi pembayaran, dll.) harus disimpan di wilayah Federasi Rusia.

BERIKUT ADA EKSTRAK UNDANG-UNDANG 152 tentang perlindungan data pribadi

Ya, bukan itu saja. Pada bulan Februari 2017, amandemen lebih lanjut dilakukan terhadap undang-undang tentang perlindungan data pribadi. Amandemen ini mewajibkan semua pemilik situs web dan toko online (Operator) untuk memberi tahu pengguna bahwa ketika memasukkan data pribadi ke situs web, mereka menyetujui pengumpulan, pemrosesan, dan penyimpanannya.

Jika Anda mengabaikan amandemen undang-undang ini, Anda berisiko menerima denda hingga 75.000 rubel untuk satu pelanggaran. Dan jika jumlahnya lebih banyak, maka jumlah denda akan meningkat (karena pelanggaran undang-undang Federasi Rusia di bidang data pribadi - Pasal 13.11 Kode Pelanggaran Administratif Federasi Rusia)

APA LAGI RISIKO KEGAGALAN MEMATUHI HUKUM DATA PRIBADI?

Selain pertanggungjawaban administratif, mungkin juga ada pertanggungjawaban pidana. Jadi jika Anda menyebabkan kerugian moral kepada pengguna yang data pribadinya, misalnya, jatuh ke tangan yang salah.
Nah, untuk pelanggaran seperti itu, Roskomnadzor dapat memblokir situs tersebut dan menambahkan Anda ke apa yang disebut “daftar hitam”.
Dan kemudian bersiaplah untuk itu pemeriksaan tambahan dari Roskomnadzor.

APA YANG HARUS DILAKUKAN?

1. Hal pertama yang harus dilakukan adalah memberi tahu pengguna tentang pemrosesan data pribadi. Jika Anda belum melakukannya, sekaranglah saatnya. Kembangkan dan posting di situs web dokumen tentang pemrosesan data pribadi, dan juga dapatkan persetujuan pengguna untuk pemrosesan tersebut (misalnya, dengan menempatkan kotak centang berisi informasi di bawah setiap formulir pendaftaran).
   Secara umum, hal ini dapat dilakukan dengan berbagai cara, bergantung pada tujuan dan karakteristik bisnis Anda. Misalnya, Ozone menerbitkan kebijakan privasi di situs web dan, saat mendaftarkan pengguna, memerlukan persetujuan untuk memproses data pribadi. Atau Anda dapat menempatkan informasi tentang koleksi PD di dalamnya penawaran umum, seperti yang dilakukan Lamoda dan juga mengumpulkan persetujuan untuk pemrosesan selama pendaftaran. Atau seperti SberBank yang memuat informasi tersebut dalam perjanjian.
2. Menyiapkan dokumen internal mengatur tata cara pelaksanaan undang-undang ini. Ini termasuk perintah, instruksi dan penunjukan orang yang bertanggung jawab atas penyimpanan informasi pribadi.
3. Sangat penting untuk memastikan bahwa data disimpan di Rusia (di server Rusia).
   Hal ini diwajibkan oleh undang-undang tentang perlindungan informasi pengguna (Bagian 5 Pasal 18 Undang-Undang Federal “Tentang Data Pribadi”).
   Oleh karena itu, tanyakan kepada penyedia hosting Anda tentang alamat lokasi server tempat situs Anda dihosting dan buatlah perjanjian dengannya, di mana alamat ini akan ditunjukkan. Anda memerlukan alamat ini untuk mengisi pemberitahuan ke Roskomnadzor. Jika Anda memiliki server sendiri, pastikan untuk menyimpan dokumen di dalamnya. Mereka mungkin diminta oleh Roskomnadzor selama kemungkinan pemeriksaan. Hal yang sama berlaku untuk kontrak dengan penyedia hosting.

   Jika penyedia hosting Anda menempatkan servernya di Pusat Data Rusia, maka semuanya baik-baik saja.
   Ini adalah cara termudah untuk memenuhi persyaratan hukum dengan membeli hosting dari penyedia domestik.

   Ada metode lain yang disebut transfer data lintas batas. Hal ini tidak dilarang oleh hukum. Penyimpanan data pribadi di luar negeri diperbolehkan, tetapi dengan beberapa syarat. Jadi, bagaimanapun juga, perusahaan, selain menyimpan data pribadi di luar negeri, harus memiliki database seperti itu di wilayah Federasi Rusia. Namun pada saat yang sama, database harus selengkap dan terkini. Skemanya begini: seluruh database dengan data pribadi dikumpulkan, disistematisasikan, dan disimpan di wilayah Federasi Rusia, dan kemudian datanya dapat ditransfer ke luar negeri. Penting untuk dipahami di sini bahwa sumber utamanya adalah pangkalan di wilayah Federasi Rusia.

4. Setelah itu, persiapkan dan kirimkan pemberitahuan ke Roskomnadzor.
   Hal ini dapat dilakukan melalui formulir elektronik di website:

   Tidak perlu menyampaikan pemberitahuan jika:

   
   → Anda hanya memproses data karyawan;

   → Anda membuat perjanjian dengan orang tertentu dan data yang ditentukan dalam perjanjian hanya digunakan untuk pelaksanaan perjanjian ini, yaitu. informasi tidak dipublikasikan atau ditransfer ke pihak ketiga tanpa persetujuan subjek data pribadi (poin ini ambigu, karena pertanyaan mungkin timbul karena spesifikasi bisnis. Penting untuk membuat perjanjian dengan benar, dengan mempertimbangkan semua nuansa yang memenuhi persyaratan undang-undang. Oleh karena itu, kami menyarankan untuk berkonsultasi dengan pengacara. Dan jika tidak ada jawaban yang jelas, lebih baik untuk menyampaikan pemberitahuan.);

   → jika data yang dikumpulkan hanya mencakup nama lengkap pengguna;

   → jika pengguna sendiri telah membuat data pribadinya tersedia untuk umum.

catatan, bahwa kita hanya berbicara tentang kasus-kasus ketika pemberitahuan tidak perlu disampaikan. Data di atas masih bersifat pribadi dan pengguna harus diberitahu tentang hal itu.

BUKAN KESIMPULAN

Bagi pemilik website, yang terpenting adalah mengatur semuanya dengan benar. Dengan melakukan ini, Anda akan melindungi diri Anda dari denda dan tanggung jawab lainnya serta mendapatkan kepercayaan dari klien Anda.
Catatan kecil: Kami menyarankan Anda untuk tidak membuat salinan karbon, misalnya, seperti pesaing Anda - masing-masing memiliki kekhasan tersendiri. Lebih baik menghabiskan waktu mengembangkan dokumentasi khusus untuk bisnis Anda daripada membayar denda di kemudian hari. Dan jika Anda masih memiliki pertanyaan, Carilah bantuan dari pengacara Anda, karena artikel ini bukan pengganti spesialis, yang akan membantu Anda melakukan segala sesuatu sesuai kebutuhan dan khusus untuk tujuan dan sasaran Anda.

• Membagikan:

• Undang-undang Federal "Tentang Data Pribadi" tanggal 27 Juli 2006 N 152-FZ

Publikasi

Sejak September 2015, peraturan tentang lokalisasi penyimpanan data pribadi mulai berlaku di Federasi Rusia (242-FZ tanggal 21 Juli 2014). Inovasi ini tentu saja menjadi salah satu pendorong utama pasar Rusia hosting dan komputasi awan, memaksa operator data pribadi dan penyedia hosting untuk sekali lagi memikirkan bagaimana memastikan kepatuhan entitas yang tampaknya sederhana seperti situs web dengan persyaratan undang-undang tentang data pribadi.

Terlepas dari kenyataan bahwa Undang-Undang Federal No. 152-FZ tanggal 27 Juli 2006 “Tentang Data Pribadi” telah diadopsi sejak lama, tidak semua orang telah beradaptasi dan belajar menerapkannya. Terima kasih juga atas banyaknya jumlah tersebut dokumen peraturan dan perubahan rutin pada mereka. Saat ini mereka berasal dari empat departemen: Pemerintah, Roskomnadzor, FSTEC dan FSB. Dan juga berkat posisi regulator yang cukup seimbang, yang, alih-alih kebijakan mengemudikan paku, memilih strategi pengencangan sekrup yang mulus namun tak terelakkan.

Jika perusahaan-perusahaan besar dan badan-badan pemerintah, sebagai pelaku pasar yang paling disiplin, sebagian besar telah menjadikan sistem informasi data pribadi (PDIS) mereka mematuhi undang-undang, maka usaha menengah dan kecil kini mulai menyadari hal tersebut. keberadaan dan perkembangannya lebih lanjut, mereka membutuhkan segalanya -kita masih harus keluar dari bayang-bayang, termasuk dalam hal implementasi undang-undang tentang data pribadi, terutama karena bayangan ini semakin berkurang dan sudah mulai tidak mencukupi. untuk semua orang.

Apa yang harus dilakukan pemilik situs web tempat data pribadi pengguna dikumpulkan dan disimpan (misalnya, di akun pribadi toko online)? Mari kita coba mencari tahu bersama-sama.

Jika sebuah situs web mengumpulkan data pribadi, maka itu adalah sistem informasi data pribadi dan tunduk pada 152-FZ

Inilah yang dikatakan Roskomnadzor sendiri tentang hal ini: “Menurut klausul 9 Seni. 3 Undang-Undang Federal “Tentang Data Pribadi”, sistem informasi data pribadi adalah sekumpulan data pribadi yang terdapat dalam database dan memastikan pemrosesannya teknologi Informasi Dan sarana teknis. Jika situs web memenuhi persyaratan yang ditentukan, itu adalah sistem informasi.”

Kita semua secara intuitif mengetahui apa itu data pribadi, namun penting untuk memahami apa itu data pribadi dari sudut pandang hukum. Menurut paragraf 1 Pasal 3 Undang-Undang Federal No. 152-FZ, data pribadi adalah segala informasi yang berkaitan secara langsung atau tidak langsung dengan individu tertentu atau yang dapat diidentifikasi. Artinya, hampir semuanya: mulai dari nomor identifikasi pajak hingga warna rambut dan ukuran sepatu, belum lagi nomor telepon dan alamat, baik itu email atau pos.

Jadi, toko online atau sekedar website dimana terdapat akun pribadi atau registrasi pengguna, pemesanan online, pemesanan, pembayaran, pengiriman, dll. dll, dalam istilah 152-FZ, semua itu adalah sistem informasi data pribadi (ISPD), dan pemiliknya adalah operator data pribadi.

Undang-undang tentang data pribadi mempertimbangkan tren dalam komputasi awan dan outsourcing

Banyak yang telah dikatakan dan ditulis tentang relevansi dan prospek outsourcing TI, terutama bagi perusahaan di sektor usaha kecil dan menengah, jadi dalam artikel ini saya tidak akan mengganggu pembaca “untuk awan”. Selain itu, kita semua tahu betul bahwa sebagian besar situs di Internet dihosting di server web publik penyedia layanan hosting.

Ada banyak alasan untuk hal ini, namun yang terpenting tentu saja adalah keinginan akal sehat perusahaan untuk menghemat uang dan mendapatkan layanan web murah dengan ketersediaan tinggi. Membuat infrastruktur komputasi Anda sendiri dengan keandalan setidaknya sebanding dengan pusat data standar Tier-III membutuhkan biaya jutaan rubel. Pertama, Anda memerlukan ruangan yang sesuai: bukan koridor, bukan ruang bawah tanah, bukan loteng, agar tidak banjir dan orang asing tidak memiliki akses ke sana. Ventilasi dan AC diperlukan, dan dengan redundansi tertentu. Penting untuk mengatur pasokan listrik otonom dan cadangan. Untuk melakukan ini, Anda perlu memasang genset diesel di suatu tempat. Terakhir, diperlukan personel keamanan dan pemeliharaan fisik. Selain itu, untuk menjamin ketersediaan layanan, Anda harus membeli suku cadang lengkap untuk peralatan server dan jaringan. Artinya, alih-alih satu server, Anda justru harus membeli dua.

Tentu saja, dengan perkembangan komputasi awan, teknologi virtualisasi, dan tren outsourcing yang jelas, semakin banyak perusahaan dari sektor UKM yang berupaya mentransfer sistem informasi mereka dari unit sistem “di bawah meja” ke sumber daya komputasi awan yang berlokasi di pusat komputer yang memenuhi standar industri modern.

DI DALAM sistem Informasi Setiap perusahaan menyimpan dan memproses sejumlah data pribadi. Ini bisa berupa data pribadi karyawan perusahaan dan data klien atau rekanan. Sistem informasi perusahaan cukup beragam, baik secara fungsional maupun teknologi. Ini bisa berupa sistem otomasi akuntansi, misalnya 1C dan situs web dengan akun pribadi pengguna dan toko online. Pada saat yang sama, sistem informasi ini, pada umumnya, saling berhubungan - mereka mengirimkan informasi satu sama lain, termasuk data pribadi.

Menurut ayat 3 Pasal 3 152-FZ, pemrosesan data pribadi adalah setiap tindakan (operasi) atau serangkaian tindakan (operasi) yang dilakukan dengan menggunakan alat otomatisasi, atau tanpa menggunakan alat tersebut dengan data pribadi, termasuk pengumpulan, pencatatan. , sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran data pribadi.

Dengan demikian, penempatan ISPD pada server penyedia tidak lain adalah outsourcing, minimal fungsi pengolahan data pribadi seperti pencatatan, penyimpanan, pembacaan (pengambilan), transfer dan penghapusan.

Menurut ayat 2 Pasal 3 152-FZ, operator (data pribadi) adalah badan hukum atau perorangan yang, secara mandiri atau bersama-sama dengan orang lain, mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan pemrosesan data pribadi, komposisi data pribadi, subjek pemrosesan, tindakan (operasi) yang dilakukan dengan data pribadi.

Oleh karena itu, penyedia hosting yang mengambil alih fungsi penyimpanan dan transmisi data pribadi adalah operatornya, bersama dengan pemilik situs (sistem informasi yang memproses data pribadi ini) dan, menurut undang-undang, wajib mengambil tindakan tertentu. langkah-langkah untuk menjamin keamanan mereka. Faktanya, semuanya tidak terlalu buruk dan kita harus memberi penghormatan kepada pembuat Undang-Undang “Tentang Data Pribadi” No. 152-FZ dan Keputusan Pemerintah No. 1119 tanggal 1 November 2012, yang mengatur transfer oleh operator dari data pribadi dari sebagian fungsi pemrosesannya untuk dialihdayakan ke organisasi pihak ketiga.

Peraturan perundang-undangan tentang hosting situs web yang memproses data pribadi pada hosting yang disediakan oleh pihak ketiga

Operator data pribadi berhak mempercayakan pemrosesan data pribadi kepada orang lain dengan persetujuan subjek data pribadi, berdasarkan perjanjian (instruksi) yang dibuat dengan orang tersebut. Orang yang memproses data pribadi atas nama Operator wajib mematuhi prinsip dan aturan pemrosesan data pribadi yang diatur oleh undang-undang saat ini. Perintah operator harus menentukan daftar tindakan dengan data pribadi yang akan dilakukan oleh orang yang memproses data pribadi dan tujuan pemrosesan, harus menetapkan kewajiban orang tersebut untuk menjaga kerahasiaan data pribadi dan menjamin keamanan data pribadi. selama pemrosesannya, dan juga harus menunjukkan persyaratan untuk perlindungan data pribadi yang diproses (Klausul 3, Pasal 6 152-FZ).

Oleh karena itu, penyedia hosting, seperti halnya pemilik situs, adalah operator data pribadi yang diproses di situs dan bertanggung jawab atas ketersediaan, keselamatan, dan keamanannya. Dengan hanya satu perbedaan - pemilik situs bertanggung jawab terhadap subjek data pribadi, dan, dalam kasus yang ditentukan oleh hukum, wajib mendapatkan izin dari subjek untuk memproses data pribadi, dan penyedia hosting, sebagai orang yang berwenang, adalah bertanggung jawab kepada pemilik situs dan menerima data pribadi darinya dan menyimpannya, tetapi tidak bertanggung jawab untuk mendapatkan izin dari subjek.

Secara umum, topik mendapatkan persetujuan subjek untuk pemrosesan data pribadi mereka sangat besar dan menarik dan, tentu saja, layak mendapat artikel tersendiri.

Penggambaran area tanggung jawab penyedia hosting dan pemilik situs untuk mematuhi persyaratan perlindungan data pribadi

Setuju, tidak adil jika mengalihkan semua tanggung jawab atas keamanan data pribadi ke penyedia hosting. Lagi pula, seringkali dia tidak tahu siapa, bagaimana, dan di situs apa yang dihosting di servernya ditulis. Kata sandi apa yang digunakan untuk mengotorisasi akses ke data pribadi, dalam bentuk apa kata sandi tersebut disimpan, dan apakah kata sandi tersebut digunakan atau tidak.

Menurut Keputusan Pemerintah No. 1119 (klausul 13 - 16), untuk menjamin tingkat keamanan data pribadi yang diperlukan ketika diproses dalam sistem informasi, persyaratan berikut harus dipenuhi:

Penyedia hosting harus memiliki lisensi dari Roskomnadzor untuk menyediakan layanan komunikasi

Seperti yang Anda ketahui, untuk menyediakan layanan komunikasi, diperlukan lisensi Roskomnadzor. Ini mengikuti, misalnya, paragraf 36 Pasal 12 Undang-Undang Federal 4 Mei 2011 No. 99-FZ “Tentang Perizinan spesies individu kegiatan."

Menurut daftar nama-nama layanan komunikasi yang termasuk dalam izin untuk melakukan kegiatan di bidang penyediaan layanan komunikasi, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 18 Februari 2005 No. 87), layanan komunikasi berlisensi meliputi, antara lain hal-hal lain:

• Layanan komunikasi telematika (termasuk hosting);
• Jasa komunikasi untuk transmisi data, kecuali jasa komunikasi untuk transmisi data untuk keperluan transmisi informasi suara.

Untuk menghosting situs yang memproses data pribadi, penyedia hosting harus memiliki lisensi FSTEC

Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC Rusia) mengatur kegiatan yang berkaitan dengan perlindungan teknis informasi, menangani masalah kebijakan negara di bidang undang-undang, standardisasi, perizinan, dan juga melakukan inspeksi yang relevan.

Karena penyedia hosting, sebagai orang yang diberi wewenang berdasarkan perjanjian pengalihan, adalah operator data pribadi, maka ia wajib mengambil tindakan teknis untuk melindunginya, yaitu menyediakan layanan untuk perlindungan teknis informasi yang, sesuai dengan peraturan tentang kegiatan perizinan untuk perlindungan teknis informasi rahasia, disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 3 Februari 2012 N 79, berkaitan dengan jenis kegiatan berlisensi.

Langkah-langkah organisasi dan teknis untuk memastikan keamanan data pribadi, yang disetujui oleh Perintah FSTEC No. 21 tanggal 18 Februari 2013, meliputi:

• identifikasi dan otentikasi subjek akses dan objek akses;
• kontrol akses subjek akses ke objek akses;
• keterbatasan lingkungan perangkat lunak;
• perlindungan media penyimpanan komputer;
• pencatatan peristiwa keamanan;
• perlindungan antivirus;
• deteksi intrusi (pencegahan);
• pengendalian (analisis) keamanan data pribadi;
• memastikan integritas sistem informasi dan data pribadi;
• memastikan ketersediaan data pribadi;
• melindungi lingkungan virtualisasi;
• perlindungan sarana teknis;
• perlindungan sistem informasi, sistem komunikasi dan transmisi datanya;
• mengidentifikasi insiden dan meresponsnya;
• manajemen konfigurasi ISPDn dan SZPDn.

Untuk melakukan pekerjaan guna memastikan keamanan data pribadi, diperbolehkan untuk terlibat berdasarkan kontrak organisasi pihak ketiga yang memiliki lisensi untuk melakukan aktivitas di bidang perlindungan teknis informasi rahasia (klausul 2, paragraf 2 Perintah FSTEC No. 21 ).

Sejumlah langkah untuk menjamin keamanan data pribadi mengharuskan penyedia hosting memiliki lisensi FSB

Langkah-langkah untuk memastikan tingkat perlindungan data pribadi yang sesuai, menurut Perintah FSTEC No. 21, mencakup langkah-langkah berikut:

• Implementasi dilindungi akses jarak jauh subyek akses terhadap objek akses melalui jaringan informasi dan telekomunikasi eksternal (UPD.13);
• Menjamin perlindungan data pribadi dari pengungkapan, modifikasi dan pemaksaan (memasukkan informasi palsu) selama transmisi (persiapan transmisi) melalui saluran komunikasi yang melampaui area yang dikendalikan, termasuk saluran komunikasi nirkabel (ZIS.3);
• Memastikan Keaslian koneksi jaringan(sesi interaksi), termasuk untuk perlindungan terhadap spoofing perangkat jaringan dan jasa (ZIS.11);

Berdasarkan esensi dari langkah-langkah ini, jelas bahwa implementasinya memerlukan penggunaan alat perlindungan informasi kriptografi (CIPF). Seperti diketahui, masalah terkait penggunaan CIPF di Federasi Rusia diatur oleh Layanan Keamanan Federal (FSB Rusia).

Menurut peraturan tentang kegiatan perizinan untuk pengembangan, produksi, distribusi alat enkripsi (kriptografi), disetujui oleh Keputusan Pemerintah Federasi Rusia tanggal 16 April 2012 No. 313, daftar karya yang merupakan kegiatan berlisensi termasuk:

• Pengembangan sistem informasi dan telekomunikasi yang aman menggunakan alat kriptografi;
• Pemasangan, pemasangan, penyesuaian sarana kriptografi dan sistem informasi dan telekomunikasi yang dilindungi penggunaannya;
• Bekerja pada pemeliharaan sarana kriptografi;
• Transfer sarana kriptografi dan sistem informasi dan telekomunikasi yang dilindungi penggunaannya;
• Menyediakan layanan enkripsi informasi.

Pusat komputasi penyedia hosting harus berlokasi di wilayah Federasi Rusia

Pada tanggal 1 September 2015, Federasi Rusia mulai berlaku tentang lokalisasi penyimpanan dan proses tertentu dalam pemrosesan data pribadi, yang ditentukan dalam hukum federal 242 tanggal 21 Juli 2014 “Tentang amandemen tindakan legislatif tertentu dari Federasi Rusia dalam rangka memperjelas prosedur pemrosesan data pribadi dalam jaringan informasi dan telekomunikasi”, sesuai dengan paragraf 1 pasal 2 di antaranya, ketika mengumpulkan data pribadi , termasuk melalui informasi - jaringan telekomunikasi Internet, operator berkewajiban untuk memastikan pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), pengambilan data pribadi warga negara Federasi Rusia menggunakan basis data yang terletak di wilayah Federasi Rusia Federasi Rusia.

Pada saat yang sama, penting untuk dicatat bahwa transfer data pribadi lintas batas tidak dilarang, namun diatur oleh undang-undang. Anda dapat membaca lebih lanjut tentang ini di Art. 12 152-FZ.

Secara singkat tentang hal utama

Jadi, mari kita rangkum hal di atas.

Situs web adalah sistem informasi data pribadi jika fungsinya memungkinkan Anda memasukkan, menyimpan, atau melihat data pribadi. Sebuah contoh yang baik Hampir semua situs web dengan akun pribadi dapat melayani kemungkinan pemesanan online, pemesanan atau pembelian dengan pengiriman, dll.

Memproses data pribadi klien secara online tidak hanya merupakan kebutuhan e-commerce modern, tetapi juga peluang pemasaran yang luas, yang uraiannya perlu mendapat artikel tersendiri.

Pemilik situs web yang merupakan ISPD wajib menyampaikan pemberitahuan kepada Roskomnadzor, yang menunjukkan: data pribadi apa yang disimpan dan diproses, di mana server tempat ISPD beroperasi berada secara fisik. Anda bisa membacanya di artikel saya “Cara menyampaikan pemberitahuan ke RKN dan tidak mendapat masalah.”

Perjanjian dengan penyedia hosting, selain karakteristik kuantitatif dan kualitatif sumber daya komputasi, harus berisi perintah untuk pemrosesan data pribadi, yang menunjukkan daftar tindakan spesifik yang akan dilakukan dengan mereka, harus menunjukkan tujuan dan prosedur pemrosesan data pribadi, persyaratan perlindungannya, dan tanggung jawab penyedia atas keamanan data pribadi harus ditetapkan.

Selain lisensi standar Roskomnadzor untuk perusahaan hosting untuk penyediaan layanan komunikasi telematika, untuk melindungi data pribadi yang diproses di situs klien, penyedia hosting harus memiliki lisensi FSTEC untuk aktivitas yang berkaitan dengan perlindungan teknis informasi rahasia dan FSB lisensi untuk penyediaan layanan yang terkait dengan penggunaan enkripsi (kriptografi) ) dana.

Dan terakhir, server penyedia tempat data pribadi disimpan secara fisik harus berlokasi di wilayah Federasi Rusia.

Jadi, artikel ini membahas banyak aspek, namun tidak semua, aspek penempatan ISPD pada sumber daya komputasi penyedia layanan cloud. Lagi Informasi rinci dapat diperoleh dari dokumen dan sumber informasi berikut:

Perundang-undangan

• Keputusan Pemerintah Federasi Rusia tanggal 1 November 2012 N 1119 “Atas persetujuan persyaratan untuk perlindungan data pribadi selama pemrosesannya dalam sistem informasi data pribadi”
• Perintah FSTEC Rusia tertanggal 18 Februari 2013 No. 21 Atas persetujuan komposisi dan isi tindakan organisasi dan teknis untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi

  Telegram Passport akan memungkinkan Anda mengidentifikasi identitas pengguna. Semua dokumen dan data yang diperlukan perlu diunggah ke Telegram satu kali, lalu Anda dapat langsung mentransfernya ke mitra Telegram. Rencananya pada saat layanan baru ini diluncurkan, layanan dari beberapa mitra tersebut, termasuk Qiwi, sudah dapat digunakan.

  Baca selengkapnya...

Karena server tidak terletak di rumah Anda, Anda tidak memiliki akses ke sana, dan tentunya tidak dapat mempengaruhi kebijakan pusat data dengan cara apa pun, Anda tidak memiliki kesempatan untuk memenuhi sejumlah persyaratan hukum. Hanya ada satu hal yang harus dilakukan, temukan hosting yang memenuhi persyaratan hukum.

Saya tidak Beget sekarang, saya menulis surat kepada mereka tentang lisensi FSTEC mereka untuk melindungi informasi rahasia. Mereka menjawab dengan samar-samar, seperti saya bukan saya dan rumah itu bukan milik saya, kami hanya ini dan secara umum tidak boleh... Ringkasnya, mereka tidak memiliki izin, yang berarti, pada umumnya, situs yang mengumpulkan data pribadi tidak dapat disimpan di sana. Saya menjelajahi Internet (belum terlalu ekstensif) dan sejauh ini saya hanya menemukan RU-CENTER yang berlisensi.

Lisensi untuk kegiatan pengembangan dan (atau) produksi sarana untuk melindungi informasi rahasia
IZIN No. 0917 tanggal 20 September 2011

Lisensi untuk kegiatan yang berkaitan dengan perlindungan teknis informasi rahasia
IZIN No. 1594 tanggal 20 September 2011
Pemegang Hak Cipta: Perusahaan Saham Gabungan "Pusat Informasi Jaringan Regional"
Masa berlaku lisensi: tidak terbatas

Hosting informasi rahasia di RU-CENTER

Pada tanggal 6 Maret 2012, RU-CENTER mulai menyediakan layanan baru - hosting informasi rahasia.
Hosting informasi rahasia adalah penempatan situs web di Internet dengan menggunakan tindakan tambahan untuk melindungi informasi.
Layanan ini akan memungkinkan Anda untuk memenuhi sejumlah persyaratan wajib undang-undang saat ini (UU N 152-FZ), yang berlaku saat memproses data pribadi.
Selain metode dasar perlindungan data dan penyimpanan informasi yang digunakan di layanan RU-CENTER lainnya, hosting informasi rahasia menawarkan:

• peralatan bersertifikat khusus yang memungkinkan sejumlah tindakan untuk melindungi informasi selama akses jaringan;
• pembatasan tambahan akses fisik ke peralatan di mana layanan disediakan;
• sehari-hari cadangan(2 eksemplar);
• akuntansi media fisik yang digunakan;
• MySQL didedikasikan untuk setiap layanan.

Pertanyaan sebenarnya adalah, bagaimana kualitasnya?
Dan jika ada yang menemukan hoster lain dengan lisensi FSTEC untuk melindungi informasi rahasia, kirimkan di thread ini.

Sebelum kita mulai menganalisis 152-FZ, perlu Anda ketahui bahwa ada juga undang-undang 242-FZ yang mulai berlaku pada tanggal 1 September 2015, yang merupakan peraturan perundang-undangan yang mengubah sumber hukum mendasar lainnya - Undang-undang Federal No. , diadopsi pada Juli 2006. Penerapan undang-undang tentang “lokalisasi data pribadi” disertai dengan liputan luas atas inisiatif legislatif di berbagai media, yang mengakibatkan terciptanya dua mitos utama tentang Undang-Undang Federal No.242-FZ:

• Orang Rusia sekarang dilarang memposting data pribadi (situs web) mereka di luar negeri;
• Semua perusahaan asing dilarang menerima dan memproses data pribadi orang Rusia di server di luar Federasi Rusia.

Undang-undang Federal No. 242-FZ menetapkan bahwa “saat mengumpulkan data pribadi, termasuk melalui Internet, operator berkewajiban untuk memastikan pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), pengambilan data pribadi warga negara Rusia Federasi menggunakan database yang berlokasi di wilayah Federasi Rusia." Jika hukum tidak dipatuhi, akses ke situs yang melakukan pengumpulan dan penyimpanan utama data pribadi warga negara Rusia di database yang berlokasi di yurisdiksi Federasi Rusia mungkin dibatasi.

Bisakah saya menggunakan hosting di luar negeri?

Undang-undang tidak melarang penempatan situs web (database) apa pun pada server yang berlokasi di negara-negara yang telah menandatangani Konvensi Dewan Eropa ETS No. 108, serta transfer data pribadi lintas batas. Menurut Konvensi Dewan Eropa ETS No. 108 “Tentang perlindungan individu sehubungan dengan pemrosesan otomatis data pribadi”, yang diratifikasi oleh Rusia, Bagian 2 Pasal 12 menetapkan bahwa negara-negara yang telah mengaksesinya tidak akan melarang atau menempatkan di bawah kontrol khusus arus informasi data pribadi yang masuk ke wilayah pihak lain dalam Konvensi, dan Art. 25 melarang segala pensyaratan terhadap Konvensi.

Artinya penggunaan hosting di luar negeri (bukan di Federasi Rusia), serta penyimpanan dan pemrosesan data pribadi, dianggap sah jika hosting tersebut berlokasi di salah satu negara yang telah menandatangani Konvensi: Austria, Belgia, Bulgaria, Denmark, Inggris Raya, Hongaria, Jerman, Yunani, Irlandia, Spanyol, Italia, Latvia, Lithuania, Luksemburg, Malta, Belanda, Polandia, Portugal, Rumania, Slovakia, Slovenia, Finlandia, Prancis, Republik Ceko, Swedia, Estonia, serta berikut penjelasan Roskomnadzor , di negara-negara tersebut, memastikan perlindungan yang memadai atas data pribadi. Negara-negara ini diakui sebagai negara-negara yang memiliki peraturan nasional di bidang perlindungan data pribadi dan badan pengawas resmi untuk perlindungan hak-hak subjek data pribadi: Andorra, Argentina, Israel, Islandia, Kanada, Liechtenstein, Norwegia, Serbia, Kroasia, Montenegro, Swiss, Korea Selatan, Jepang.

Di mana sebaiknya data pribadi disimpan?

Secara fisik, situs dan database dapat dihosting oleh negara mana pun yang telah menandatangani Konvensi Dewan Eropa ETS No. 108. Undang-undang mengharuskan operator untuk memastikan pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (memperbarui, mengubah), pengambilan data pribadi warga negara Federasi Rusia menggunakan basis data yang terletak di wilayah Federasi Rusia, namun Undang-undang tidak melarang penyimpanan data pribadi orang Rusia di server di luar wilayah Federasi Rusia. Satu-satunya syarat adalah data pribadi harus dikumpulkan dan diproses terlebih dahulu di Federasi Rusia. Namun, kami ulangi, hal ini tidak melarang transfer data pribadi dan penggunaan data lintas batas negara di negara-negara yang telah menandatangani Konvensi.

Kepatuhan hosting dengan JIHOST 152-FZ

Jihost sepenuhnya mematuhi 152-FZ melalui penggunaan replikasi dan transfer data pribadi lintas batas.

Prinsip-prinsip operasi dijelaskan secara skematis di bawah ini:

Kepatuhan Hosting Jihost dengan 152-FZ Setiap perubahan dalam database situs, termasuk transfer informasi pribadi, database direplikasi ke server yang berlokasi di wilayah Federasi Rusia, sehingga memastikan relevansi dan kelengkapan data yang konstan sesuai dengan hukum. Kemudian data tersebut direplikasi ke database server lokal, tempat situs tersebut selanjutnya bekerja. Pola melingkar ini berlaku di mana saja. Apalagi jika hanya diperlukan pembacaan data, maka terjadi tanpa replikasi, langsung dari database lokal. Selain kepatuhan terhadap 152-FZ, skema ini pekerjaan meningkatkan kinerja, toleransi kesalahan, dan keandalan hosting.