Správné hostování pro tečku. Proč je server většiny poskytovatelů oblačnosti vhodný pro zpracování osobních údajů? Co je hostitelem vybrat, je ruský nebo zahraniční - Aby nedošlo k porušování zákona o osobních údajích? Je možné použít hostování

Vzhledem k tomu, že server není doma, nemáte k němu přístup a ještě však v žádném případě nemůže ovlivnit zásadu datového centra, prostě nemáte příležitost splnit řadu požadavků zákona. Zůstává jen jedna věc, hledání hostingu, který splňuje požadavky zákona.

Teď už nebudu utéct, napsal jsem jim dopis, o přítomnosti licence FSTC na ochranu důvěrná informace. Oni odpověděli mlhavé, jako já nejsem já a chata není moje, my jsme jen tyto a obecně bychom neměli ... pokud nemají licenci, nemají licence, což znamená, že a velké Místo, které shromažďuje osobní údaje, aby ho udržely je nemožné. Vylezl jsem na internetu (ne obzvláště pevně) a našel pouze Ru-Center s licencí.

Licence pro rozvoj a (nebo) produkci důvěrné ochrany informací
Ne 0917 Licence 20. září 2011

Licence pro technickou ochranu důvěrných informací
Č. 1594 Licence 20. září 2011
Rightholder: akciová společnost "Regionální síťové informační centrum"
Délka licence: neomezeně

Hosting důvěrných informací v Ru-Center

Od 6. března 2012 začíná Ru-Center poskytovat novou službu - hosting důvěrné informace.
Hosting důvěrných informací je umístění webu na internetu pomocí dalších opatření na ochranu informací.
Tato služba vám umožní provést číslo. povinné požadavky Současná právní předpisy (zákon n 152-fz), které jsou uvedeny ve zpracování osobních údajů.
Kromě základních metod ochrany údajů a skladování informací používaných v jiných službách, Ru-Center, hosting důvěrných informací nabízí:

• specializované certifikované vybavení, které umožňuje řadu informací pro ochranu informací v přístupu k síti;
• dodatečné omezení fyzického přístupu k zařízení, na kterém je služba poskytována;
• denně záloha (2 kopie);
• Účetnictví použitých fyzikálních informací;
• MySQL přidělené pro každou službu.

Hlavními spotřebiteli nové služby jsou malé a střední podniky, internetové obchody, fóra, marketingové výzkumné systémy a mnoho dalších internetových zdrojů, které uživatelé potřebují zpracovat a ukládat osobní údaje uživatelů, aby dodržovali požadavky legislativy ruštiny Federace (zákon n 152-fz).

Vlastně otázka je, jak jsou kvalitní?
A pokud někdo najde jiné hostitele s licencí FSTC, aby ochránili důvěrné informace, rozloží se v tomto tématu.

Po vstupu odstavce 4 části 2 části 2 článku 19 Federální zákon 07/27/2006 č. 152-FZ "O osobních údajích" Každý podnik je povinen přinést své informační systémy a procesy související se zpracováním osobních údajů v souladu s požadavky právních předpisů Ruské federace.

Co to znamená pro právní subjekty?

Organizace jsou povinny zajistit ochranu lidských práv a svobod a občanů při zpracování svých osobních údajů, včetně ochrany práv na soukromí, osobní a rodinné tajemství. Stávají se tak "organizace-operátory osobních údajů." Kontrola splnění požadavků právních předpisů bude federální služba pro dohled nad komunikací, \\ t informační technologie a hromadné komunikace (Roskomnadzor), FSTC a FSB Ruska.

Federální zákon se týká společnosti jakékoli organizační formy - to jsou státní orgány, federální a městské instituce: Banky, pojišťovny, zdravotnická zařízení, operátory komunikace, online nakupování, obchodní sítí, Výrobní společnosti a další organizace Výroba osobních údajů získaných ze zaměstnanců, zákazníků a dalších osob a právnických osob.

Povinnosti provozovatele organizace zahrnují:

• zajištění zákonnosti zpracování osobních údajů;
• budování systému ochrany osobních údajů v souladu s požadavky Ruska FSTC a FSB;
• odeslání oznámení na Roskomnadzor;
• vývoj vnitřní dokumentace;
• provádění testů certifikace nebo posuzování shody;
• systematická aktualizace systému ochrany osobních údajů.

Často se ukáže být náročným a drahým úkolem, včetně potřeby získat dokument potvrzující účinnost přijatých opatření pro ochranu osobních údajů. Proto většina společností dává přednost optimalizaci tohoto procesu tím, že naleznete spolehlivý partner s hotovým řešením v externí virtuální infrastruktuře.

Pro provedení všemi právnické osoby Na území Ruska federálního zákona federálního zákona22 jsme hostit stránky ve spolupráci s Wellservice - nabídnout méně nákladné a časově značné řešení: výroba systémů pro skladování a zpracování osobních údajů do chráněného cloud System.které voláme - "Dodge v oblaku."

Servery pro informační systémy Osobní údaje (CDN) jsou poskytovány všem společnostem, které se nacházejí na území a jsou obyvateli Ruská Federace.

Co je "Dodge v oblaku"?

Produkt "kód v oblaku" je samostatný zabezpečený virtuální server, na tarifu vybraného tarifu, plně odpovídající požadavkům FZ-152.

Každý "Dodge v oblaku" je zcela izolovaný objekt. To znamená, že přístup k bydlení z poskytovatele hostingu je blokován certifikovanou ochranou a naprosto důvěrným!

Důvěrnost zpracovaných informací je dosaženo:

• Přístup k údajům umístěným na "Dodge v Cloud" je omezen s použitím certifikovaných fondů Ruska na ochranu proti neoprávněnému přístupu (NSD) a používání funkcí přecitlí virtuálních strojů (která je součástí certifikovaných prostředků ochrany).
• Data přenášená prostřednictvím komunikačních kanálů z terminálu Osobní datový operátor do síťového rozhraní virtuální stroj, Šifrované s pomocí certifikovaného FSB Ruska nástrojů pro kryptografickou ochranu informací (SPJ). Obrázky disku Virtuální stroje jsou také šifrovány SPJ.
• Žádný z datových center nemá žádné přístupové klíče k SCJOS, umístěným v virtuálním počítači klienta. Takže například ke stažení operační systém Na klientovi VPS nezávisle vstupuje do hesla z kryptocontainer obsahujícího systémový oddíl. Tento postup je implementován s aplikací operačního systému speciálně navrženého naší společnosti na virtuálním počítači. Současně mohou být přístupové klíče kdykoliv nastaveny uživatelem virtuálního počítače samostatně, a Cryptocontainer může být přehnán.
• Dostupnost a integrita zpracovaných informací je zajištěna pomocí vyhrazených komunikačních kanálů, spolehlivé skladovací systémy, chladicí zařízení a nepřerušovaný výkon. Našimi partneři jsou nejlepšími datovými centy Ruska: Miran, IxCellerate, Kiaehouse.

Co je "nadšený na oblaku" dává společnosti v Rusku?

Jednoduchý postup: Budeme brát celý komplex organizačních a právních a technických prací - rozvoj modelu bezpečnostního hrozeb, koncepce systému ochrany, metodika certifikace, přímého chování certifikačních testů a registrace osvědčení o shodě. Výběrem našeho produktu "Chytil v oblaku", nebudete muset získat souhlas herců osobních údajů, když jsou shromážděny.

Významné úspory: Náš produkt osvojí zákaznickou společnost z nákladů na vytváření a držení chráněné IT infrastruktury pro ukládání, zpracování a ochranu osobních údajů. Kromě toho je umístění nadšeného na oblaku poskytováno jako služba, zákaznická společnost nemá žádné kapitálové náklady.

Naše výhody:

• chráněný systém "CDN v oblaku" byl držen veškerou nezbytnou certifikaci, která je plně vhodná pro všechny požadavky právních předpisů Ruské federace v oblasti osobních údajů;
• Úplné shody s požadavky FREC a FSB Ruska všech hardwaru, softwaru, stejně jako síťových prvků systému;
• nebudete muset získat souhlas subjektů osobních údajů o jejich shromáždění;
• konzultace a údržba ve všech fázích úvodu a práce s výrobkem.
• kompletní balíček organizačních a administrativních a regulačních dokumentů;
• nedostatek kapitálových nákladů.

Jaký je proces poskytování služeb?

1

Registrace zástupce zástupce zákaznické společnosti na našich webových stránkách a následné vyplnění dotazníku žádosti o službu "Capin v Cloud": potřeba certifikace, detaily organizace, typ činnosti.

V závislosti na nastavení vyberete vhodný plán tarifu s požadovaným parametrem serveru: Disk a RAM.

Závěr smlouvy o poskytování "KeNNS v oblaku" a platby.

Na základě poskytnutých údajů Vám připravíme soubor organizačních a administrativních a regulačních dokumentů, včetně ustanovení o osobních údajích, akt klasifikace CD, modelu hrozby a dalších nezbytných dokumentů. Specialista na naší společnosti monitoruje správnost vyplnění a schvalování těchto dokumentů.

Souhlasíme s vámi datum otevření atestace pracoviště. Poté, co opustil specialistu a zkontrolujte všechny požadavky na pracoviště, získáte certifikát o shodě a celý balíček dokumentů certifikující plné dodržování obydlí s požadavky a předpisy č. 152-FZ "o osobních údajích" a všechny podtituální Akty.

Naše licence a certifikáty

* Náklady na chráněný server jsou uchovávány s balíčkem dokumentů a certifikačního postupu při placení za 1 rok.

Prodej chráněné infrastruktury pro ukládání a zpracování osobních údajů o předloženém tarifní plány Provádí se s minimálním obdobím - 1 rok.

Při objednávání prvního serveru v duplikátu instalační poplatek ve výši 11 300 rublů.

Před pokračováním s analýzou 152-фз by si mělo být vědomo toho, že existuje také zákon 242-FZ, který vstoupil v platnost dne 1. září 2015, což je regulačním zákonem, který se změnil na druhý, základním zdrojem Zákon - FZ č. 152, přijatý v červenci 2006. Přijetí zákona o lokalizaci osobních údajů bylo doprovázeno širokým pokrytím legislativní iniciativy v různých médiích, v důsledku toho, který byl vytvořen dva hlavní mýty O federálním zákonu č. 242-FZ:

• rusové od teď zakázali zaúčtovat své osobní údaje (lokality) v zahraničí;
• všechny zahraniční společnosti zakázané přijímat a zpracovávat osobní údaje Rusů na serverech mimo Ruskou federaci.

Federální zákon č. 242-FZ stanoví, že "při shromažďování osobních údajů, včetně prostřednictvím internetu, musí provozovatel poskytnout vstup, systematizaci, akumulaci, skladování, zdokonalení (aktualizace, změna), extrahování osobních údajů občanů Ruské federace pomocí databází Nachází se na území Ruské federace. " V případě nedodržení zákona může být přístup k webu, který ukázal v primární sběru a ukládání osobních údajů ruských občanů v databázích v rámci jurisdikce Ruské federace, může být omezen.

Mohu použít hostování v zahraničí

Zákon nezakazuje Umístění libovolného místa (databází) na serverech umístěných na území zemí, které podepsaly Kongresu Rady Evropy ETS č. 108, stejně jako přeshraniční převod osobních údajů. Podle Ruska ratifikovaného Ruskem Rady Evropy, ETS č. 108 "o ochraně jednotlivců s automatizovaným zpracováním osobních údajů", v části 2 článku 12 se předpokládá, že země, kteří se připojili k tomu, že nebudou zakázat nebo dát pod zvláštním řízením informační toky Osobní údaje vstupující do území druhé strany Úmluvy a umění. 25 Zakazuje jakékoli výhrady týkající se Úmluvy.

To znamená, že použití hostování v zahraničí (nikoli v rámci Ruské federace), jakož i ukládání a zpracování osobních údajů, je považováno za legitimní, pokud je hosting umístěn v jedné ze zemí, které podepsaly Úmluvu: Rakousko, Belgie, Bulharsko, Dánsko , Spojené království, Maďarsko, Německo, Řecko, Irsko, Španělsko, Itálie, Lotyšsko, Litva, Lucembursko, Malta, Nizozemsko, Polsko, Portugalsko, Rumunsko, Slovensko, Slovinsko, Finsko, Francie, Česká republika, Švédsko, Estonsko, a stejně jako to vyplývá z vysvětlení Roskomnadzor, v zemích, které poskytují dostatečnou ochranu osobních údajů. Tyto země, které mají celostátní regulační právní akty v oblasti ochrany osobních údajů a oprávněného orgánu dohledu pro ochranu osobních údajů, jsou: Andorra, Argentina, Izrael, Island, Kanada, Lichtenštejnsko, Norsko, Srbsko, Chorvatsko, Černá Hora, Švýcarsko , Jižní Korea, Japonsko.

Kde by měly být uchovávány osobní údaje

Fyzicky, místo a databáze mohou být umístěny na hostování jakékoli země, která podepsala Kongresu Rady Evropy ETS č. 108. V zákoně existuje požadavek pro provozovatele poskytnout záznam, systematizaci, akumulaci, skladování, zdokonalení (aktualizace, změna), těžba osobních údajů občanů Ruské federace pomocí databází umístěných v Ruské federaci, ale Zákon není zakázán skladováním osobních údajů Rusů na serverech mimo území Ruské federace. Jediná podmínka, takže původní údaje byly shromážděny a zpracovány v Ruské federaci. Opakujeme však, nezakazuje přeshraniční převod osobních údajů a pracovat s ním v zemích signatářů úmluvy.

Shoda hostingu Jihost 152-ф

Jihost plně odpovídá 152-ф v důsledku aplikace replikace a přeshraničního přenosu osobních údajů.

Schematicky je knížata práce popsána níže:

Hosting Jihost Compliance 152-фз jakoukoliv změnu v databázi webu, včetně při přenosu osobní informaceDatabáze je replikována na server umístěný na území Ruské federace, čímž zajišťuje neustálý význam a úplnost údajů v souladu se zákonem. Poté jsou data replikována do místní databáze serverů, ze které stránky později funguje. Takový schéma okruhu funguje všude. Pokud je zapotřebí pouze čtení dat, to se stane bez replikace přímo z místní databáze. Kromě dodržování roku 152-фз, toto schéma Práce zlepšuje produktivitu, toleranci chyb a spolehlivost hostování.

Od 01.09.2015 vstoupili změny federálního zákona "O osobní údaje" (zákon 152 fz).
Podle zákona by údaje, které klient zavádí na vašem webu, by měly být uloženy na území Ruské federace.
A to není všechno. O které zákon ovlivňuje tento zákon a co dělat, v našem článku.

Od 1. září 2015 zadali změny zákona "o osobních údajích".
Podle tohoto zákona, všechny údaje, které klient zavádí na vašich stránkách, a které jsou přesně osobními údaji (pasy, adresy, vč. E-mailem, údaje o platbě atd.), Měly by být na území Ruské federace uchovávány.

Zde je výňatek ze zákona 152 o ochraně osobních údajů

"Při shromažďování osobních údajů, včetně informací a telekomunikačního internetu, je provozovatel povinen poskytovat záznam, systematizaci, akumulaci, skladování, zdokonalení (aktualizace, změna), extrahování osobních údajů občanů Ruské federace pomocí databází umístěných v ruštině Federace, s výjimkou případů uvedených v odstavcích 2, 3, 4, 8 části 1 článku 6 tohoto federálního zákona, "(část 5 umění. 18 FZ" o osobních údajích ")."

Pod pojmem "operátor" by měl být chápán Všechny společnosti, zejména e-commerce, na jejichž lokalit klienti označují osobní údaje.

To není vše. V únoru 2017 byly provedeny pravidelné změny zákona o ochraně osobních údajů. Tyto pozměňovací návrhy ukládají všechny vlastníky stránek a internetové obchody (operátory), upozorňují uživatele, kteří při zadávání osobních údajů na webu dávají souhlas s jejich sběrem, zpracováním a skladováním.

Pokud tyto pozměňovací návrhy ignorujete zákon, pak riskujete, že získáte pokutu až do 75 000 rublů za porušení. A pokud více, pak se výše pokuty zvýší (o porušování právních předpisů Ruské federace v oblasti osobních údajů - článek 13.11 správního řádu Ruské federace)

Co jiného ohrožuje nedodržení zákona o osobních údajích?

Už jsme vyprávěli o značných pokutách. Může se dotknout každého. A nemyslete si, že to není o vás :) Podívejte se soudní praxi a pochopíte, že to není vtip. Zde například senzační případ advokátní kanceláře TAMBOV (usnesení č. 4A-288/2016 ze dne 4. října 2016 v případě č. 4A-288/2016), který byl pokutován za porušení ve skladování PD. Množství pokuty je zanedbatelné, ale mělo by být na paměti, že od 1. července 2017 se výrazně rozrostly pokuty.

Kromě správní odpovědnosti může být zločinec. Pokud tedy děláte morální poškození uživatele, jehož osobní údaje například padly v rukou jiných lidí.
Pro takové porušení může Roskomnadzor blokovat místo a přidat vás do tzv. "Černého seznamu".
A pak buďte připraveni na další kontroly části Roskomnadzoru.

CO DĚLAT?

1. První věc, kterou je třeba udělat, je oznámit uživatelům o zpracování osobních údajů. Pokud jste to ještě neučinili, teď je čas. Rozvíjet a umístit na webové stránce dokumentu o zpracování PD, stejně jako získání následků uživatele pro takové zpracování (například uvedení zaškrtávacího políčka s informacemi v rámci každé formy registrace).
   Obecně platí, že to může být provedeno různými způsoby, v závislosti na vašich cílech a obchodních funkcích. Například ozon umístí zásady ochrany osobních údajů na webu a při registraci uživatele přijímá souhlas se zpracováním PD. Nebo můžete umístit informace o sběru PD v rámci veřejné nabídky, protože lampa se také sbírá souhlas se zpracováním během registrace. Nebo jako Sberbank, která určuje tyto informace ve smlouvě.
2. Připravte interní dokumentyRegulační pravidla pro provádění tohoto zákona. Jedná se o objednávky, pokyny a jmenování odpovědných osob pro ukládání osobních údajů.
3. Je velmi důležité se ujistit, že data jsou uložena v Rusku (na ruských serverech).
   To vyžaduje zákon o ochraně informací o uživateli (část 5 Čl. 18 FZ "o osobních údajích").
   Proto zkontrolujte adresu umístění serverů u svého poskytovatele hostingu, který hostí vaše stránky a uzavřít smlouvu s tím, kde bude tato adresa zadána. Tato adresa bude vyžadována k vyplnění oznámení do Roskomnadzoru. Pokud máte svůj server, pak na něj určitě uložte dokumenty. Mohou vyžadovat roskomnadzor během možného ověření. Totéž platí pro smlouvu s poskytovatelem hostingu.

   Pokud váš poskytovatel hostování umístí své servery v ruském datovém centru, pak je vše v pořádku.
   To je nejjednodušší způsob, jak splnit požadavky zákona nákupem hostingu z vnitrostátního poskytovatele.

   Existuje další cesta nazvaná přeshraniční přenos dat. To není zákonem zakázáno. Je povoleno ukládat PD v zahraničí, ale s některými rezervacími. V každém případě by proto, kromě skladování Pd v zahraničí, měl mít databázi a na území Ruské federace. Ale zároveň by měla být základna nejúplnější a relevantní. Schéma zde je toto - celá základna s osobními údaji je shromážděna, je systematizována a uložena na území Ruské federace, a pak data mohou být přenášena v zahraničí. Je důležité pochopit, že zdroj je základem na území Ruské federace.

4. Po tom připravte a pošlete oznámení Roskomnadzorovi.
   Můžete to udělat prostřednictvím elektronického formuláře na webu:

   Oznámení není nutné, pokud:

   
   → Vyrábíte pouze data zaměstnanců;

   → Uzavírá smlouvu se specifickou osobou a údaje uvedené ve smlouvě se používají pouze pro provádění této smlouvy, tj. Informace nejsou zveřejněny a nejsou předány třetím stranám bez souhlasu předmětu osobních údajů (tato položka je nejednoznačná, neboť otázky mohou vzniknout v důsledku specifik podnikání. Je důležité, aby byla kompetentně vypracována smlouva, dána Všechny nuance, které splňují požadavky zákona. Proto doporučujeme konzultace s advokátem. A pokud neexistuje žádná jednoznačná odpověď, pak je lepší aplikovat oznámení.);

   → Pokud shromážděná data obsahuje pouze názvy uživatelů;

   → Pokud se uživatel sám učinil své osobní údaje s veřejně dostupným.

Poznámka, co mluvíme Pouze o případech, kdy není nutné oznámení. Výše uvedená data jsou stále osobní a upozorňují, že uživatel musí být oznámen.

Místo odnětí svobody

Bojí se tohoto zákona. Reguluje naše práva s vámi, jako jednotlivci. Každý z nás alespoň jednou získal zboží přes internet a opustil své osobní údaje. Nyní máme důvod bránit svá práva v legitimním pořadí, pokud budou naše práva porušena.

Pro majitele stránek je nejdůležitější věcí kompetentně zajišťuje. Tímto způsobem se zajistíte z pokut, jiné odpovědnosti a získáte důvěru zákazníků.
Malá poznámka: Doporučujeme, abychom neudělali autorská práva, například jako konkurenty - každý má svou vlastní specifičnost. Je lepší trávit čas na vývoji dokumentace speciálně pro vaše podnikání než platit pokuty. A pokud máte stále dotazy, obraťte se na pomoc právníka, protože tento článek nebude nahradit specialistukterý vám pomůže dělat vše, co potřebujete, a konkrétně pro vaše cíle a úkoly.

• Podíl: