โซลูชั่นคลาวด์ กฎหมายของรัฐบาลกลาง 152» ยกเว้นผู้ดำเนินการข้อมูลส่วนบุคคลจากค่าใช้จ่ายในการสร้างและเป็นเจ้าของโครงสร้างพื้นฐานด้านไอทีที่ปลอดภัย เพื่อให้สอดคล้องกับข้อกำหนดของ 152-FZ และ 242-FZ กล่าวอีกนัยหนึ่ง หากกฎหมายรัสเซียบังคับให้บริษัทของคุณใช้มาตรการเชิงองค์กรและทางเทคนิคที่จำเป็นทั้งหมดเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงที่ไม่ได้รับอนุญาตและผิดกฎหมาย ให้เลือก โซลูชั่นสำเร็จรูปจาก Cloud4Y

เหตุใดคุณจึงต้องมี “กฎหมาย Cloud Federal Law 152”:

• แยก “คลาวด์” ที่ปลอดภัย ได้รับการรับรองและรับรองแล้วสำหรับการโฮสต์ ISPD
• การรับรองกลไกการจำลองเสมือน: ไฮเปอร์ไวเซอร์ทรัพยากรคอมพิวเตอร์ ระบบการจัดการเครือข่ายข้อมูลเสมือนจริง แพลตฟอร์มการจำลองเสมือน และระบบจัดเก็บข้อมูล
• ให้บริการรักษาความปลอดภัย (ตามเครื่องมือรักษาความปลอดภัยที่ผ่านการรับรอง) ที่ลูกค้าโฮสต์ ISPD ในระบบคลาวด์สามารถใช้ได้

การจัดวาง ISPDn ในระบบคลาวด์:

• ปลดปล่อยผู้ดำเนินการข้อมูลส่วนบุคคลจากต้นทุนเงินทุนสำหรับการสร้างและการเป็นเจ้าของโครงสร้างพื้นฐานด้านไอทีที่ปลอดภัย
• ปลดผู้ปฏิบัติงานออกจากส่วนหนึ่งของความรับผิดทางกฎหมายสำหรับการปฏิบัติตามข้อกำหนดของ 152-FZ, 242-FZ;
• อนุญาตให้ใช้ซอฟต์แวร์ของผู้ให้บริการทั้งระบบและเฉพาะเจาะจง
• ช่วยให้คุณได้รับการสนับสนุนโครงสร้างพื้นฐานด้านไอทีโดยบุคลากรที่มีคุณสมบัติสูงตลอด 24 × 7

คุณสมบัติของ “คลาวด์ FZ 152”:

• การจัดวาง ISPD นั้นมีไว้เป็นบริการนั่นคือลูกค้าไม่มีต้นทุนเงินทุน
• Cloud4Y ทำหน้าที่เป็นผู้รับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ดำเนินการ
• ระบบได้รับการรับรองโดยผู้ได้รับใบอนุญาต FSTEC ซึ่งยืนยันการปฏิบัติตามข้อกำหนดด้านความปลอดภัย อุปกรณ์ป้องกันที่ใช้ก็มี ในลักษณะที่กำหนดการประเมินความสอดคล้องและมีใบรับรองที่ออกโดยหน่วยงานที่เกี่ยวข้องของ FSTEC และ FSB ของรัสเซีย
• ความพร้อมใช้งานของใบรับรองสำหรับองค์ประกอบคลาวด์ต่างๆ ที่ใช้ฟังก์ชันความปลอดภัย (ไฮเปอร์ไวเซอร์ เครื่องมือความปลอดภัยที่รวมอยู่ในระบบคลาวด์ เครื่องมือความปลอดภัยที่นำเสนอให้กับลูกค้าเป็นบริการรักษาความปลอดภัย
• ชุดมาตรการป้องกันองค์กรและทางเทคนิคเพื่อให้แน่ใจว่าลูกค้าจะปิดตัวลง ภัยคุกคามในปัจจุบันจากพนักงานบริการ จากลูกค้ารายอื่น และผู้ฝ่าฝืนรายอื่น

เอกสารกำกับดูแลและการจำแนกประเภท

เอกสารไวท์เปเปอร์เกี่ยวกับกฎหมายของรัฐบาลกลาง 152 - หนังสือที่สามารถอ้างอิงถึงในเรื่องการประมวลผลข้อมูลส่วนบุคคล

ใบอนุญาตและใบรับรอง

ราคา

โปรโมชั่น: ถึง 30 เมษายน 2563 "Cloud Federal Law 152" ในราคาปกติเท่านั้น FOREVER! รายละเอียด

หากต้องการรับการประมาณการต้นทุนสำหรับบริการ FZ-152 Cloud โปรดติดต่อผู้จัดการทางโทรศัพท์ +7 495 268 04 12 หรือวิธีอื่นใดที่สะดวกที่มีอยู่ในส่วนนี้

อ่านรายการกฎหมายที่บังคับใช้ซึ่งกำหนดข้อกำหนดบังคับสำหรับการดำเนินกิจกรรม นิติบุคคลและผู้ประกอบการแต่ละรายเพื่อให้สอดคล้องกับการประมวลผลข้อมูลส่วนบุคคลตามข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียในด้านข้อมูลส่วนบุคคลตามลิงค์

คำถามที่พบบ่อย (FAQ)

2. ทำไมเราถึงต้องการสิ่งนี้?
เนื่องจากคุณเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ผลของกฎหมายของรัฐบาลกลางหมายเลข 152 จึงมีผลกับคุณโดยอัตโนมัติ และหน่วยงานของรัฐที่เป็นเจ้าของระบบข้อมูลของรัฐก็อยู่ภายใต้คำสั่งที่ 17 ของ FSTEC เช่นกัน

3.ราคาเท่าไหร่คะ?
ต้นทุนจะคำนวณเป็นรายบุคคลสำหรับลูกค้า โดยพิจารณาจากปริมาณ ระดับความปลอดภัย และระยะเวลาในการจัดวาง

4.ช่วยเตรียมเอกสารได้ไหม?
ใช่ เราทำได้ (เรามีเทมเพลตสำเร็จรูปหรือดำเนินการตามกระบวนการเตรียมการแบบครบวงจรทั้งหมด)

5. ช่องทางการส่งข้อมูลมีการจัดการอย่างไร?
ช่องที่เข้ารหัสตาม GOST ของรัสเซียนั้นถูกใช้ผ่านผู้ประสานงาน VipNet

หากคุณไม่พบคำตอบสำหรับคำถามของคุณ โปรดไปที่คำถามของเรา ถามที่ปรึกษาของเราบนเว็บไซต์โดยใช้แชทออนไลน์ หรือเขียนคำขอรับการสนับสนุนโดยใช้

การแก้ไขกฎหมายของรัฐบาลกลางมีผลใช้บังคับเมื่อวันที่ 1 กันยายน 2015 “ข้อมูลส่วนบุคคล” (กฎหมาย 152 กฎหมายของรัฐบาลกลาง).
ตามกฎหมาย ข้อมูลที่ลูกค้าป้อนบนเว็บไซต์ของคุณจะต้องเก็บไว้ในสหพันธรัฐรัสเซีย
และนั่นไม่ใช่ทั้งหมด อ่านว่ากฎหมายนี้จะส่งผลต่อใครและต้องทำอย่างไรในบทความของเรา

เมื่อวันที่ 1 กันยายน 2558 การแก้ไขกฎหมายว่าด้วยข้อมูลส่วนบุคคลมีผลใช้บังคับ
ตามกฎหมายนี้ ข้อมูลทั้งหมดที่ลูกค้าป้อนบนเว็บไซต์ของคุณซึ่งเป็นข้อมูลส่วนบุคคลโดยเฉพาะ (รายละเอียดหนังสือเดินทาง ที่อยู่ รวมถึงอีเมล ข้อมูลการชำระเงิน ฯลฯ) จะต้องถูกจัดเก็บไว้ในอาณาเขตของสหพันธรัฐรัสเซีย

นี่เป็นข้อความที่ตัดตอนมาจากกฎหมายมาตรา 152 ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

นั่นไม่ใช่ทั้งหมดในเดือนกุมภาพันธ์ พ.ศ. 2560 ได้มีการแก้ไขเพิ่มเติมกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล การแก้ไขเหล่านี้บังคับให้เจ้าของเว็บไซต์และร้านค้าออนไลน์ (ผู้ให้บริการ) ทั้งหมดต้องแจ้งให้ผู้ใช้ทราบว่าเมื่อป้อนข้อมูลส่วนบุคคลบนเว็บไซต์ พวกเขายินยอมให้มีการรวบรวม ประมวลผล และจัดเก็บข้อมูล

หากคุณเพิกเฉยต่อการแก้ไขกฎหมายเหล่านี้ คุณเสี่ยงที่จะถูกปรับสูงถึง 75,000 รูเบิล สำหรับการละเมิดหนึ่งครั้ง และหากมีมากกว่านั้น จำนวนค่าปรับจะเพิ่มขึ้น (ในการละเมิดกฎหมายของสหพันธรัฐรัสเซียในด้านข้อมูลส่วนบุคคล - มาตรา 13.11 แห่งประมวลกฎหมายปกครองแห่งสหพันธรัฐรัสเซีย)

ความเสี่ยงในความล้มเหลวในการปฏิบัติตามกฎหมายข้อมูลส่วนบุคคลคืออะไร?

นอกเหนือจากความรับผิดทางการบริหารแล้ว ยังอาจมีความรับผิดทางอาญาอีกด้วย ดังนั้น หากคุณก่อให้เกิดความเสียหายทางศีลธรรมต่อผู้ใช้ที่ข้อมูลส่วนบุคคล เช่น ตกไปอยู่ในมือของคนผิด
สำหรับการละเมิดดังกล่าว Roskomnadzor สามารถบล็อกไซต์และเพิ่มคุณในรายการที่เรียกว่า "บัญชีดำ"
แล้วเตรียมตัวให้พร้อม การตรวจสอบเพิ่มเติมจาก Roskomnadzor.

จะทำอย่างไร?

1. สิ่งแรกที่ต้องทำคือแจ้งให้ผู้ใช้ทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล- หากคุณยังไม่ได้ทำ ตอนนี้ก็ถึงเวลาแล้ว พัฒนาและโพสต์เอกสารเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลบนเว็บไซต์ และยังได้รับความยินยอมจากผู้ใช้ในการประมวลผลดังกล่าว (เช่น โดยการวางช่องทำเครื่องหมายพร้อมข้อมูลใต้แบบฟอร์มการลงทะเบียนแต่ละฉบับ)
   โดยทั่วไปสามารถทำได้หลายวิธี ขึ้นอยู่กับเป้าหมายและลักษณะธุรกิจของคุณ ตัวอย่างเช่น โอโซนเผยแพร่นโยบายความเป็นส่วนตัวบนเว็บไซต์ และเมื่อลงทะเบียนผู้ใช้ จะยินยอมในการประมวลผลข้อมูลส่วนบุคคล หรือสามารถวางข้อมูลเกี่ยวกับการรวบรวม PD ไว้ภายในได้ ข้อเสนอสาธารณะเช่นเดียวกับที่ Lamoda ทำและรวบรวมความยินยอมในการดำเนินการระหว่างการลงทะเบียน หรือเหมือนกับ SberBank ที่ใส่ข้อมูลดังกล่าวไว้ในข้อตกลง
2. เตรียมเอกสารภายในการควบคุมกฎเกณฑ์สำหรับการดำเนินการตามกฎหมายนี้ ซึ่งรวมถึงคำสั่ง คำแนะนำ และการแต่งตั้งผู้รับผิดชอบในการจัดเก็บ ข้อมูลส่วนบุคคล.
3. สิ่งสำคัญมากคือต้องแน่ใจว่าข้อมูลถูกเก็บไว้ในรัสเซีย (บนเซิร์ฟเวอร์รัสเซีย)
   สิ่งนี้จำเป็นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลผู้ใช้ (ส่วนที่ 5 ของมาตรา 18 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล")
   ดังนั้น โปรดตรวจสอบกับผู้ให้บริการโฮสติ้งของคุณเกี่ยวกับที่อยู่ของตำแหน่งของเซิร์ฟเวอร์ที่โฮสต์ไซต์ของคุณ และทำข้อตกลงกับผู้ให้บริการดังกล่าว โดยจะระบุที่อยู่นี้ คุณจะต้องใช้ที่อยู่นี้เพื่อกรอกการแจ้งเตือนไปยัง Roskomnadzor หากคุณมีเซิร์ฟเวอร์ของคุณเอง อย่าลืมบันทึกเอกสารไว้ด้วย Roskomnadzor อาจต้องการสิ่งเหล่านี้ในระหว่างการตรวจสอบที่เป็นไปได้ เช่นเดียวกับสัญญากับผู้ให้บริการโฮสติ้ง

   หากผู้ให้บริการโฮสติ้งของคุณวางเซิร์ฟเวอร์ไว้ในศูนย์ข้อมูลรัสเซีย ทุกอย่างก็เรียบร้อยดี
   นี่เป็นวิธีที่ง่ายที่สุดในการปฏิบัติตามข้อกำหนดทางกฎหมายโดยการซื้อโฮสติ้งจากผู้ให้บริการในประเทศ

   มีวิธีอื่นที่เรียกว่าการถ่ายโอนข้อมูลข้ามพรมแดน สิ่งนี้ไม่ได้เป็นสิ่งต้องห้ามตามกฎหมาย อนุญาตให้จัดเก็บข้อมูลส่วนบุคคลในต่างประเทศได้ แต่มีข้อจำกัดบางประการ ดังนั้นไม่ว่าในกรณีใด บริษัท นอกเหนือจากการจัดเก็บข้อมูลส่วนบุคคลในต่างประเทศแล้ว บริษัท จะต้องมีฐานข้อมูลดังกล่าวในอาณาเขตของสหพันธรัฐรัสเซีย แต่ในขณะเดียวกัน ฐานข้อมูลก็ควรมีความสมบูรณ์และทันสมัยที่สุดเท่าที่จะเป็นไปได้ รูปแบบที่นี่คือ: ฐานข้อมูลทั้งหมดที่มีข้อมูลส่วนบุคคลจะถูกรวบรวม จัดระบบ และจัดเก็บในอาณาเขตของสหพันธรัฐรัสเซีย จากนั้นข้อมูลจึงสามารถถ่ายโอนไปต่างประเทศได้ สิ่งสำคัญคือต้องเข้าใจที่นี่ว่าแหล่งที่มาหลักคือฐานในอาณาเขตของสหพันธรัฐรัสเซีย

4. หลังจากนั้นให้เตรียมและส่งการแจ้งเตือนไปยัง Roskomnadzor
   สามารถทำได้ผ่านแบบฟอร์มอิเล็กทรอนิกส์บนเว็บไซต์:

   ไม่จำเป็นต้องส่งการแจ้งเตือนหาก:

   
   → คุณประมวลผลข้อมูลพนักงานเท่านั้น

   → คุณทำข้อตกลงกับบุคคลใดบุคคลหนึ่งและข้อมูลที่ระบุในข้อตกลงจะถูกใช้สำหรับการดำเนินการตามข้อตกลงนี้เท่านั้น เช่น ข้อมูลจะไม่ถูกเผยแพร่หรือถ่ายโอนไปยังบุคคลที่สามโดยไม่ได้รับความยินยอมจากเรื่องของข้อมูลส่วนบุคคล (ประเด็นนี้ไม่ชัดเจนเนื่องจากอาจมีคำถามเกิดขึ้นเนื่องจากลักษณะเฉพาะของธุรกิจ สิ่งสำคัญคือต้องจัดทำข้อตกลงอย่างถูกต้องโดยคำนึงถึงทั้งหมด ความแตกต่างที่เป็นไปตามข้อกำหนดของกฎหมายดังนั้นเราจึงแนะนำให้ปรึกษากับทนายความและหากไม่มีคำตอบที่ชัดเจนก็ควรแจ้งล่วงหน้า)

   → หากข้อมูลที่รวบรวมมีเพียงชื่อเต็มของผู้ใช้

   → หากผู้ใช้เองได้เปิดเผยข้อมูลส่วนบุคคลของเขาต่อสาธารณะ

โปรดทราบที่เรากำลังพูดถึงเฉพาะกรณีที่ไม่จำเป็นต้องส่งการแจ้งเตือน ข้อมูลข้างต้นยังคงเป็นข้อมูลส่วนบุคคลและผู้ใช้จะต้องได้รับแจ้งเกี่ยวกับข้อมูลดังกล่าว

แทนที่จะสรุป

สำหรับเจ้าของเว็บไซต์สิ่งที่สำคัญที่สุดคือการจัดเรียงทุกอย่างถูกต้อง การทำเช่นนี้จะเป็นการปกป้องตัวเองจากค่าปรับและความรับผิดอื่น ๆ และได้รับความไว้วางใจจากลูกค้าของคุณ
หมายเหตุเล็กๆ น้อยๆ:เราขอแนะนำไม่ให้คุณทำสำเนาคาร์บอน เช่น เช่นเดียวกับคู่แข่งของคุณ ซึ่งแต่ละอย่างก็มีข้อมูลเฉพาะของตัวเอง ดีกว่าที่จะใช้เวลาในการพัฒนาเอกสารสำหรับธุรกิจของคุณโดยเฉพาะ ดีกว่าจ่ายค่าปรับในภายหลัง และหากคุณยังมีคำถาม ขอความช่วยเหลือจากทนายความของคุณ เนื่องจากบทความนี้ไม่สามารถทดแทนผู้เชี่ยวชาญได้ซึ่งจะช่วยให้คุณทำทุกอย่างตามความจำเป็นและเพื่อเป้าหมายและวัตถุประสงค์ของคุณโดยเฉพาะ

• แบ่งปัน:

• กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ลงวันที่ 27 กรกฎาคม 2549 N 152-FZ

สิ่งพิมพ์

ตั้งแต่เดือนกันยายน 2558 กฎระเบียบเกี่ยวกับการแปลพื้นที่จัดเก็บข้อมูลส่วนบุคคลมีผลบังคับใช้ในสหพันธรัฐรัสเซีย (242-FZ ลงวันที่ 21 กรกฎาคม 2014) แน่นอนว่านวัตกรรมนี้กลายเป็นหนึ่งในตัวขับเคลื่อนหลักสำหรับ ตลาดรัสเซียโฮสติ้งและการประมวลผลแบบคลาวด์ บังคับให้ทั้งผู้ให้บริการข้อมูลส่วนบุคคลและผู้ให้บริการโฮสติ้งต้องคิดอีกครั้งเกี่ยวกับวิธีการรับประกันการปฏิบัติตามข้อกำหนดของหน่วยงานที่ดูเหมือนเรียบง่ายเช่นเว็บไซต์ที่มีข้อกำหนดของกฎหมายว่าด้วยข้อมูลส่วนบุคคล

แม้ว่ากฎหมายของรัฐบาลกลางหมายเลข 152-FZ เมื่อวันที่ 27 กรกฎาคม 2549 จะมีการใช้ "ข้อมูลส่วนบุคคล" มานานแล้ว แต่ไม่ใช่ทุกคนที่ปรับตัวและเรียนรู้ที่จะนำไปใช้ ขอบคุณส่วนหนึ่งจากจำนวนมาก เอกสารกำกับดูแลและการเปลี่ยนแปลงเป็นประจำ ปัจจุบันพวกเขามาจากสี่แผนก: รัฐบาล, Roskomnadzor, FSTEC และ FSB และยังต้องขอบคุณตำแหน่งที่ค่อนข้างสมดุลของผู้ควบคุมซึ่งแทนที่จะใช้นโยบายการตอกตะปูเลือกกลยุทธ์ในการขันสกรูให้แน่น แต่หลีกเลี่ยงไม่ได้

หากธุรกิจขนาดใหญ่และหน่วยงานของรัฐในฐานะผู้เข้าร่วมตลาดที่มีระเบียบวินัยมากที่สุด ได้นำระบบข้อมูลส่วนบุคคล (PDIS) ของตนไปปฏิบัติตามกฎหมายเป็นส่วนใหญ่แล้ว ธุรกิจขนาดกลางและขนาดเล็กก็เพิ่งเริ่มตระหนักว่าสำหรับ การดำรงอยู่และการพัฒนาต่อไปของพวกเขาพวกเขาต้องการทุกสิ่ง - เรายังต้องออกมาจากเงามืดรวมถึงในแง่ของการดำเนินการตามกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งเมื่อเงานี้ยังคงน้อยลงเรื่อย ๆ และเริ่มที่จะไม่เพียงพอแล้ว สำหรับทุกคน

เจ้าของเว็บไซต์ควรทำอย่างไร โดยที่ข้อมูลส่วนบุคคลของผู้ใช้ถูกรวบรวมและจัดเก็บ (เช่น ในบัญชีส่วนตัวของร้านค้าออนไลน์) ลองคิดออกด้วยกัน

หากเว็บไซต์เก็บรวบรวมข้อมูลส่วนบุคคล ก็จะเป็นระบบข้อมูลข้อมูลส่วนบุคคลและอยู่ภายใต้บังคับ 152-FZ

นี่คือสิ่งที่ Roskomnadzor พูดเกี่ยวกับเรื่องนี้: “ ตามข้อ 9 ของศิลปะ 3 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ระบบข้อมูลส่วนบุคคลคือชุดของข้อมูลส่วนบุคคลที่มีอยู่ในฐานข้อมูลและรับรองการประมวลผล เทคโนโลยีสารสนเทศและ วิธีการทางเทคนิค- หากเว็บไซต์ตรงตามข้อกำหนดที่กำหนดก็จะเป็นระบบสารสนเทศ”

เราทุกคนรู้โดยสัญชาตญาณว่าข้อมูลส่วนบุคคลคืออะไร แต่สิ่งสำคัญคือต้องเข้าใจว่าข้อมูลดังกล่าวคืออะไรจากมุมมองทางกฎหมาย ตามวรรค 1 ของข้อ 3 ของกฎหมายของรัฐบาลกลางหมายเลข 152-FZ ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลที่ระบุหรือระบุตัวตนได้ นั่นคือเกือบทุกอย่าง ตั้งแต่หมายเลขประจำตัวผู้เสียภาษีไปจนถึงสีผมและขนาดรองเท้า ไม่ต้องพูดถึงหมายเลขโทรศัพท์และที่อยู่ ไม่ว่าจะเป็นอีเมลหรือไปรษณีย์

ดังนั้นร้านค้าออนไลน์หรือเพียงเว็บไซต์ที่มีบัญชีส่วนตัวหรือการลงทะเบียนผู้ใช้ การสั่งซื้อออนไลน์ การจอง การชำระเงิน การจัดส่ง เป็นต้น ฯลฯ ในแง่ของ 152-FZ ทั้งหมดนี้เป็นระบบข้อมูลข้อมูลส่วนบุคคล (ISPD) และเจ้าของคือผู้ดำเนินการข้อมูลส่วนบุคคล

กฎหมายว่าด้วยข้อมูลส่วนบุคคลคำนึงถึงแนวโน้มในการประมวลผลแบบคลาวด์และการเอาท์ซอร์ส

มีการกล่าวและเขียนมากมายเกี่ยวกับความเกี่ยวข้องและโอกาสของการเอาท์ซอร์สด้านไอที โดยเฉพาะอย่างยิ่งสำหรับบริษัทในภาคองค์กรขนาดเล็กและขนาดกลาง ดังนั้นในบทความนี้ ฉันจะไม่กวนใจผู้อ่าน "สำหรับระบบคลาวด์" ยิ่งไปกว่านั้น เราทุกคนรู้ดีอยู่แล้วว่าไซต์ส่วนใหญ่บนอินเทอร์เน็ตนั้นโฮสต์อยู่บนเว็บเซิร์ฟเวอร์สาธารณะของผู้ให้บริการโฮสติ้ง

มีเหตุผลหลายประการสำหรับเรื่องนี้ แต่ที่สำคัญที่สุดคือความปรารถนาทั่วไปของบริษัทต่างๆ ที่จะประหยัดเงินและรับบริการเว็บราคาถูกที่มีความพร้อมใช้งานสูง การสร้างโครงสร้างพื้นฐานการประมวลผลของคุณเองด้วยความน่าเชื่อถืออย่างน้อยเทียบเท่ากับศูนย์ข้อมูลมาตรฐาน Tier-III มีค่าใช้จ่ายหลายล้านรูเบิล ขั้นแรก คุณต้องมีห้องที่เหมาะสม ไม่ใช่ทางเดิน ไม่ใช่ห้องใต้ดิน ไม่ใช่ห้องใต้หลังคา เพื่อไม่ให้น้ำท่วมและเพื่อให้คนแปลกหน้าไม่สามารถเข้าถึงได้ จำเป็นต้องมีการระบายอากาศและการปรับอากาศ และมีความซ้ำซ้อนบางอย่าง มีความจำเป็นต้องจัดระเบียบแหล่งจ่ายไฟอัตโนมัติและสำรอง ในการทำเช่นนี้คุณต้องติดตั้งชุดเครื่องกำเนิดไฟฟ้าดีเซลที่ไหนสักแห่ง สุดท้ายนี้ จำเป็นต้องมีเจ้าหน้าที่รักษาความปลอดภัยและบำรุงรักษาทางกายภาพ นอกจากนี้ เพื่อรับประกันความพร้อมในการให้บริการ คุณจะต้องซื้ออะไหล่ครบชุดสำหรับเซิร์ฟเวอร์และอุปกรณ์เครือข่าย นั่นคือแทนที่จะซื้อเซิร์ฟเวอร์เดียว คุณต้องซื้อสองเซิร์ฟเวอร์

โดยธรรมชาติแล้ว ด้วยการพัฒนาของคลาวด์คอมพิวติ้ง เทคโนโลยีเวอร์ช่วลไลเซชั่น และแนวโน้มที่ชัดเจนต่อการเอาท์ซอร์ส บริษัทจำนวนมากขึ้นเรื่อยๆ จากภาคธุรกิจ SMB พยายามที่จะถ่ายโอนระบบข้อมูลจากหน่วยระบบ "ใต้โต๊ะ" ไปยังทรัพยากรคลาวด์คอมพิวติ้งที่ตั้งอยู่ในศูนย์คอมพิวเตอร์ที่ ตรงตามมาตรฐานอุตสาหกรรมสมัยใหม่

ใน ระบบสารสนเทศองค์กรใดๆ จัดเก็บและประมวลผลข้อมูลส่วนบุคคลจำนวนหนึ่ง นี่อาจเป็นทั้งข้อมูลส่วนบุคคลของพนักงานบริษัทและข้อมูลของลูกค้าหรือคู่สัญญา ระบบข้อมูลองค์กรมีความหลากหลายทั้งในด้านการใช้งานและเทคโนโลยี นี่อาจเป็นระบบบัญชีอัตโนมัติเช่น 1C และเว็บไซต์ด้วย บัญชีส่วนตัวผู้ใช้และร้านค้าออนไลน์ ในเวลาเดียวกันระบบข้อมูลเหล่านี้เชื่อมโยงถึงกันตามกฎ - ส่งข้อมูลถึงกันรวมถึงข้อมูลส่วนบุคคลด้วย

ตามข้อ 3 ของมาตรา 3 ของ 152-FZ การประมวลผลข้อมูลส่วนบุคคลคือการกระทำ (การดำเนินการ) หรือชุดของการดำเนินการ (การดำเนินการ) ใด ๆ ที่ดำเนินการโดยใช้เครื่องมืออัตโนมัติ หรือโดยไม่ต้องใช้เครื่องมือดังกล่าวกับข้อมูลส่วนบุคคล รวมถึงการรวบรวม การบันทึก , การจัดระบบ, การสะสม, การจัดเก็บ, การชี้แจง (การอัปเดต, การเปลี่ยนแปลง), การสกัด, การใช้, การถ่ายโอน (การแจกจ่าย, การจัดเตรียม, การเข้าถึง), การลดความเป็นส่วนบุคคล, การบล็อก, การลบ, การทำลายข้อมูลส่วนบุคคล

ดังนั้น การวาง ISPD บนเซิร์ฟเวอร์ของผู้ให้บริการจึงไม่มีอะไรมากไปกว่าการจ้างฟังก์ชันสำหรับการประมวลผลข้อมูลส่วนบุคคลเป็นอย่างน้อย เช่น การบันทึก การจัดเก็บ การอ่าน (การดึงข้อมูล) การถ่ายโอน และการลบ

ตามข้อ 2 ของมาตรา 3 ของ 152-FZ ผู้ดำเนินการ (ข้อมูลส่วนบุคคล) คือบุคคลตามกฎหมายหรือบุคคลธรรมดาที่จัดระเบียบและ (หรือ) ดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างเป็นอิสระหรือร่วมกับบุคคลอื่น รวมถึง กำหนดวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล องค์ประกอบของข้อมูลส่วนบุคคล ขึ้นอยู่กับการประมวลผล การดำเนินการ (การดำเนินการ) ที่ดำเนินการกับข้อมูลส่วนบุคคล

ดังนั้น ผู้ให้บริการโฮสติ้งซึ่งรับหน้าที่จัดเก็บและส่งข้อมูลส่วนบุคคล เป็นผู้ดำเนินการ พร้อมด้วยเจ้าของไซต์ (ระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคลนี้) และตามกฎหมาย มีหน้าที่ต้องดำเนินการบางอย่าง มาตรการรักษาความปลอดภัยของตน ในความเป็นจริงทุกอย่างไม่ได้เลวร้ายนักและเราต้องจ่ายส่วยให้กับผู้เขียนกฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" หมายเลข 152-FZ และกฤษฎีการัฐบาลหมายเลข 1119 ลงวันที่ 1 พฤศจิกายน 2555 ซึ่งกำหนดให้มีการถ่ายโอนโดยผู้ดำเนินการ ข้อมูลส่วนบุคคลของฟังก์ชันส่วนหนึ่งสำหรับการประมวลผลไปจนถึงการเอาท์ซอร์สให้กับองค์กรบุคคลที่สาม

กฎระเบียบทางกฎหมายของการโฮสต์เว็บไซต์ที่ประมวลผลข้อมูลส่วนบุคคลในการโฮสต์ที่จัดทำโดยบุคคลที่สาม

ผู้ดำเนินการข้อมูลส่วนบุคคลมีสิทธิ์ที่จะมอบความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่นโดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามข้อตกลง (คำสั่ง) ที่สรุปกับบุคคลนี้ บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ประกอบการมีหน้าที่ต้องปฏิบัติตามหลักการและกฎเกณฑ์ในการประมวลผลข้อมูลส่วนบุคคลที่กำหนดโดยกฎหมายปัจจุบัน คำสั่งของผู้ดำเนินการจะต้องกำหนดรายการการดำเนินการกับข้อมูลส่วนบุคคลที่จะดำเนินการโดยบุคคลที่ประมวลผลข้อมูลส่วนบุคคลและวัตถุประสงค์ในการประมวลผลจะต้องกำหนดภาระหน้าที่ของบุคคลดังกล่าวในการรักษาความลับของข้อมูลส่วนบุคคลและรับรองความปลอดภัยของข้อมูลส่วนบุคคล ในระหว่างการประมวลผล และต้องระบุข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลที่ถูกประมวลผล (ข้อ 3 มาตรา 6 152-FZ)

ดังนั้น ผู้ให้บริการโฮสติ้ง เช่นเดียวกับเจ้าของเว็บไซต์ คือผู้ดำเนินการข้อมูลส่วนบุคคลที่ประมวลผลบนเว็บไซต์ และรับผิดชอบต่อความพร้อมใช้งาน ความปลอดภัย และการรักษาความปลอดภัย มีความแตกต่างเพียงอย่างเดียว - เจ้าของไซต์ต้องรับผิดชอบต่อข้อมูลส่วนบุคคล และในกรณีที่กฎหมายกำหนด จะต้องได้รับอนุญาตจากอาสาสมัครในการประมวลผลข้อมูลส่วนบุคคล และผู้ให้บริการโฮสติ้งในฐานะบุคคลที่ได้รับอนุญาต รับผิดชอบต่อเจ้าของไซต์และรับข้อมูลส่วนบุคคลจากเขาและจัดเก็บข้อมูลเหล่านั้น แต่ไม่รับผิดชอบต่อการได้รับอนุญาตจากบุคคลดังกล่าว

โดยทั่วไปแล้ว หัวข้อของการได้รับความยินยอมจากอาสาสมัครในการประมวลผลข้อมูลส่วนบุคคลนั้นมีขนาดใหญ่และน่าสนใจมากและแน่นอนว่าสมควรได้รับบทความแยกต่างหาก

การกำหนดขอบเขตความรับผิดชอบของผู้ให้บริการโฮสติ้งและเจ้าของเว็บไซต์ในการปฏิบัติตามข้อกำหนดการปกป้องข้อมูลส่วนบุคคล

ยอมรับว่าจะไม่ยุติธรรมที่จะโอนความรับผิดชอบทั้งหมดสำหรับความปลอดภัยของข้อมูลส่วนบุคคลไปยังผู้ให้บริการโฮสติ้ง ท้ายที่สุดแล้วเขามักจะไม่รู้ว่าใคร อย่างไร และเว็บไซต์ที่โฮสต์บนเซิร์ฟเวอร์ของเขาเขียนไว้บนเซิร์ฟเวอร์ของเขาอย่างไร รหัสผ่านใดที่ใช้ในการอนุญาตการเข้าถึงข้อมูลส่วนบุคคล ในรูปแบบใดที่จัดเก็บ และไม่ว่าจะถูกใช้เลยหรือไม่

ตามกฤษฎีกาของรัฐบาลหมายเลข 1119 (ข้อ 13 - 16) เพื่อให้มั่นใจถึงระดับความปลอดภัยของข้อมูลส่วนบุคคลที่ต้องการเมื่อประมวลผลในระบบข้อมูล จะต้องปฏิบัติตามข้อกำหนดต่อไปนี้:

ผู้ให้บริการโฮสติ้งจะต้องได้รับใบอนุญาตจาก Roskomnadzor เพื่อให้บริการด้านการสื่อสาร

ดังที่คุณทราบ เพื่อให้บริการด้านการสื่อสาร จำเป็นต้องมีใบอนุญาต Roskomnadzor สิ่งนี้ตามมาจากตัวอย่างจากวรรค 36 ของมาตรา 12 ของกฎหมายของรัฐบาลกลางวันที่ 4 พฤษภาคม 2554 ฉบับที่ 99-FZ “เกี่ยวกับการอนุญาต แต่ละสายพันธุ์กิจกรรม."

ตามรายชื่อบริการการสื่อสารที่รวมอยู่ในใบอนุญาตสำหรับการดำเนินกิจกรรมในด้านการให้บริการการสื่อสารซึ่งได้รับอนุมัติโดยพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 18 กุมภาพันธ์ 2548 ฉบับที่ 87) บริการสื่อสารที่ได้รับใบอนุญาตประกอบด้วย สิ่งอื่นๆ:

• บริการสื่อสารทางเทเลเมติกส์ (ซึ่งรวมถึงโฮสติ้ง)
• บริการสื่อสารสำหรับการส่งข้อมูล ยกเว้นบริการสื่อสารสำหรับการส่งข้อมูลเพื่อวัตถุประสงค์ในการส่งข้อมูลเสียง

หากต้องการโฮสต์ไซต์ที่ประมวลผลข้อมูลส่วนบุคคล ผู้ให้บริการโฮสต์ต้องมีใบอนุญาต FSTEC

บริการของรัฐบาลกลางเพื่อการควบคุมทางเทคนิคและการส่งออก (FSTEC ของรัสเซีย) ควบคุมกิจกรรมที่เกี่ยวข้องกับการคุ้มครองทางเทคนิคของข้อมูล จัดการกับปัญหาของนโยบายของรัฐในด้านกฎหมาย การกำหนดมาตรฐาน การออกใบอนุญาต และยังดำเนินการตรวจสอบที่เกี่ยวข้องอีกด้วย

เนื่องจากผู้ให้บริการโฮสติ้งในฐานะบุคคลที่ได้รับอนุญาตภายใต้ข้อตกลงการโอนเป็นผู้ดำเนินการข้อมูลส่วนบุคคล เขาจึงมีหน้าที่ต้องใช้มาตรการทางเทคนิคเพื่อปกป้องพวกเขา กล่าวคือ เพื่อให้บริการสำหรับ การป้องกันทางเทคนิคข้อมูลที่ตามกฎระเบียบเกี่ยวกับกิจกรรมการออกใบอนุญาตสำหรับการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับซึ่งได้รับอนุมัติโดยพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 3 กุมภาพันธ์ 2555 N 79 เกี่ยวข้องกับประเภทของกิจกรรมที่ได้รับใบอนุญาต

มาตรการขององค์กรและทางเทคนิคเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคล ซึ่งได้รับการอนุมัติโดยคำสั่ง FSTEC หมายเลข 21 ลงวันที่ 18 กุมภาพันธ์ 2013 รวมถึง:

• การระบุและการรับรองความถูกต้องของหัวข้อการเข้าถึงและวัตถุการเข้าถึง
• การควบคุมการเข้าถึงการเข้าถึงวัตถุเพื่อเข้าถึงวัตถุ
• ข้อจำกัดของสภาพแวดล้อมซอฟต์แวร์
• การป้องกันสื่อบันทึกข้อมูลคอมพิวเตอร์
• การบันทึกเหตุการณ์ด้านความปลอดภัย
• การป้องกันไวรัส
• การตรวจจับการบุกรุก (การป้องกัน);
• การควบคุม (การวิเคราะห์) ความปลอดภัยของข้อมูลส่วนบุคคล
• สร้างความมั่นใจในความสมบูรณ์ของระบบข้อมูลและข้อมูลส่วนบุคคล
• รับรองความพร้อมใช้งานของข้อมูลส่วนบุคคล
• การปกป้องสภาพแวดล้อมการจำลองเสมือน
• การคุ้มครองวิธีการทางเทคนิค
• การปกป้องระบบสารสนเทศ ระบบการสื่อสารและการส่งข้อมูล
• การระบุเหตุการณ์และการตอบสนองต่อเหตุการณ์เหล่านั้น
• การจัดการการกำหนดค่าของ ISPDn และ SZPDn

เพื่อดำเนินงานเพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคล ได้รับอนุญาตให้ดำเนินการตามสัญญากับองค์กรบุคคลที่สามที่ได้รับใบอนุญาตให้ดำเนินการในการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับ (ข้อ 2 วรรค 2 ของคำสั่ง FSTEC หมายเลข 21 ).

มาตรการหลายอย่างเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลกำหนดให้ผู้ให้บริการโฮสติ้งต้องมีใบอนุญาต FSB

มาตรการเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลส่วนบุคคลในระดับที่เหมาะสมตามคำสั่ง FSTEC หมายเลข 21 รวมถึงมาตรการดังต่อไปนี้:

• การดำเนินการป้องกัน การเข้าถึงระยะไกลหัวข้อของการเข้าถึงวัตถุที่เข้าถึงผ่านข้อมูลภายนอกและเครือข่ายโทรคมนาคม (UPD.13)
• สร้างความมั่นใจในการปกป้องข้อมูลส่วนบุคคลจากการเปิดเผย การดัดแปลง และการจัดเก็บภาษี (การป้อนข้อมูลที่เป็นเท็จ) ในระหว่างการส่ง (การเตรียมการสำหรับการส่งข้อมูล) ผ่านช่องทางการสื่อสารที่ขยายออกไปนอกพื้นที่ควบคุม รวมถึงช่องทางการสื่อสารไร้สาย (ZIS.3)
• รับประกันความถูกต้อง การเชื่อมต่อเครือข่าย(เซสชันการโต้ตอบ) รวมถึงการป้องกันการปลอมแปลง อุปกรณ์เครือข่ายและบริการ (ZIS.11);

จากสาระสำคัญของมาตรการเหล่านี้ เป็นที่ชัดเจนว่าการดำเนินการดังกล่าวจำเป็นต้องใช้เครื่องมือปกป้องข้อมูลการเข้ารหัส (CIPF) ดังที่ทราบ ปัญหาที่เกี่ยวข้องกับการใช้ CIPF ในสหพันธรัฐรัสเซียได้รับการควบคุมโดย Federal Security Service (FSB ของรัสเซีย)

ตามข้อบังคับเกี่ยวกับกิจกรรมการออกใบอนุญาตสำหรับการพัฒนา การผลิต การแจกจ่ายเครื่องมือเข้ารหัส (การเข้ารหัส) ที่ได้รับอนุมัติโดยพระราชกฤษฎีกาของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 16 เมษายน 2555 ฉบับที่ 313 รายการงานที่ประกอบเป็นกิจกรรมที่ได้รับใบอนุญาต รวมถึง:

• การพัฒนาระบบข้อมูลที่ปลอดภัยและโทรคมนาคมโดยใช้เครื่องมือเข้ารหัส
• การติดตั้ง การติดตั้ง การปรับเปลี่ยนวิธีการเข้ารหัสและข้อมูลและระบบโทรคมนาคมที่ได้รับการคุ้มครองเมื่อใช้งาน
• งานเกี่ยวกับการบำรุงรักษาวิธีการเข้ารหัส
• การถ่ายโอนวิธีการเข้ารหัสและข้อมูลและระบบโทรคมนาคมที่ได้รับการคุ้มครองเมื่อใช้งาน
• ให้บริการเข้ารหัสข้อมูล

ศูนย์คอมพิวเตอร์ของผู้ให้บริการโฮสติ้งจะต้องตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย

เมื่อวันที่ 1 กันยายน 2558 สหพันธรัฐรัสเซียมีผลบังคับใช้ในการแปลพื้นที่จัดเก็บและกระบวนการประมวลผลข้อมูลส่วนบุคคลบางอย่างตามที่กำหนดไว้ใน กฎหมายของรัฐบาลกลางลำดับที่ 242 ของวันที่ 21 กรกฎาคม 2014 “ ในการแก้ไขกฎหมายบางประการของสหพันธรัฐรัสเซียในแง่ของการชี้แจงขั้นตอนการประมวลผลข้อมูลส่วนบุคคลในข้อมูลและเครือข่ายโทรคมนาคม” ตามวรรค 1 ของข้อ 2 ซึ่งเมื่อรวบรวมข้อมูลส่วนบุคคล รวมถึงผ่านข้อมูล - เครือข่ายโทรคมนาคมอินเทอร์เน็ตผู้ดำเนินการมีหน้าที่ต้องให้แน่ใจว่ามีการบันทึกการจัดระบบการสะสมการจัดเก็บการชี้แจง (การอัปเดตการเปลี่ยนแปลง) การดึงข้อมูลส่วนบุคคลของพลเมืองของสหพันธรัฐรัสเซียโดยใช้ฐานข้อมูลที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย .

ในเวลาเดียวกัน สิ่งสำคัญคือต้องทราบว่าการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดนเช่นนี้ไม่ได้ถูกห้าม แต่ถูกควบคุมโดยกฎหมาย คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ในงานศิลปะ 12 152-FZ.

สั้น ๆ เกี่ยวกับสิ่งสำคัญ

ดังนั้นขอสรุปข้างต้น

เว็บไซต์คือระบบข้อมูลส่วนบุคคลหากฟังก์ชันการทำงานดังกล่าวทำให้คุณสามารถป้อน จัดเก็บ หรือดูข้อมูลส่วนบุคคลได้ เป็นตัวอย่างที่ดีเกือบทุกเว็บไซต์ที่มีบัญชีส่วนตัว สามารถให้บริการจองออนไลน์ สั่งซื้อหรือซื้อพร้อมจัดส่ง ฯลฯ ได้

การประมวลผลข้อมูลส่วนบุคคลของลูกค้าออนไลน์ไม่เพียงมีความจำเป็นสำหรับอีคอมเมิร์ซยุคใหม่เท่านั้น แต่ยังรวมถึงโอกาสทางการตลาดในวงกว้างด้วย ซึ่งคำอธิบายดังกล่าวสมควรได้รับบทความแยกต่างหาก

เจ้าของเว็บไซต์ที่เป็น ISPD จะต้องส่งการแจ้งเตือนไปยัง Roskomnadzor โดยระบุว่า: ข้อมูลส่วนบุคคลใดบ้างที่เว็บไซต์จัดเก็บและประมวลผล เซิร์ฟเวอร์ที่ ISPD ดำเนินการอยู่นั้นตั้งอยู่ที่ใด คุณสามารถอ่านเกี่ยวกับสิ่งนี้ได้ในบทความของฉัน "วิธีส่งการแจ้งเตือนไปยัง RKN และไม่ประสบปัญหา"

ข้อตกลงกับผู้ให้บริการโฮสต์ นอกเหนือจากลักษณะเชิงปริมาณและคุณภาพของทรัพยากรคอมพิวเตอร์แล้ว จำเป็นต้องมีคำสั่งสำหรับการประมวลผลข้อมูลส่วนบุคคล โดยระบุรายการการดำเนินการเฉพาะที่จะดำเนินการร่วมกับพวกเขา โดยจะต้องระบุวัตถุประสงค์และ ต้องกำหนดขั้นตอนการประมวลผลข้อมูลส่วนบุคคล ข้อกำหนดในการปกป้อง และความรับผิดชอบของผู้ให้บริการในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล

นอกเหนือจากใบอนุญาต Roskomnadzor มาตรฐานสำหรับบริษัทโฮสติ้งสำหรับการให้บริการการสื่อสารทางเทเลเมติกส์ เพื่อปกป้องข้อมูลส่วนบุคคลที่ประมวลผลบนไซต์ลูกค้า ผู้ให้บริการโฮสติ้งจะต้องมีใบอนุญาต FSTEC สำหรับกิจกรรมที่เกี่ยวข้องกับการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับและ FSB ใบอนุญาตสำหรับการให้บริการที่เกี่ยวข้องกับการใช้กองทุนเข้ารหัส (การเข้ารหัส) )

และสุดท้าย เซิร์ฟเวอร์ของผู้ให้บริการที่จัดเก็บข้อมูลส่วนบุคคลจะต้องตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย

ดังนั้น บทความนี้จะกล่าวถึงแง่มุมต่างๆ มากมายของการวาง ISPD บนทรัพยากรการประมวลผลของผู้ให้บริการระบบคลาวด์ มากกว่า ข้อมูลรายละเอียดสามารถรับได้จากเอกสารและแหล่งข้อมูลดังต่อไปนี้:

กฎหมาย

• คำสั่งของรัฐบาลสหพันธรัฐรัสเซียเมื่อวันที่ 1 พฤศจิกายน 2555 N 1119 "ในการอนุมัติข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล"
• คำสั่งของ FSTEC แห่งรัสเซียลงวันที่ 18 กุมภาพันธ์ 2556 ฉบับที่ 21 เกี่ยวกับการอนุมัติองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลข้อมูลส่วนบุคคล

  Telegram Passport จะช่วยให้คุณสามารถระบุตัวตนของผู้ใช้ได้ เอกสารและข้อมูลที่จำเป็นทั้งหมดจะต้องอัปโหลดไปยัง Telegram เพียงครั้งเดียว จากนั้นคุณจึงสามารถถ่ายโอนไปยังพันธมิตร Telegram ได้ทันที มีการวางแผนว่าเมื่อถึงเวลาเปิดตัวบริการใหม่ จะสามารถใช้บริการของพันธมิตรดังกล่าวหลายราย รวมถึง Qiwi ได้

  อ่านเพิ่มเติม...

เนื่องจากเซิร์ฟเวอร์ไม่ได้ตั้งอยู่ที่บ้านของคุณ คุณจึงไม่สามารถเข้าถึงได้ และแน่นอนว่าไม่สามารถมีอิทธิพลต่อนโยบายของศูนย์ข้อมูลได้ในทางใดทางหนึ่ง คุณจึงไม่มีโอกาสที่จะปฏิบัติตามข้อกำหนดทางกฎหมายหลายประการ เหลือสิ่งเดียวที่ต้องทำคือหาโฮสติ้งที่ตรงตามข้อกำหนดของกฎหมาย

ตอนนี้ฉันไม่ใช่ Beget ฉันเขียนจดหมายถึงพวกเขาเกี่ยวกับใบอนุญาต FSTEC เพื่อปกป้องข้อมูลที่เป็นความลับ พวกเขาตอบอย่างคลุมเครือ เหมือนฉันไม่ใช่ฉัน และบ้านก็ไม่ใช่ของฉัน เราเป็นแค่พวกนี้ และโดยทั่วไปแล้วเราไม่ควร... สรุปก็คือ พวกเขาไม่มีใบอนุญาต ซึ่งโดยมากแล้ว ไซต์ที่รวบรวมข้อมูลส่วนบุคคลไม่สามารถเก็บไว้ที่นั่นได้ ฉันท่องอินเทอร์เน็ต (ยังไม่ครอบคลุมมากนัก) และจนถึงตอนนี้ฉันพบเพียง RU-CENTER ที่มีใบอนุญาตเท่านั้น

ใบอนุญาตสำหรับกิจกรรมเพื่อการพัฒนาและ (หรือ) การผลิตวิธีการปกป้องข้อมูลที่เป็นความลับ
ใบอนุญาตเลขที่ 0917 ลงวันที่ 20 กันยายน พ.ศ. 2554

ใบอนุญาตสำหรับกิจกรรมที่เกี่ยวข้องกับการคุ้มครองทางเทคนิคของข้อมูลที่เป็นความลับ
ใบอนุญาตเลขที่ 1594 ลงวันที่ 20 กันยายน พ.ศ. 2554
ผู้ถือลิขสิทธิ์: บริษัทร่วมหุ้น "ศูนย์ข้อมูลเครือข่ายภูมิภาค"
ระยะเวลาที่ถูกต้องของใบอนุญาต: ไม่จำกัด

การโฮสต์ข้อมูลที่เป็นความลับใน RU-CENTER

เมื่อวันที่ 6 มีนาคม 2555 RU-CENTER เริ่มให้บริการใหม่ - โฮสต์ข้อมูลที่เป็นความลับ
การโฮสต์ข้อมูลที่เป็นความลับคือการวางเว็บไซต์บนอินเทอร์เน็ตโดยใช้มาตรการเพิ่มเติมเพื่อปกป้องข้อมูล
บริการนี้จะช่วยให้คุณปฏิบัติตามข้อกำหนดบังคับหลายประการของกฎหมายปัจจุบัน (กฎหมาย N 152-FZ) ซึ่งนำเสนอเมื่อประมวลผลข้อมูลส่วนบุคคล
นอกเหนือจากวิธีการพื้นฐานของการปกป้องข้อมูลและการจัดเก็บข้อมูลที่ใช้ในบริการ RU-CENTER อื่น ๆ แล้ว การโฮสต์ข้อมูลที่เป็นความลับยังมี:

• อุปกรณ์ที่ผ่านการรับรองเฉพาะทางซึ่งช่วยให้คุณสามารถดำเนินการหลายอย่างเพื่อปกป้องข้อมูลระหว่างการเข้าถึงเครือข่าย
• ข้อ จำกัด เพิ่มเติม การเข้าถึงทางกายภาพอุปกรณ์ที่ให้บริการ
• รายวัน การสำรองข้อมูล(2 ชุด);
• การบัญชีสื่อกายภาพที่ใช้
• MySQL ทุ่มเทให้กับแต่ละบริการ

คำถามที่แท้จริงคือคุณภาพเป็นอย่างไร?
และหากใครพบโฮสต์รายอื่นที่มีใบอนุญาต FSTEC เพื่อปกป้องข้อมูลที่เป็นความลับ ให้โพสต์ไว้ในกระทู้นี้

ก่อนที่เราจะเริ่มการวิเคราะห์ 152-FZ คุณควรรู้ว่ายังมีกฎหมาย 242-FZ ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 กันยายน 2558 ซึ่งเป็นพระราชบัญญัติด้านกฎระเบียบที่แก้ไขแหล่งที่มาของกฎหมายพื้นฐานอื่น - กฎหมายของรัฐบาลกลางหมายเลข 152 รับรองในเดือนกรกฎาคม พ.ศ. 2549 การนำกฎหมายว่าด้วย "การแปลข้อมูลส่วนบุคคล" มาใช้นั้นมาพร้อมกับการครอบคลุมอย่างกว้างขวางของความคิดริเริ่มด้านกฎหมายในสื่อต่าง ๆ ซึ่งเป็นผลมาจากการสร้าง สองตำนานหลักในกฎหมายของรัฐบาลกลางหมายเลข 242-FZ:

• ขณะนี้ชาวรัสเซียถูกห้ามไม่ให้โพสต์ข้อมูลส่วนบุคคล (เว็บไซต์) ในต่างประเทศ
• บริษัทต่างประเทศทั้งหมดถูกห้ามไม่ให้รับและประมวลผลข้อมูลส่วนบุคคลของรัสเซียบนเซิร์ฟเวอร์นอกสหพันธรัฐรัสเซีย

กฎหมายของรัฐบาลกลางหมายเลข 242-FZ ระบุว่า "เมื่อเก็บรวบรวมข้อมูลส่วนบุคคลรวมถึงผ่านทางอินเทอร์เน็ต ผู้ดำเนินการมีหน้าที่ต้องให้แน่ใจว่ามีการบันทึก การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การดึงข้อมูลส่วนบุคคลของพลเมืองรัสเซีย สหพันธรัฐใช้ฐานข้อมูลที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย" ในกรณีที่ไม่ปฏิบัติตามกฎหมาย การเข้าถึงเว็บไซต์ที่ถูกตัดสินว่ามีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลเบื้องต้นของพลเมืองรัสเซียบนฐานข้อมูลที่อยู่ภายในเขตอำนาจศาลของสหพันธรัฐรัสเซียอาจถูกจำกัด

ฉันสามารถใช้โฮสติ้งในต่างประเทศได้หรือไม่?

กฎหมายไม่ได้ห้ามตำแหน่งของเว็บไซต์ (ฐานข้อมูล) ใด ๆ บนเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศที่ได้ลงนามในอนุสัญญาสภายุโรป ETS หมายเลข 108 รวมถึง การถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน- ตามอนุสัญญาของสภายุโรป ETS หมายเลข 108 “เกี่ยวกับการคุ้มครองบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติ” ให้สัตยาบันโดยรัสเซีย ส่วนที่ 2 ของข้อ 12 ระบุว่าประเทศที่ภาคยานุวัติจะไม่ห้ามหรือวางภายใต้เงื่อนไขพิเศษ ควบคุม การไหลของข้อมูลข้อมูลส่วนบุคคลที่ไปยังอาณาเขตของบุคคลอื่นในอนุสัญญาและมาตรา มาตรา 25 ห้ามมิให้มีการจองใดๆ ต่ออนุสัญญา

ซึ่งหมายความว่าการใช้โฮสติ้งในต่างประเทศ (ไม่ใช่ภายในสหพันธรัฐรัสเซีย) รวมถึงการจัดเก็บและการประมวลผลข้อมูลส่วนบุคคล ถือว่าถูกกฎหมายหากโฮสติ้งตั้งอยู่ในประเทศใดประเทศหนึ่งที่ได้ลงนามในอนุสัญญา: ออสเตรีย เบลเยียม บัลแกเรีย, เดนมาร์ก, สหราชอาณาจักร, ฮังการี, เยอรมนี, กรีซ, ไอร์แลนด์, สเปน, อิตาลี, ลัตเวีย, ลิทัวเนีย, ลักเซมเบิร์ก, มอลตา, เนเธอร์แลนด์, โปแลนด์, โปรตุเกส, โรมาเนีย, สโลวาเกีย, สโลวีเนีย, ฟินแลนด์, ฝรั่งเศส, สาธารณรัฐเช็ก, สวีเดน, เอสโตเนีย และยังมีดังต่อไปนี้จากคำอธิบายของ Roskomnadzor ในประเทศต่างๆ รับรองการปกป้องข้อมูลส่วนบุคคลอย่างเพียงพอ ประเทศเหล่านี้ได้รับการยอมรับว่าเป็นประเทศที่มีกฎระเบียบทั่วประเทศในด้านการคุ้มครองข้อมูลส่วนบุคคลและมีหน่วยงานกำกับดูแลที่ได้รับอนุญาตสำหรับการคุ้มครองสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล: อันดอร์รา, อาร์เจนตินา, อิสราเอล, ไอซ์แลนด์, แคนาดา, ลิกเตนสไตน์, นอร์เวย์, เซอร์เบีย, โครเอเชีย, มอนเตเนโกร สวิตเซอร์แลนด์ เกาหลีใต้ ญี่ปุ่น

ข้อมูลส่วนบุคคลควรเก็บไว้ที่ไหน?

ทางกายภาพ เว็บไซต์และฐานข้อมูลสามารถโฮสต์โดยประเทศใดๆ ที่ได้ลงนามในอนุสัญญาสภายุโรป ETS หมายเลข 108 กฎหมายกำหนดให้ผู้ดำเนินการรับรองการบันทึก การจัดระบบ การสะสม การจัดเก็บ การชี้แจง (การอัปเดต การเปลี่ยนแปลง) การดึงข้อมูลส่วนบุคคลของพลเมืองของสหพันธรัฐรัสเซียโดยใช้ฐานข้อมูลที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย อย่างไรก็ตาม กฎหมายไม่ได้ห้าม การจัดเก็บข้อมูลส่วนบุคคลของรัสเซียบนเซิร์ฟเวอร์นอกอาณาเขตของสหพันธรัฐรัสเซีย เงื่อนไขเดียวคือข้อมูลส่วนบุคคลจะต้องได้รับการรวบรวมและประมวลผลในสหพันธรัฐรัสเซียในตอนแรก แต่เราขอย้ำอีกครั้งว่าสิ่งนี้ไม่ได้ห้ามการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดนและทำงานร่วมกับข้อมูลในประเทศที่ลงนามในอนุสัญญา

การปฏิบัติตามข้อกำหนดการโฮสต์กับ JIHOST 152-FZ

Jihost ปฏิบัติตาม 152-FZ โดยสมบูรณ์ผ่านการใช้การจำลองและการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน

หลักการทำงานตามแผนผังอธิบายไว้ด้านล่าง:

การโฮสต์การปฏิบัติตาม Jihost ด้วย 152-FZ การเปลี่ยนแปลงใด ๆ ในฐานข้อมูลของไซต์ รวมถึงการถ่ายโอนข้อมูลส่วนบุคคล ฐานข้อมูลจะถูกจำลองไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย ดังนั้นจึงรับประกันความเกี่ยวข้องและความสมบูรณ์ของข้อมูลอย่างต่อเนื่อง กฎหมาย จากนั้นข้อมูลจะถูกจำลองไปยังฐานข้อมูลเซิร์ฟเวอร์ภายในซึ่งไซต์จะใช้งานได้ในภายหลัง รูปแบบวงกลมนี้ใช้ได้ทุกที่ ยิ่งไปกว่านั้น หากจำเป็นต้องอ่านข้อมูลเพียงอย่างเดียว ก็จะเกิดขึ้นโดยไม่มีการจำลองโดยตรงจากฐานข้อมูลในเครื่อง นอกเหนือจากการปฏิบัติตาม 152-FZ แล้วโครงการนี้