Правильный хостинг для испдн. почему для обработки персональных данных не подходят сервера большинства облачных провайдеров? Какой хостинг выбрать - российский или зарубежный - чтобы не нарушить Закон о персональных данных? Можно ли использовать хостинг з

Поскольку сервер стоит не у вас дома, вы не имеете к нему доступа и уж тем более никоим образом не можете влиять на политику дата-центра, то вы просто не имеете возможности выполнить ряд требований закона. Остается только одно, найти хостинг который отвечает требованиям закона.

Я сейчас не Бегете, написал им письмо, о наличии у них лицензии ФСТЭК на защиту конфиденциальной информации. Ответили туманно, типа я не я и хата не моя, мы всего-лишь эти и в общем это мы не должны... Если резюмировать, лицензии у них нет, а значит по большому счету сайт который собирает персональные данные держать там нельзя. Полазил по инету (не особо плотно пока) и нашел пока только RU-CENTER с лицензией.

Лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
ЛИЦЕНЗИЯ No 0917 от 20 сентября 2011 г.

Лицензия на деятельность по технической защите конфиденциальной информации
ЛИЦЕНЗИЯ No 1594 от 20 сентября 2011 г.
Правообладатель: Акционерное общество «Региональный Сетевой Информационный Центр»
Срок действия лицензии: бессрочно

Хостинг конфиденциальной информации в RU-CENTER

С 6 марта 2012 года RU-CENTER начинает предоставлять новую услугу - хостинг конфиденциальной информации.
Хостинг конфиденциальной информации - это размещение сайта в Интернете с применением дополнительных мер по защите информации.
Данная услуга позволит выполнить ряд обязательных требований действующего законодательства (закон N 152-ФЗ), которые предъявляются при обработке персональных данных.
Кроме основных методов защиты данных и хранения информации, используемых в других услугах RU-CENTER, хостинг конфиденциальной информации предлагает:

• специализированное сертифицированное оборудование, позволяющее проводить ряд действий по защите информации при сетевом доступе;
• дополнительное ограничение физического доступа к оборудованию, на котором предоставляется услуга;
• ежедневное резервное копирование (2 копии);
• учет используемых физических носителей информации;
• MySQL, выделенная для каждой услуги.

Основные потребители новой услуги - компании малого и среднего бизнеса, интернет-магазины, форумы, системы маркетинговых исследований и многие другие интернет-ресурсы, которым при обработке и хранении персональных данных пользователей необходимо выполнять требования законодательства РФ (закон N 152-ФЗ).

Собственно вопрос, как они по качеству?
И если кто найдет других хостеров с лицензией ФСТЭК на защиту конфиденциальной информации, выкладывайте в этой теме.

После вступления в силу п.4 ч.2 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" каждое предприятие обязано привести свои информационные системы и процессы, связанные с обработкой персональных данных, в соответствие с требованиями Законодательства РФ.

Что это означает для юридических лиц?

Организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Таким образом они становятся «организациями-операторами персональных данных». Контролировать выполнения требований Законодательства будет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Федеральный закон касается компаний любой организационной формы – это и государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

В обязанности организации-оператора входит:

• обеспечение законности обработки персональных данных;
• построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России;
• отправка уведомления в Роскомнадзор;
• разработка внутренней документации;
• проведение аттестационных испытаний или оценки соответствия;
• систематическая актуализация системы защиты персональных данных.

Зачастую, это оказывается сложной и затратной задачей, в том числе и из-за необходимости получения документа, подтверждающего эффективность принятых мер защиты персональных данных. Именно поэтому большинство компаний предпочитает оптимизировать этот процесс за счет поиска надежного партнера с готовым решением во внешней виртуальной инфраструктуре.

Для исполнения всеми юридическими лицами на территории России одноименного закона ФЗ-152 мы - хостинг сайт в сотрудничестве с компанией WELLSERVICE - предлагаем менее затратное и трудоёмкое решение: вынесение систем хранения и обработки персональных данных в защищенную облачную систему, которую мы называем – «ИСПДн в облаке».

Серверы для информационных систем персональных данных (ИСПДн) предоставляется любым компаниям, расположенным на территории и являющимися резидентами Российской Федерации.

Что такое «ИСПДн в облаке»?

Продукт «ИСПДн в облаке» – отдельный защищенный виртуальный сервер, по выбранному вами тарифу, полностью соответствующий требованиям ФЗ-152.

Каждый «ИСПДн в облаке» – полностью изолированный объект. Это означает, что доступ к вашему ИСПДн со стороны хостинг-провайдера заблокирован с помощью сертифицированных средств защиты и абсолютно конфиденциален!

Конфиденциальность обрабатываемой информации достигается за счет:

• Доступ к данным находящимся на «ИСПДн в облаке» ограничен с помощью сертифицированных ФСТЭК России средств защиты от несанкционированного доступа (НСД) и с помощью функций гипервизора виртуальных машин (являющего частью сертифицированного средства защиты).
• Данные, передаваемые по каналам связи от терминала организации-оператора персональных данных до сетевого интерфейса виртуальной машины, шифруются с помощью сертифицированного ФСБ России средства криптографической защиты информации (СКЗИ). Дисковые образы виртуальных машин также шифруются с помощью СКЗИ.
• Ни один из дата-центров не обладает никакими ключами доступа к средствам СКЗИ, размещённым в виртуальной машине клиента. Так, например, для загрузки операционной системы на VPS клиент самостоятельно вводит пароль от криптоконтейнера, содержащего системный раздел. Эта процедура реализована с применением специально разработанного нашей компанией загрузчика операционной системы на виртуальной машине. При этом, ключи доступа в любой момент могут быть перегенерированы пользователем виртуальной машины самостоятельно, а криптоконтейнер соответственно может быть перешифрован.
• Доступность и целостность обрабатываемой информации обеспечивается применением зарезервированных каналов связи, надёжных систем хранения данных, устройств охлаждения и бесперебойного питания. Наши партнеры – лучшие дата-центы России: Миран, IXCellerate, KIAEHOUSE.

Что «ИСПДн в облаке» дает компаниям в России?

Простая процедура: мы возьмем на себя весь комплекс организационно-правовых и технических работ - разработка модели угроз безопасности, концепцию системы защиты, методику аттестации, непосредственное проведение аттестационных испытаний и оформление аттестата соответствия. Выбрав наш продукт «ИСПДн в облаке», вам НЕ ПОТРЕБУЕТСЯ ПОЛУЧАТЬ СОГЛАСИЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ при их сборе.

Существенная экономия: наш продукт освобождает компанию-заказчика от затрат на создание и владение защищенной IT-инфраструктурой для хранения, обработки и защиты персональных данных. Более того, размещение ИСПДн в облаке предоставляется как услуга, компания-заказчик не имеет капитальных затрат.

Наши преимущества:

• защищенная система «ИСПДн в облаке» прошла все необходимые аттестации, как полностью соответствующая всем требованиям законодательства РФ в области персональных данных;
• полное соответствие требованиям ФСТЭК и ФСБ России всех аппаратных, программных, а также сетевых элементов системы;
• вам не потребуется получать согласие субъектов персональных данных при их сборе;
• консультации и сопровождение на всех этапах внедрения и работы с продуктом.
• полный пакет организационно-распорядительных и регламентирующих документов;
• отсутствие капитальных затрат.

Каков процесс оказания услуг?

1

Регистрация представителя компании-заказчика на нашем сайте и последующее заполнение анкеты-заявки на услугу «ИСПДн в облаке»: необходимость аттестации, реквизиты организации, вид деятельности.

В зависимости от требований ИСПДн вы выбираете подходящий тарифный план с нужными параметрами сервера: объемом диска и оперативной памяти.

Заключение договора на оказание услуги «ИСПДн в облаке» и проведение оплаты.

На основании предоставленных данных мы подготовим для вас комплект организационно-распорядительных и регламентирующих документов, включая положение о персональных данных, акт классификации ИСПДн, модель угроз и другие необходимые документы. Специалист нашей компании проконтролирует правильность заполнения и утверждения этих документов.

Мы согласовываем с вами дату выездной аттестации рабочего места. После выезда специалиста и проверки всех требований к рабочему месту, вы получаете аттестат соответствия и весь пакет документов, удостоверяющий полное соответствие вашей ИСПДн требованиям и нормам №152-ФЗ "О персональных данных" и всех подзаконных актов.

Наши лицензии и аттестаты

* Стоимость защищенного сервера ИСПДн с пакетом документов и процедурой аттестации при оплате за 1 год.

Продажа защищенной инфраструктуры для хранения и обработки персональных данных по представленным тарифным планам осуществляется с минимальным сроком — 1 год.

При заказе первого сервера в ИСПДн взымается установочная плата в размере 11 300 рублей.

Прежде чем приступить к разбору 152-ФЗ, следует знать, что существует также закон 242-ФЗ, вступивший в силу с 1 сентября 2015 года, который является нормативным актом, который внес изменения в другой, основополагающий источник права — ФЗ № 152, принятый в июле 2006 года. Принятие закона о “локализации персональных данных” сопровождалось широким освещением законодательной инициативы в различных СМИ, в результате чего были созданы два главных мифа о Федеральном законе №242-ФЗ:

• россиянам отныне запрещено размещать свои персональные данные (сайты) за рубежом;
• всем иностранным компаниям запретили получать и обрабатывать персональные данные россиян на серверах за пределами РФ.

Федеральным законом № 242-ФЗ предусматривается, что «при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». В случае несоблюдения закона, доступ к сайту, уличенному в первичном сборе и хранении персональных данных российских граждан на базах данных, находящихся в пределах юрисдикции РФ, может быть ограничен.

Можно ли использовать хостинг за границей

Закон не запрещает размещение любого сайта (базы данных) на серверах, расположенных на территории стран, подписавших конвенцию Совета Европы ETS №108, а также трансграничную передачу персональных данных . Согласно ратифицированной Россией Конвенции Совета Европы ETS №108 «О защите физических лиц при автоматизированной обработке персональных данных», в части 2 ст.12 предусматривается, что присоединившиеся к ней страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции.

Это означает, что использование хостинга за границей (не в пределах РФ), а также хранение и обработка персональных данных, считается правомерной, если хостинг расположен в одной из стран, подписавших Конвенцию: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия , Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония, а также как это следует из разъяснений Роскомнадзора, в странах, обеспечивающих адекватную защиту персональных данных. Такими признаются страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Где должны храниться персональные данные

Физически сайт и база данных могут располагаться на хостинге любой страны, подписавшей Конвенцию Совета Европы ETS №108. В Законе есть требование к оператору обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, однако Законом не запрещено хранение персональных данных россиян на серверах вне территории РФ. Единственное условие, чтобы изначально персональные данные собирались и обрабатывались в РФ. Но, повторим, это не запрещает трансграничную передачу персональных данных и работу с ней в странах подписавших Конвенцию.

Соответствие хостинга ДЖИХОСТ 152-ФЗ

Джихост полностью соответствует 152-ФЗ за счет применения репликации и трансграничной передачи персональных данных.

Схематически принцы работы описан ниже:

Хостинг Джихост соответствие 152-ФЗ Любое изменение базы данных сайта, в том числе при передачи персональной информации, база данных реплицируется на сервер, находящийся на территории РФ, таким образом обеспечивая постоянную актуальность и полноту данных в соответствии с Законом. Затем данные реплицируются на локальную базу данных сервера, с которой в последствии работает сайт. Такая круговая схема работает повсеместно. При этом, если требуется только чтение данных, то она происходит без репликации, напрямую из локальной базы данных. Помимо соответствия 152-ФЗ, данная схема работы повышает производительность, отказоустойчивость и надежность работы хостинга.

С 01.09.2015 года вступили поправки к федеральному закону “О персональных данных" (Закон 152 ФЗ) .
Согласно закону, данные, которые клиент вводит на вашем сайте должны хранится на территории РФ.
И это еще не все. О том, кого коснется этот закон и что делать, в нашей в статье.

С 1 сентября 2015 года вступили поправки к закону “О персональных данных”.
Согласно этому закону, все данные, которые клиент вводит на вашем сайте и которые являются именно персональными данными (паспортные, адреса, в т.ч. e-mail, платежные данные и т.д.) должны храниться на территории Российской федерации.

ВОТ ВЫДЕРЖКА ИЗ ЗАКОНА 152 о защите персональных данных

“При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона» (ч. 5 ст. 18 ФЗ “О персональных данных”).”

Под термином “Оператор” стоит понимать все компании, в частности e-commerce, на сайтах которых клиенты указывают личную информацию.

Ну и это еще не все. В феврале 2017 года были внесены очередные поправки в закон о защите персональных данных. Эти поправки обязывают всех владельцев сайтов и интернет-магазинов (Операторов), оповещать пользователей о том, что при вводе личных данных на сайте, они дают свое согласие на их сбор, обработку и хранение.

Если проигнорировать эти поправки в закон, то вы рискуете получить штраф в размере до 75000 рублей за одно нарушение. А если их больше, то сумма штрафа возрастет (о нарушении законодательства РФ в области персональных данных - статья 13.11 КоАП РФ)

ЧЕМ ЕЩЕ ГРОЗИТ НЕСОБЛЮДЕНИЕ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ?

Мы уже рассказали про немалые штрафы. Это может коснуться каждого. И не думайте, что это не про вас:) Посмотрите судебную практику и вы поймете, что это не шутки. Вот, например, нашумевшее дело Тамбовской юридической компании (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016), которую оштрафовали за нарушения в области хранения ПД. Сумма штрафа незначительная, но нужно иметь в виду, что с 1 июля 2017 года штрафы существенно выросли.

Помимо административной ответственности может быть и уголовная. Так если вы причините моральный вред пользователю, чьи персональные данные, например, попали в чужие руки.
Ну и за подобные нарушения Роскомнадзор может заблокировать сайт и внести вас в так называемый “черный список”.
И тогда будьте готовы к дополнительным проверкам со стороны Роскомнадзора.

ЧТО ДЕЛАТЬ?

1. Первое, что нужно сделать - уведомить пользователей об обработке персональных данных . Если вы этого еще не сделали, то сейчас самое время. Разработайте и разместите на сайте документ об обработке ПД, а также заручитесь согласием пользователей на такую обработку (например, поставив чекбокс с информацией под каждой формой регистрации).
   Вообще, это можно сделать по-разному, в зависимости от ваших целей и особенностей бизнеса. Например, Озон размещает на сайте политику конфиденциальности и при регистрации пользователя берет согласие на обработку ПД. Или можно разместить информацию о сборе ПД в рамках публичной оферты, как это делает Ламода и также собирать согласие на обработку при регистрации. Или как у СберБанка, который размещает такую информацию в договоре.
2. Подготовьте внутренние документы , регулирующие правила для исполнения данного закона. К таким можно отнести приказы, инструкции и назначения ответственных лиц за хранение персональной информации.
3. Очень важно убедится, что данные хранятся в России (на российских серверах).
   Этого требует закон о защите информации пользователей (ч. 5 ст. 18 ФЗ “О персональных данных”).
   Поэтому уточните у своего хостинг-провайдера адрес места расположения серверов, на которых размещается ваш сайт и заключите с ним договор, где будет указан данный адрес. Этот адрес вам потребуется для заполнения уведомления в Роскомнадзор. Если у вас свой сервер, то обязательно сохраните документы на него. Их может потребовать Роскомнадзор в ходе возможной проверки. То же самое справедливо и для договора с хостинг-провайдером.

   Если ваш хостинг-провайдер размещает свои серверы в российском Дата-центре, то все хорошо.
   Это самый простой способ удовлетворить требования закона, купив хостинг у отечественного провайдера.

   Есть и другой способ, который называется трансграничная передача данных. Законом это не запрещено. Позволяется хранение ПД за рубежом, но с некоторыми оговорками. Так, компания в любом случае, помимо хранения ПД заграницей, должна иметь такую базу данных и на территории РФ. Но при этом база должна быть наиболее полной и актуальной. Схема тут такая - вся база с персональными данными собирается, систематизируется и хранится на территории РФ, а потом уже данные можно передавать за рубеж. Тут важно понимать, что первоисточник - это база на территории РФ.

4. После этого, подготовьте и отправьте уведомление в Роскомнадзор.
   Сделать это можно через электронную форму на сайте :

   Уведомление подавать не нужно, если:

   
   → вы обрабатываете только данные сотрудников;

   → заключаете договор с конкретным лицом и указанные в договоре данные используются только для исполнения этого договора, т.е. информация не публикуется и не передается третьим лицам без согласия на то субъекта персональных данных (данный пункт является неоднозначным, так как могут возникнуть вопросы из-за специфики бизнеса. Важно грамотно составить договор, учитывая все нюансы, удовлетворяющие требованиям закона. Поэтому, рекомендуем проконсультироваться с юристом. И если однозначного ответа нет, то лучше подайте уведомление.);

   → если собираемые данные включают в себя только ФИО пользователей;

   → если пользователь сам сделал свои персональные данные общедоступными.

Обратите внимание , что речь идет только о случаях, когда уведомление подавать не надо. Вышеперечисленные данные все равно являются персональными и уведомлять об этом пользователя нужно обязательно.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Боятся этого закона не стоит. Он же регулирует наши с вами права, как физических лиц. Каждый из нас хотя бы раз приобретал товары через интернет и оставлял свои личные данные. Теперь у нас с вами есть основания для отстаивания своих прав в законном порядке, если права наши будут нарушены.

Для владельцев сайтов самое главное все грамотно оформить. Этим вы обезопасите себя от штрафов, иной ответственности и заручитесь доверием клиентов.
Маленькая ремарка: советуем не делать под копирку, например, как у конкурентов - у каждого своя специфика. Лучше потратить время на разработку документации конкретно под ваш бизнес, чем потом платить штрафы. И если у вас все еще остались вопросы, обратитесь к помощи вашего юриста, так как данная статья не заменит специалиста , который поможет вам сделать все так как нужно и конкретно под ваши цели и задачи.

• Поделиться: