الاستضافة الصحيحة لـ ISPDN. لماذا لا تكون خوادم معظم مزودي الخدمات السحابية مناسبة لمعالجة البيانات الشخصية؟ أي استضافة تختار - روسية أم أجنبية - حتى لا تنتهك قانون البيانات الشخصية؟ تنظيم التنسيب في ispdn

28.10.2020

بعد دخول الفقرة 4 ، الجزء 2 من المادة 19 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" حيز التنفيذ ، تلتزم كل شركة بإحضار أنظمة المعلومات والعمليات المتعلقة بمعالجة البيانات الشخصية وفقًا لمتطلبات تشريعات الاتحاد الروسي ...

ماذا يعني هذا للكيانات القانونية؟

المنظمات ملزمة بضمان حماية الحقوق والحريات الإنسانية والمدنية عند معالجة بياناتها الشخصية ، بما في ذلك حماية حقوق الخصوصية والأسرار الشخصية والعائلية. وبالتالي ، فإنها تصبح "منظمات معالجة البيانات الشخصية". ستراقب الخدمة الفيدرالية للإشراف في مجال الاتصالات الامتثال لمتطلبات التشريع ، تقنيات المعلوماتوالاتصالات الجماهيرية (Roskomnadzor) ، FSTEC و FSB من روسيا.

ينطبق القانون الفيدرالي على الشركات من أي شكل تنظيمي - وهي هيئات حكومية ومؤسسات اتحادية وبلدية: البنوك وشركات التأمين والمؤسسات الطبية ومشغلي الاتصالات والمتاجر عبر الإنترنت وسلاسل البيع بالتجزئة وشركات التصنيع والمنظمات الأخرى التي تعالج البيانات الشخصية الواردة من الموظفين ، العملاء والأفراد الآخرين و الكيانات القانونية.

تشمل مسؤوليات المنظمة المشغلة ما يلي:

  • ضمان مشروعية معالجة البيانات الشخصية ؛
  • بناء نظام حماية البيانات الشخصية وفقًا لمتطلبات FSTEC و FSB لروسيا ؛
  • إرسال إشعار إلى Roskomnadzor ؛
  • تطوير الوثائق الداخلية.
  • أداء اختبارات التأهيل أو تقييم المطابقة ؛
  • التحديث المنهجي لنظام حماية البيانات الشخصية.

في كثير من الأحيان ، يتبين أن هذه مهمة صعبة ومكلفة ، بما في ذلك بسبب الحاجة إلى الحصول على وثيقة تؤكد فعالية التدابير المتخذة لحماية البيانات الشخصية. لهذا السبب تفضل معظم الشركات تحسين هذه العملية من خلال البحث عن شريك موثوق به مع حل جاهز في بنية أساسية افتراضية خارجية.

لكي تمتثل جميع الكيانات القانونية على أراضي روسيا للقانون الذي يحمل نفس الاسم FZ-152 ، فإننا - نستضيف موقعًا إلكترونيًا بالتعاون مع WELLSERVICE - نقدم حلًا أقل تكلفة ويستغرق وقتًا طويلاً: نقل تخزين البيانات الشخصية ومعالجتها إلى نظام سحابي آمن نسميه - "ISPDN في السحابة".

يتم توفير خوادم لأنظمة معلومات البيانات الشخصية (ISPDN) لأي شركة موجودة في الإقليم وتكون مقيمة الاتحاد الروسي.

ما هو ISPDN في السحابة؟

ISPDN في منتج السحابة - آمن منفصل خادم إفتراضي، بالتعرفة التي اخترتها ، الامتثال الكامل لمتطلبات ФЗ-152.

كل ISPDN في السحابة هو كائن معزول تمامًا. هذا يعني أن الوصول إلى ISPD الخاص بك من مزود الاستضافة محظور باستخدام إجراءات أمان معتمدة وسري تمامًا!

تتحقق سرية المعلومات المعالجة من خلال:

  • الوصول إلى البيانات الموجودة على "ISPDN في السحابة" مقيد عن طريق الحماية ضد الوصول غير المصرح به (NSD) المعتمد من قبل FSTEC في روسيا وباستخدام وظائف برنامج Hypervisor للجهاز الظاهري (والذي يعد جزءًا من أداة حماية معتمدة).
  • تنتقل البيانات عبر قنوات الاتصال من محطة مشغل المنظمة للبيانات الشخصية إلى واجهة الشبكة آلة افتراضيةيتم تشفيرها باستخدام أداة حماية المعلومات المشفرة (CIP) المعتمدة من قبل FSB في روسيا. صور القرصيتم أيضًا تشفير الأجهزة الافتراضية باستخدام أدوات حماية المعلومات المشفرة.
  • لا يوجد لدى أي من مراكز البيانات أي مفاتيح وصول إلى أدوات حماية المعلومات المشفرة الموجودة في الجهاز الظاهري للعميل. لذلك ، على سبيل المثال ، للتنزيل نظام التشغيلعلى الخادم الافتراضي الخاص ، يقوم العميل بإدخال كلمة المرور بشكل مستقل من حاوية التشفير التي تحتوي على قسم النظام... يتم تنفيذ هذا الإجراء باستخدام محمل نظام التشغيل الذي طورته شركتنا خصيصًا على جهاز افتراضي. في الوقت نفسه ، يمكن إعادة إنشاء مفاتيح الوصول بواسطة مستخدم الجهاز الظاهري في أي وقت ، ويمكن إعادة تشفير الحاوية المشفرة وفقًا لذلك.
  • يتم ضمان توافر وسلامة المعلومات المعالجة من خلال استخدام قنوات الاتصال المحجوزة وأنظمة تخزين البيانات الموثوقة وأجهزة التبريد وإمدادات الطاقة غير المنقطعة. شركاؤنا هم أفضل مراكز البيانات في روسيا: Miran و IXCellerate و KIAEHOUSE.

ماذا تقدم ISPDN في السحابة للشركات في روسيا؟

إجراء بسيط:سنقوم بمجموعة كاملة من الأعمال التنظيمية والقانونية والتقنية - تطوير نموذج للتهديد الأمني ​​، ومفهوم نظام الحماية ، ومنهجية إصدار الشهادات ، والأداء المباشر لاختبارات الاعتماد وإصدار شهادة المطابقة. باختيار منتجنا "ISPDn in the cloud" ، لا تحتاج إلى الحصول على موافقة عناصر البيانات الشخصية عند جمعها.

وفورات كبيرة:يحرر منتجنا شركة العميل من تكاليف إنشاء وامتلاك بنية أساسية آمنة لتكنولوجيا المعلومات لتخزين البيانات الشخصية ومعالجتها وحمايتها. علاوة على ذلك ، يتم توفير وضع ISPDN في السحابة كخدمة ، ولا تتحمل شركة العميل تكاليف رأسمالية.

إيجابياتنا:

  • اجتاز النظام الآمن "ISPDN في السحابة" جميع الشهادات اللازمة باعتباره متوافقًا تمامًا مع جميع متطلبات تشريعات الاتحاد الروسي في مجال البيانات الشخصية ؛
  • الامتثال الكامل لمتطلبات FSTEC و FSB لروسيا لجميع الأجهزة والبرامج وكذلك عناصر الشبكةالأنظمة.
  • لا تحتاج إلى الحصول على موافقة موضوعات البيانات الشخصية عند جمعها ؛
  • الاستشارات والدعم في جميع مراحل التنفيذ والعمل مع المنتج.
  • حزمة كاملةالوثائق التنظيمية والإدارية والتنظيمية ؛
  • لا توجد تكاليف رأس المال.

ما هي عملية تقديم الخدمة؟


1

تسجيل ممثل شركة العميل على موقعنا الإلكتروني والتعبئة اللاحقة لاستمارة طلب الخدمة "ISPDN في السحابة": الحاجة إلى الشهادة ، تفاصيل المنظمة ، نوع النشاط.

بناءً على متطلبات ISPDN ، يمكنك اختيار خطة تعريفة مناسبة مع معلمات الخادم المطلوبة: حجم القرص وذاكرة الوصول العشوائي.

إبرام اتفاقية لتقديم خدمة ISPDN في السحابة والدفع.

استنادًا إلى البيانات المقدمة ، سنقوم بإعداد مجموعة من المستندات التنظيمية والإدارية والتنظيمية لك ، بما في ذلك توفير البيانات الشخصية ، وقانون تصنيف ISPD ، ونموذج التهديد والوثائق الضرورية الأخرى. سيتحقق أحد المتخصصين في شركتنا من صحة تعبئة هذه المستندات والموافقة عليها.

نحن نتفق معك في تاريخ إصدار الشهادة في مكان العمل. بعد مغادرة أحد المتخصصين والتحقق من جميع متطلبات مكان العمل ، ستتلقى شهادة المطابقة ومجموعة كاملة من المستندات التي تشهد امتثال ISPD الكامل للمتطلبات والمعايير رقم 152-FZ "بشأن البيانات الشخصية" وجميع اللوائح.


تراخيصنا وشهاداتنا


* تكلفة خادم ISPDN الآمن مع حزمة من المستندات وإجراء التصديق عند دفعها لمدة عام واحد.

بيع بنية تحتية آمنة لتخزين ومعالجة البيانات الشخصية حسب المقدم خطط التعريفةنفذت في مدة لا تقل عن سنة واحدة.

عند طلب أول خادم في ISPDN ، يتم فرض رسوم تثبيت قدرها 11300 روبل.

الحل "السحابة منطقة حرة 152»يحرر مشغل البيانات الشخصية من تكاليف إنشاء وامتلاك بنية تحتية آمنة لتكنولوجيا المعلومات لتلبية متطلبات 152-FZ و 242-FZ. بمعنى آخر ، إذا كان التشريع الروسي يلزم شركتك باتخاذ جميع الإجراءات التنظيمية والتقنية اللازمة لحماية البيانات الشخصية من الوصول غير المصرح به وغير المصرح به ، فاختر حلاً جاهزًا من Cloud4Y.

انقر فوق الزر "جربه مجانًا" ، واملأ نموذجًا قصيرًا وتعرف على كيفية تجنب المشكلات المكلفة المتعلقة بتنظيم بنية تحتية لتكنولوجيا المعلومات تفي بالمتطلبات القانون الاتحادي رقم 152

لماذا تحتاج "Cloud FZ 152":

  • "سحابة" منفصلة آمنة ومعتمدة ومعتمدة لاستضافة ISPD.
  • اعتماد آليات المحاكاة الافتراضية: مراقب موارد حسابية ، ونظام إدارة لشبكة نقل بيانات افتراضية ، ومنصة افتراضية ونظام تخزين.
  • توفير خدمات الأمان (استنادًا إلى أدوات الأمان المعتمدة) التي يمكن استخدامها من قبل العملاء الذين يضعون ISPDN الخاص بهم في السحابة.

تنظيم وضع ISPDN في السحابة:

  • يحرر مشغل البيانات الشخصية من التكاليف الرأسمالية لإنشاء وامتلاك بنية تحتية آمنة لتكنولوجيا المعلومات ؛
  • يحرر المشغل من جزء من المسؤولية القانونية لتلبية متطلبات 152-ФЗ ، 242-ФЗ ؛
  • يسمح لك باستخدام البرامج على مستوى النظام والخاصة للمزود ؛
  • يسمح لك بتلقي دعم البنية التحتية لتكنولوجيا المعلومات من قبل موظفين مؤهلين تأهيلا عاليا في وضع 24 × 7

ميزات "Cloud FZ 152":

  • يتم توفير وضع ISPDN كخدمة ، أي أن العميل ليس لديه تكاليف رأسمالية.
  • تعمل Cloud4Y بصفتها الشخص المسؤول عن معالجة البيانات الشخصية نيابة عن المشغل.
  • تم اعتماد النظام من قبل الحاصلين على ترخيص FSTEC ، مما يؤكد امتثاله لمتطلبات السلامة. لقد اجتازت وسائل الحماية المطبقة تقييم المطابقة وفقًا للإجراءات المعمول بها ولديها شهادات صادرة عن الهيئات ذات الصلة في FSTEC و FSB في روسيا.
  • توفر الشهادات لعناصر مختلفة من السحابة التي تنفذ وظائف الأمان (Hypervisor ، وأدوات الأمان المدمجة في السحابة ، وأدوات الأمان المقدمة للعملاء كخدمات أمان.
  • مجموعة من تدابير الحماية التنظيمية والفنية التي تسمح للعملاء بإغلاق التهديدات الفعلية من موظفي الخدمة ، من العملاء الآخرين والمخالفين الآخرين.

الوثائق المعيارية والتصنيف

يمكنك قراءة نص القانون الاتحادي رقم 152 بشأن البيانات الشخصية باتباع الرابط.

الكتاب الأبيض عن القانون الفيدرالي 152 - كتاب يمكن الرجوع إليه في مسائل معالجة البيانات الشخصية

درس خبراء Cloud4Y قضية حماية البيانات الشخصية ووضعوا إرشادات حول كيفية تصرف المنظمات للامتثال للقانون الفيدرالي 152. حاولنا لغة بسيطةشرح بنود التشريع وإزالة اللبس ووصف الخطوات الواجب اتخاذها.

التراخيص والشهادات



الأسعار

العرض: فقط حتى 30 أبريل 2020 "Cloud FZ 152" بالسعر المعتاد إلى الأبد! تفاصيل

لتلقي حساب تكلفة خدمة "Cloud FZ-152" ، اتصل بأي مدير عبر الهاتف +7 495 268 04 12 أو أي دولة أخرى بطريقة مريحةمتوفر في القسم


تحقق من قائمة الإجراءات القانونية التنظيمية التي تحدد المتطلبات الإلزامية لتنفيذ أنشطة الكيانات القانونية ورجال الأعمال الفرديين للامتثال لمعالجة البيانات الشخصية مع متطلبات تشريعات الاتحاد الروسي في مجال البيانات الشخصية في حلقة الوصل.


أسئلة وأجوبة (FAQ)

1. ما هو جوهر خدمتك ФЗ-152؟
لقد أنشأنا في مركز البيانات لدينا دائرة محمية حصلت على شهادة متطلبات الأمان وفقًا للقانون الاتحادي رقم 152 وحصلنا على شهادة المطابقة لحماية البيانات الشخصية حتى مستوى الأمان الأول. ونساعد عملائنا على إغلاق مشكلة الامتثال من وجهة نظر فنية. قد تكون مؤسسات الدولة مهتمة أيضًا بشهادة المطابقة من الدرجة الأولى لأنظمة معلومات الدولة (وفقًا للترتيب السابع عشر من FSTEC) وشهادة الحماية معلومات سريةفي الفئة 1G (وفقًا لـ STR-K).

2. لماذا نحتاجها؟
نظرًا لأنك معالج للبيانات الشخصية ، فإن تأثير القانون الاتحادي رقم 152 ينطبق عليك تلقائيًا. وتخضع مؤسسات الدولة التي تمتلك أنظمة معلومات حكومية أيضًا إلى الترتيب السابع عشر من FSTEC.

3. كم يكلف؟
يتم احتساب التكلفة بشكل فردي للعميل ، مع مراعاة الحجم ومستوى الأمان وشروط التنسيب.

4. هل يمكنك المساعدة في إعداد الوثائق؟
نعم نستطيع ، (نحن نقدم قوالب جاهزةأو نتعهد بكامل عملية التحضير بنظام الإنجاز الكامل).

5. كيف يتم تنظيم قناة نقل البيانات؟
يتم تشفير القناة وفقًا لـ GOST الروسي من خلال منسق VipNet.

إذا لم تجد إجابة لسؤالك ، فانتقل إلى أسئلتنا ، واسأل مستشارينا على الموقع باستخدام الدردشة عبر الإنترنت ، أو اكتب طلب دعم باستخدام.

دخلت تعديلات القانون الاتحادي حيز التنفيذ في 01.09.2015 "بشأن البيانات الشخصية" (القانون 152 FZ).
وفقًا للقانون ، يجب تخزين البيانات التي يدخلها العميل على موقع الويب الخاص بك على أراضي الاتحاد الروسي.
وهذا ليس كل شيء. حول من سيتأثر بهذا القانون وماذا يفعل ، في مقالتنا.

في 1 سبتمبر 2015 ، دخلت تعديلات قانون "البيانات الشخصية" حيز التنفيذ.
وفقًا لهذا القانون ، يجب تخزين جميع البيانات التي يدخلها العميل على موقع الويب الخاص بك والتي هي بالضبط البيانات الشخصية (جواز السفر والعناوين ، بما في ذلك البريد الإلكتروني وبيانات الدفع وما إلى ذلك) على أراضي الاتحاد الروسي.

هنا مقتطف من القانون 152 بشأن حماية البيانات الشخصية

"عند جمع البيانات الشخصية ، بما في ذلك من خلال شبكة المعلومات والاتصالات السلكية واللاسلكية على الإنترنت ، يلتزم المشغل بضمان التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واستخراج البيانات الشخصية لمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي ، باستثناء الحالات المحددة في البنود 2 و 3 و 4 و 8 من الجزء 1 من المادة 6 من هذا القانون الاتحادي "(الجزء 5 من المادة 18 من القانون الاتحادي" بشأن البيانات الشخصية " ). "


مصطلح "عامل" يعنيجميع الشركات ، ولا سيما التجارة الإلكترونية ، على مواقع الويب التي يشير العملاء إلى معلوماتهم الشخصية.

حسنًا ، هذا ليس كل شيء.في فبراير 2017 ، تم إجراء مزيد من التعديلات على قانون حماية البيانات الشخصية. تلزم هذه التعديلات جميع مالكي المواقع والمتاجر عبر الإنترنت (المشغلين) بإخطار المستخدمين بأنهم عند إدخال البيانات الشخصية على الموقع ، يوافقون على جمعها ومعالجتها وتخزينها.

إذا تجاهلت هذه التعديلات على القانون ، فإنك تخاطر بفرض غرامة تصل إلى 75000 روبل عن انتهاك واحد. وإذا كان هناك المزيد منهم ، فإن مبلغ الغرامة سيزداد (في حالة انتهاك تشريعات الاتحاد الروسي في مجال البيانات الشخصية - المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي)

ما الذي يهدد أيضًا عدم الامتثال لقانون البيانات الشخصية؟

لقد تحدثنا بالفعل عن الغرامات الكبيرة. يمكن أن يؤثر على الجميع. ولا تعتقد أن الأمر لا يتعلق بك :) انظر إلى ممارسة المحكمة وستفهم أن هذه ليست مزحة. هنا ، على سبيل المثال ، هي القضية المثيرة لشركة Tambov Law Company (القرار رقم 4A-288/2016 المؤرخ 4 أكتوبر 2016 في القضية رقم 4A-288/2016) ، والتي تم تغريمها لارتكاب انتهاكات في تخزين PD. مبلغ الغرامة ضئيل ، لكن يجب أن يؤخذ في الاعتبار أنه منذ 1 يوليو 2017 ، زادت الغرامات بشكل كبير.

بالإضافة إلى المسؤولية الإدارية ، قد تكون هناك مسؤولية جنائية. لذلك إذا تسببت في ضرر معنوي لمستخدم وقعت بياناته الشخصية ، على سبيل المثال ، في الأيدي الخطأ.
حسنًا ، لمثل هذه الانتهاكات ، يمكن لـ Roskomnadzor حجب الموقع ووضعك على ما يسمى "القائمة السوداء".
ثم استعد لإجراء فحوصات إضافية بواسطة Roskomnadzor.

ما يجب القيام به؟

  1. أول شيء يجب فعله هو إخطار المستخدمين بشأن معالجة البيانات الشخصية... إذا لم تكن قد فعلت ذلك بالفعل ، فقد حان الوقت الآن. قم بتطوير ونشر مستند على موقع الويب حول معالجة PD ، وكذلك الحصول على موافقة المستخدمين على هذه المعالجة (على سبيل المثال ، عن طريق وضع مربع اختيار يحتوي على معلومات ضمن كل نموذج تسجيل).
    بشكل عام ، يمكن القيام بذلك بطرق مختلفة ، اعتمادًا على أهدافك وخصائص عملك. على سبيل المثال ، تنشر Ozon سياسة خصوصية على موقع الويب ، وعند تسجيل مستخدم ، تأخذ الموافقة على معالجة PD. أو يمكنك نشر معلومات حول جمع PD كجزء من عرض عام ، كما يفعل Lamoda ، وكذلك جمع الموافقة على المعالجة أثناء التسجيل. أو مثل SberBank ، الذي يضع مثل هذه المعلومات في اتفاقية.
  2. تحضير المستندات الداخليةتنظم قواعد تنفيذ هذا القانون. وتشمل هذه الأوامر والتعليمات وتعيينات الأشخاص المسؤولين عن تخزين المعلومات الشخصية.
  3. من المهم جدًا التأكد من تخزين البيانات في روسيا (على الخوادم الروسية).
    هذا مطلوب بموجب قانون حماية معلومات المستخدم (الجزء 5 من المادة 18 من القانون الاتحادي "بشأن البيانات الشخصية").
    لذلك ، تحقق من مزود الاستضافة الخاص بك لمعرفة عنوان موقع الخوادم التي تستضيف موقعك وإبرام اتفاقية معه ، حيث سيتم الإشارة إلى هذا العنوان. ستحتاج إلى هذا العنوان لملء إشعار إلى Roskomnadzor. إذا كان لديك خادم خاص بك ، فتأكد من حفظ المستندات له. قد تكون مطلوبة من قبل Roskomnadzor في سياق تدقيق محتمل. وينطبق الشيء نفسه على اتفاقية مع مزود استضافة.

    إذا كان مزود الاستضافة الخاص بك يستضيف خوادمه في مركز بيانات روسي ، فكل شيء على ما يرام.
    هذه هي أسهل طريقة لتلبية المتطلبات القانونية عن طريق شراء استضافة من مزود محلي.

    هناك طريقة أخرى تسمى نقل البيانات عبر الحدود. هذا لا يحظره القانون. يُسمح بتخزين PD بالخارج ، ولكن مع بعض التحفظات. لذلك ، يجب أن يكون لدى الشركة في أي حال ، بالإضافة إلى تخزين PD في الخارج ، قاعدة البيانات هذه على أراضي الاتحاد الروسي. ولكن في الوقت نفسه ، يجب أن تكون القاعدة هي الأكثر اكتمالاً وحداثة. المخطط هنا هو - يتم جمع قاعدة البيانات الكاملة مع البيانات الشخصية وتنظيمها وتخزينها على أراضي الاتحاد الروسي ، ومن ثم يمكن نقل البيانات إلى الخارج. من المهم أن نفهم أن المصدر الأساسي هو القاعدة الموجودة على أراضي الاتحاد الروسي.

  4. بعد ذلك ، قم بإعداد وإرسال إشعار إلى Roskomnadzor.
    يمكن القيام بذلك من خلال النموذج الإلكتروني الموجود على الموقع الإلكتروني:

    لست بحاجة إلى إرسال إشعار إذا:


      أنت تعالج بيانات الموظف فقط ؛

      إبرام اتفاق مع شخص معين ويتم استخدام البيانات المحددة في الاتفاقية فقط لتنفيذ هذه الاتفاقية ، أي لا يتم نشر المعلومات أو نقلها إلى أطراف ثالثة دون موافقة موضوع البيانات الشخصية (هذه الفقرة غامضة ، حيث قد تنشأ أسئلة بسبب تفاصيل العمل. من المهم صياغة اتفاقية بشكل صحيح ، مع مراعاة جميع الفروق الدقيقة التي تفي بمتطلبات القانون ، لذلك ننصح باستشارة محامٍ ، وفي حال عدم وجود إجابة محددة ، فمن الأفضل إرسال إخطار.) ؛

      إذا كانت البيانات المجمعة تتضمن فقط أسماء المستخدمين ؛

      إذا قام المستخدم بنفسه بإتاحة بياناته الشخصية للجمهور.

ملاحظةأننا نتحدث فقط عن الحالات التي لا يكون فيها الإخطار ضروريًا. البيانات المذكورة أعلاه لا تزال شخصية ومن الضروري إخطار المستخدم بها.

بدلا من الخاتمة

لا يجب أن يخافوا من هذا القانون. كما أنه ينظم حقوقنا كأفراد. قام كل واحد منا مرة واحدة على الأقل بشراء البضائع عبر الإنترنت وترك بياناته الشخصية. الآن أنا وأنت لدينا أسباب للدفاع عن حقوقنا بطريقة قانونية ، إذا تم انتهاك حقوقنا.

بالنسبة لأصحاب المواقع ، فإن أهم شيء هو ترتيب كل شيء بشكل صحيح. من خلال القيام بذلك ، ستحمي نفسك من الغرامات والمسؤوليات الأخرى وتأمين ثقة عملائك.
ملاحظة صغيرة:ننصحك بعدم القيام بذلك كنسخة كربونية ، على سبيل المثال ، كما هو الحال مع المنافسين - لكل منهم تفاصيله الخاصة. من الأفضل قضاء بعض الوقت في تطوير الوثائق خصيصًا لعملك بدلاً من دفع الغرامات لاحقًا. وإذا كان لا يزال لديك أسئلة ، اطلب المساعدة من محاميك ، مثل هذا المقاللن يحل محل متخصص، مما سيساعدك على القيام بكل شيء بالطريقة التي تحتاجها وخاصة لأهدافك وغاياتك.

  • شارك هذا:

قبل الشروع في تحليل 152-ФЗ ، يجب أن تعلم أن هناك أيضًا القانون 242-، الذي دخل حيز التنفيذ في 1 سبتمبر 2015 ، وهو قانون معياري عدل مصدرًا أساسيًا آخر للقانون - ФЗ № 152 ، تم تبنيه في يوليو 2006. رافق اعتماد قانون "توطين البيانات الشخصية" تغطية واسعة النطاق للمبادرة التشريعية في وسائل الإعلام المختلفة ، مما أدى إلى: اثنين من الأساطير الرئيسيةبشأن القانون الاتحادي رقم 242-FZ:

  • الروس ممنوعون الآن من نشر بياناتهم الشخصية (المواقع) في الخارج ؛
  • تم حظر جميع الشركات الأجنبية من تلقي ومعالجة البيانات الشخصية للروس على خوادم خارج الاتحاد الروسي.

ينص القانون الاتحادي رقم 242-FZ على أنه "عند جمع البيانات الشخصية ، بما في ذلك عبر الإنترنت ، يلتزم المشغل بضمان التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واستخراج البيانات الشخصية لمواطني الدولة الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي ". في حالة عدم مراعاة القانون ، قد يكون الوصول إلى موقع ويب تم اكتشافه ضمن عملية جمع وتخزين البيانات الشخصية للمواطنين الروس في قواعد البيانات الواقعة ضمن اختصاص الاتحاد الروسي محدودًا.

هل يمكنني استخدام الاستضافة في الخارج

القانون لا يحظروضع أي موقع (قاعدة بيانات) على الخوادم الموجودة في أراضي البلدان التي وقعت على اتفاقية مجلس أوروبا ETS رقم 108 ، وكذلك نقل البيانات الشخصية عبر الحدود... وفقًا لاتفاقية مجلس أوروبا ETS رقم 108 "بشأن حماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية" ، التي صدقت عليها روسيا ، ينص الجزء 2 من المادة 12 على أن الدول التي تنضم إليها لن تحظر أو تضع تحت تحكم خاص ، تدفق المعلومات من البيانات الشخصية التي تذهب إلى إقليم الطرف الآخر في الاتفاقية ، والفن. 25 يحظر أي تحفظات على الاتفاقية.

هذا يعني أن استخدام الاستضافة في الخارج (وليس داخل الاتحاد الروسي) ، وكذلك تخزين البيانات الشخصية ومعالجتها ، يعتبر قانونيًا إذا كان الاستضافة تقع في أحد البلدان التي وقعت على الاتفاقية: النمسا ، بلجيكا ، بلغاريا ، الدنمارك ، بريطانيا العظمى ، المجر ، ألمانيا، اليونان ، أيرلندا ، إسبانيا ، إيطاليا ، لاتفيا ، ليتوانيا ، لوكسمبورغ ، مالطا ، هولندا ، بولندا ، البرتغال ، رومانيا ، سلوفاكيا ، سلوفينيا ، فنلندا ، فرنسا ، جمهورية التشيك ، السويد ، إستونيا ، وكذلك على النحو التالي من تفسيرات Roskomnadzor ، في البلدان التي تضمن الحماية الكافية للبيانات الشخصية. هذه هي البلدان التي لديها إجراءات قانونية تنظيمية وطنية في مجال حماية البيانات الشخصية وهيئة إشرافية معتمدة لحماية حقوق موضوعات البيانات الشخصية: أندورا ، الأرجنتين ، إسرائيل ، أيسلندا ، كندا ، ليختنشتاين ، النرويج ، صربيا ، كرواتيا ، الجبل الأسود ، سويسرا ، كوريا الجنوبية ، اليابان.

أين يجب تخزين البيانات الشخصية

ماديًا ، يمكن استضافة الموقع وقاعدة البيانات من قبل أي دولة وقعت على اتفاقية مجلس أوروبا ETS رقم 108. يحتوي القانون على شرط أن يضمن المشغل التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واستخراج البيانات الشخصية لمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي ، ولكن القانون لا يحظر تخزين البيانات الشخصية للروس على خوادم خارج أراضي الاتحاد الروسي. الشرط الوحيد هو أن يتم جمع البيانات الشخصية ومعالجتها في البداية في الاتحاد الروسي. لكن ، نكرر ، هذا لا يمنع نقل البيانات الشخصية عبر الحدود والعمل معها في البلدان التي وقعت على الاتفاقية.

استضافة الامتثال JIHOST 152-FZ

يتوافق Jikhost تمامًا مع 152-FZ من خلال استخدام النسخ المتماثل ونقل البيانات الشخصية عبر الحدود.

يتم وصف رسم تخطيطي لعمل الأمراء أدناه:

استضافة امتثال Jikhost لـ 152-FZ أي تغيير في قاعدة بيانات الموقع ، بما في ذلك عند نقل المعلومات الشخصية ، يتم نسخ قاعدة البيانات إلى خادم موجود في الاتحاد الروسي ، وبالتالي ضمان استمرار ملاءمة البيانات واكتمالها وفقًا للقانون. ثم يتم نسخ البيانات إلى قاعدة بيانات الخادم المحلي ، والتي يعمل معها الموقع لاحقًا. هذا النمط الدائري يعمل في كل مكان. علاوة على ذلك ، إذا كانت قراءة البيانات مطلوبة فقط ، فإنها تحدث بدون نسخ ، مباشرة من قاعدة البيانات المحلية. بالإضافة إلى الامتثال لـ 152-FZ ، هذا المخططيعمل على تحسين الأداء والتسامح مع الأخطاء وموثوقية الاستضافة.

  • القانون الاتحادي "بشأن البيانات الشخصية" بتاريخ 27 يوليو 2006 N 152-FZ

المنشورات

منذ سبتمبر 2015 ، دخلت لائحة توطين تخزين البيانات الشخصية (242-بتاريخ 21 يوليو 2014) حيز التنفيذ في الاتحاد الروسي. تبين أن هذا الابتكار ، بالطبع ، كان أحد المحركات الرئيسية في سوق الاستضافة والحوسبة السحابية الروسية ، مما أجبر مشغلي البيانات الشخصية ومقدمي الاستضافة على التفكير مرة أخرى في كيفية ضمان الامتثال لمثل هذا الكيان الذي يبدو بسيطًا مثل موقع الويب ، متطلبات التشريع على البيانات الشخصية.

على الرغم من أن القانون الاتحادي رقم 27.07.2006 N 152-FZ "بشأن البيانات الشخصية" قد تم اعتماده منذ وقت طويل ، إلا أنه لم يتكيف معه الجميع وتعلم تنفيذه. ويرجع ذلك جزئيًا إلى العدد الكبير من الوثائق المعيارية وإصدار تعديلات عليها بانتظام. اليوم يأتون من أربع إدارات: الحكومة ، Roskomnadzor ، FSTEK و FSB. وأيضًا بفضل الوضع المتوازن للجهة المنظمة ، التي اختارت ، بدلاً من سياسة الطرق في المسامير ، استراتيجية الشد السلس ولكن الحتمي للصواميل.

إذا كانت الشركات الكبرى والسلطات الحكومية ، بصفتها أكثر المشاركين انضباطًا في السوق ، قد قامت بالفعل في معظم الأحيان بتهيئة أنظمة معلومات البيانات الشخصية (ISPDN) الخاصة بها بما يتماشى مع التشريعات ، فإن الشركات المتوسطة والصغيرة بدأت الآن فقط في إدراك ذلك لمزيد من الوجود والتطوير ، كل شيء - لذلك سيكون من الضروري الخروج من الظل ، بما في ذلك من حيث تنفيذ التشريعات المتعلقة بالبيانات الشخصية ، خاصة وأن هذا الظل ذاته لا يزال أقل وأقل وقد بدأ بالفعل في الافتقار إلى الجميع.

ما الذي يجب أن يفعله مالك موقع الويب ، الذي يجمع البيانات الشخصية للمستخدمين ويخزنها (على سبيل المثال ، في الحساب الشخصي لمتجر عبر الإنترنت)؟ دعنا نحاول معرفة ذلك معًا.

إذا قام موقع ويب بجمع بيانات شخصية ، فإنه يعتبر نظام معلومات شخصية ويخضع لـ 152-FZ

إليكم ما يقوله Roskomnadzor نفسه عن هذا: "وفقًا للفقرة 9 من الفن. 3 من القانون الفيدرالي "بشأن البيانات الشخصية" ، فإن نظام معلومات البيانات الشخصية عبارة عن مجموعة من البيانات الشخصية الواردة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها. إذا كان موقع الويب يلبي المتطلبات المحددة ، فهو نظام معلومات ".

ما هي البيانات الشخصية ، نعلم جميعًا بشكل بديهي ، ولكن من المهم أن نفهم ما هي من وجهة نظر التشريع. وفقًا للفقرة 1 من المادة 3 من القانون الاتحادي رقم 152-FZ ، فإن البيانات الشخصية هي أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد محدد أو يمكن التعرف عليه. وهذا يعني أنه عمليًا أي شيء: من TIN إلى لون الشعر وحجم الحذاء ، ناهيك عن رقم الهاتف والعنوان ، سواء كان ذلك عبر البريد الإلكتروني أو البريد.

وبالتالي ، متجر عبر الإنترنت أو مجرد موقع ويب حيث يوجد حساب شخصي أو تسجيل مستخدم ، والطلب عبر الإنترنت ، والحجز ، والدفع ، والتسليم ، إلخ. إلخ ، من حيث 152-FZ ، كل هذا هو نظام معلومات بيانات شخصية (ISPDN) ، ومالكه هو مشغل البيانات الشخصية.

يأخذ قانون البيانات الشخصية في الاعتبار الاتجاهات في الحوسبة السحابية والاستعانة بمصادر خارجية

لقد قيل وكتب الكثير حول أهمية وآفاق تعهيد تكنولوجيا المعلومات ، وخاصة للشركات في قطاع الأعمال الصغيرة والمتوسطة الحجم ، لذلك في هذه المقالة لن أثير غضب القارئ "للسحب". علاوة على ذلك ، نعلم جميعًا جيدًا أن معظم المواقع على الإنترنت مستضافة على خوادم الويب العامة لموفري خدمات الاستضافة.

هناك العديد من الأسباب لذلك ، ولكن لا شك أن السبب الرئيسي هو الرغبة المشتركة للشركات لتوفير المال ، والحصول على خدمة ويب رخيصة مع توفر عالٍ. إن إنشاء البنية التحتية للحوسبة الخاصة بك بموثوقية يمكن مقارنتها على الأقل بمركز بيانات المستوى الثالث يكلف ملايين الروبلات. أولاً ، أنت بحاجة إلى غرفة مناسبة: ليست ممرًا ، ولا قبوًا ، ولا علية ، حتى لا تغمرها المياه ، وحتى لا يتمكن الغرباء من الوصول إليها. نحن بحاجة إلى تهوية وتكييف ، مع قدر معين من التكرار. من الضروري تنظيم مصدر طاقة احتياطي ومستقل. للقيام بذلك ، تحتاج إلى وضع مولد ديزل في مكان ما. أخيرًا ، نحتاج إلى الأمن المادي وموظفي الخدمة. بالإضافة إلى ذلك ، لضمان توفر الخدمة ، سيتعين عليك شراء مجموعة كاملة من قطع الغيار لأجهزة الخادم والشبكة. وهذا يعني أنه بدلاً من خادم واحد ، عليك بالفعل شراء اثنين.

بطبيعة الحال ، مع تطور الحوسبة السحابية وتقنيات المحاكاة الافتراضية واتجاه واضح نحو الاستعانة بمصادر خارجية ، تسعى المزيد والمزيد من الشركات من قطاع الشركات الصغيرة والمتوسطة إلى نقل أنظمة المعلومات الخاصة بها من وحدات النظام "تحت المكتب" إلى موارد الحوسبة السحابية الموجودة في مراكز الحوسبة التي تلبي المعايير الصناعية الحديثة.

الخامس نظم المعلوماتتقوم أي مؤسسة بتخزين ومعالجة قدر معين من البيانات الشخصية. يمكن أن تكون البيانات الشخصية لموظفي الشركة وبيانات العملاء أو الأطراف المقابلة. أنظمة معلومات الشركات متنوعة للغاية ، وظيفيًا وتقنيًا. يمكن أن يكون نظام أتمتة محاسبة ، على سبيل المثال ، 1C وموقع ويب به حساب شخصيالمستخدم والمتجر عبر الإنترنت. في الوقت نفسه ، فإن أنظمة المعلومات هذه ، كقاعدة عامة ، مترابطة - فهي تنقل المعلومات إلى بعضها البعض ، بما في ذلك البيانات الشخصية.

وفقًا للبند 3 من المادة 3 من 152-FZ ، فإن معالجة البيانات الشخصية هي أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي ، أو بدون استخدام هذه الأدوات مع البيانات الشخصية ، بما في ذلك التجميع والتسجيل ، التنظيم ، التراكم ، التخزين ، التوضيح (التحديث ، التغيير) ، الاستخراج ، الاستخدام ، النقل (التوزيع ، التوفير ، الوصول) ، تبديد الشخصية ، الحجب ، الحذف ، إتلاف البيانات الشخصية.

وبالتالي ، فإن وضع ISPD على خادم المزود ليس أكثر من الاستعانة بمصادر خارجية ، على الأقل ، لوظائف معالجة البيانات الشخصية مثل: التسجيل والتخزين والقراءة (الاسترداد) والنقل والحذف.

وفقًا للفقرة 2 من المادة 3 152-FZ ، يعتبر المشغل (البيانات الشخصية) قانونيًا أو فردبشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية ، فضلاً عن تحديد أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية المراد معالجتها ، والإجراءات (العمليات) التي يتم إجراؤها باستخدام البيانات الشخصية.

وفقًا لذلك ، فإن مزود الاستضافة ، الذي تولى وظائف تخزين البيانات الشخصية ونقلها ، هو المشغل ، جنبًا إلى جنب مع مالك الموقع (نظام المعلومات الذي يعالج هذه البيانات الشخصية) ، ووفقًا للقانون ، فهو ملزم باتخاذ بعض التدابير لضمان أمنهم. في الواقع ، كل شيء ليس سيئًا للغاية ويجب أن نشيد بمؤلفي قانون "البيانات الشخصية" رقم 152-FZ والمرسوم الحكومي رقم 1119 بتاريخ 01.11.2012 ، والذي نص على نقل مشغل البيانات الشخصية بيانات جزء من وظائف المعالجة للاستعانة بمصادر خارجية لأطراف ثالثة.

التنظيم القانوني لاستضافة المواقع التي تعالج البيانات الشخصية على الاستضافة المقدمة من قبل طرف ثالث

يحق لمشغل البيانات الشخصية أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر بموافقة موضوع البيانات الشخصية ، على أساس اتفاقية (تعليمات) مبرمة مع هذا الشخص. يلتزم الشخص الذي يعالج البيانات الشخصية نيابة عن المشغل بالامتثال لمبادئ وقواعد معالجة البيانات الشخصية المنصوص عليها في التشريع الحالي. يجب أن يحدد أمر المشغل قائمة بالإجراءات مع البيانات الشخصية التي سيتم تنفيذها بواسطة الشخص الذي يعالج البيانات الشخصية ، والغرض من المعالجة ، والتزام هذا الشخص بالحفاظ على سرية البيانات الشخصية وضمان أمن البيانات الشخصية أثناء يجب إثبات معالجتها ، ويجب أيضًا الإشارة إلى متطلبات حماية البيانات الشخصية المعالجة (الفقرة 3 ، المادة 6 152-FZ).

وبالتالي ، فإن مزود الاستضافة ، مثل مالك الموقع ، هو مشغل البيانات الشخصية التي تتم معالجتها على الموقع وهو مسؤول عن توفرها وسلامتها وأمنها. مع اختلاف واحد فقط - يكون مالك الموقع مسؤولاً عن موضوعات البيانات الشخصية ، وفي الحالات التي ينص عليها القانون ، يكون ملزمًا بالحصول على إذن من الأشخاص المعنيين بمعالجة البيانات الشخصية ، ومقدم الاستضافة ، بصفته شخصًا مخولًا ، مسؤول أمام صاحب الموقع ، ويتلقى البيانات الشخصية منه ويخزنها ، ولكنه غير مسؤول عن الحصول على إذن من الموضوعات.

بشكل عام ، موضوع الحصول على موافقة من الأشخاص المعنيين بمعالجة بياناتهم الشخصية كبير جدًا ومثير للاهتمام ، وبالطبع يستحق مقالة منفصلة.

تحديد مجالات مسؤولية مقدم الاستضافة ومالك الموقع للامتثال لمتطلبات حماية البيانات الشخصية

موافق ، سيكون من غير العدل تحويل كل مسؤولية أمان البيانات الشخصية إلى مزود الاستضافة. في الواقع ، في كثير من الأحيان ، ليس لديه أي فكرة عن من وكيف وعلى ما تمت كتابة الموقع المستضاف على الخادم الخاص به. ما هي كلمات المرور المستخدمة للسماح بالوصول إلى البيانات الشخصية ، وبأي شكل يتم تخزينها ، وما إذا كانت مستخدمة على الإطلاق.

وفقًا للمرسوم الحكومي رقم 1119 (الفقرات 13-16) ، من أجل ضمان المستوى المطلوب من حماية البيانات الشخصية عند معالجتها في نظم المعلومات ، يجب استيفاء المتطلبات التالية:

المتطلب PP 1119

مستوى الأمان المطلوب

مجال المسؤولية

تنظيم نظام ضمان أمن المباني التي يوجد بها نظام المعلومات

UZ-4 ؛
UZ-3 ؛
UZ-2 ؛
UZ-1 ؛

مزود استضافة؛

ضمان سلامة ناقلات البيانات الشخصية

مزود استضافة؛

موافقة رئيس المشغل على قائمة الأشخاص الذين لديهم حقوق الوصول إلى البيانات الشخصية

استخدام أدوات أمن المعلومات المعتمدة (اجتاز الإجراء لتقييم الامتثال للمتطلبات القانونية)

مزود استضافة؛

تعيين مسؤول مسؤول عن ضمان أمن البيانات الشخصية

UZ-3 ؛
UZ-2 ؛
UZ-1 ؛

مالك الموقع مزود استضافة؛

الوصول إلى محتوى سجل الرسائل الإلكترونية ممكن فقط للأشخاص المناسبينحقوق الوصول

UZ-2 ؛
UZ-1 ؛

مالك الموقع مزود استضافة؛

التسجيل التلقائي في سجل الأمان الإلكتروني للتغييرات في سلطة موظفي المشغل للوصول إلى البيانات الشخصية

UZ-1 ؛

مالك الموقع ، مزود الاستضافة

إنشاء وحدة هيكلية مسؤولة عن ضمان أمن البيانات الشخصية

مالك الموقع ، مزود الاستضافة

يجب أن يكون لدى موفر الاستضافة ترخيص Roskomnadzor لتقديم خدمات الاتصال

كما تعلم ، من أجل توفير خدمات الاتصالات ، يلزم الحصول على ترخيص من Roskomnadzor. يتبع هذا ، على سبيل المثال ، من الفقرة 36 ​​من المادة 12 من القانون الاتحادي الصادر في 04.05.2011 رقم 99-FZ "بشأن ترخيص أنواع معينة من الأنشطة".

وفقًا لقائمة أسماء خدمات الاتصالات المدرجة في ترخيص القيام بأنشطة في مجال تقديم خدمات الاتصالات ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 18.02.2005 رقم 87) ، تشمل خدمات الاتصالات المرخصة ما يلي: علياء:

  • خدمات الاتصالات عن بعد (الاستضافة ملك لهم) ؛
  • خدمات الاتصال لنقل البيانات ، باستثناء خدمات الاتصال لنقل البيانات لغرض نقل المعلومات الصوتية.

لاستضافة المواقع التي تعالج البيانات الشخصية ، يجب أن يكون لدى موفر الاستضافة ترخيص FSTEC

الخدمة الفيدرالية للرقابة الفنية والصادرات (FSTEC of Russia) - تنظم الأنشطة المتعلقة بالحماية التقنية للمعلومات ، وتتعامل مع قضايا سياسة الدولة في هذا المجال من التشريع ، والتوحيد القياسي ، والترخيص ، كما تجري عمليات التفتيش ذات الصلة.

نظرًا لأن مقدم الاستضافة ، بصفته شخصًا مخولًا بموجب العمولة التعاقدية ، هو مشغل البيانات الشخصية ، فإنه ملزم باتخاذ التدابير الفنية لحمايتها ، أي تقديم خدمات الحماية التقنية للمعلومات ، والتي وفقًا لـ تشير اللائحة الخاصة بأنشطة الترخيص للحماية التقنية للمعلومات السرية ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي المؤرخ 3 فبراير 2012 ، N 79 إلى الأنشطة المرخصة.

الإجراءات التنظيمية والفنية لضمان أمن البيانات الشخصية ، والتي تمت الموافقة عليها بموجب أمر FSTEC رقم 21 بتاريخ 18/02/2013 ، تشمل:

  • تحديد ومصادقة موضوعات الوصول وكائنات الوصول ؛
  • التحكم في الوصول إلى موضوعات الوصول للوصول إلى الأشياء ؛
  • تقييد بيئة البرنامج ؛
  • حماية وسائط تخزين الآلة ؛
  • تسجيل الأحداث الأمنية
  • الحماية من الفيروسات
  • كشف (منع) الاقتحامات ؛
  • مراقبة (تحليل) أمن البيانات الشخصية ؛
  • ضمان سلامة نظام المعلومات والبيانات الشخصية ؛
  • ضمان توافر البيانات الشخصية ؛
  • حماية البيئة الافتراضية ؛
  • حماية الوسائل التقنية ؛
  • حماية نظام المعلومات واتصالاته وأنظمة نقل البيانات ؛
  • تحديد الحوادث والاستجابة لها ؛
  • إدارة التكوين ISPD و SZPDn.

للقيام بعمل لضمان أمن البيانات الشخصية ، يُسمح بالاشتراك ، على أساس تعاقدي ، مع منظمات طرف ثالث مرخص لها بالحماية التقنية للمعلومات السرية (الفقرة 2 ، الفقرة 2 من أمر FSTEC رقم 21).

يتطلب عدد من الإجراءات لضمان أمن البيانات الشخصية أن يكون لدى مزود الاستضافة ترخيص FSB

يتضمن تكوين التدابير لضمان مستوى مناسب من حماية البيانات الشخصية ، وفقًا لأمر FSTEC رقم 21 ، التدابير التالية:

  • تنفيذ المحمية الوصول عن بعدموضوعات الوصول إلى أشياء الوصول من خلال شبكات المعلومات والاتصالات الخارجية (UPD.13) ؛
  • ضمان حماية البيانات الشخصية من الكشف والتعديل والفرض (إدخال معلومات خاطئة) أثناء إرسالها (التحضير للإرسال) من خلال قنوات الاتصال التي تتجاوز المنطقة الخاضعة للرقابة ، بما في ذلك قنوات الاتصال اللاسلكي (ZIS.3) ؛
  • التأكد من الأصالة اتصالات الشبكة(جلسات التفاعل) ، بما في ذلك الحماية من الانتحال أجهزة الشبكةوالخدمات (ZIS.11) ؛

بناءً على جوهر هذه التدابير ، من الواضح أنه من أجل تنفيذها ، من الضروري استخدام وسائل حماية المعلومات المشفرة (CIPF). كما تعلم ، يتم تنظيم المشكلات المتعلقة باستخدام أجهزة حماية المعلومات المشفرة في الاتحاد الروسي من قبل خدمة الأمن الفيدرالية (FSB of Russia).

وفقًا للوائح الخاصة بأنشطة الترخيص لتطوير وإنتاج وتوزيع وسائل التشفير (التشفير) ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 04.16.2012 رقم 313 ، فإن قائمة الأعمال التي تشكل النشاط المرخص له يشمل:

  • تطوير أنظمة معلومات واتصالات آمنة باستخدام وسائل التشفير ؛
  • تركيب ، وتركيب ، وتعديل وسائل التشفير ، وأنظمة المعلومات والاتصالات ، مع حمايتها باستخدامها ؛
  • صيانة مرافق التشفير ؛
  • نقل وسائل التشفير والمعلومات وأنظمة الاتصالات المحمية باستخدامها ؛
  • توفير خدمات تشفير المعلومات.

يجب أن يكون مركز الحوسبة لمقدم الاستضافة موجودًا على أراضي الاتحاد الروسي

اعتبارًا من 1 سبتمبر 2015 في الاتحاد الروسي ، دخل حيز التنفيذ اللائحة المتعلقة بترجمة التخزين وعمليات معينة لمعالجة البيانات الشخصية ، المحددة في القانون الاتحادي رقم 242 الصادر في 21 يوليو 2014 "بشأن التعديلات على بعض القوانين التشريعية الروسية الاتحاد من حيث توضيح إجراءات معالجة البيانات الشخصية في شبكات المعلومات والاتصالات "، وفقًا للفقرة 1 من المادة 2 منها ، التي يجب على المشغل ، عند جمع البيانات الشخصية ، بما في ذلك من خلال شبكة المعلومات والاتصالات السلكية واللاسلكية ، التأكد من التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واسترجاع البيانات الشخصية لمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي.

في الوقت نفسه ، من المهم ملاحظة أن نقل البيانات الشخصية عبر الحدود ، على هذا النحو ، ليس محظورًا ، ولكنه ينظمه القانون. يمكنك قراءة المزيد عن هذا في الفن. 12152-منطقة حرة.

باختصار عن الشيء الرئيسي

لذلك دعونا نلخص ما ورد أعلاه.

موقع الويب هو نظام معلومات شخصية إذا كانت وظيفته تسمح لك بإدخال البيانات الشخصية أو تخزينها أو عرضها. وخير مثال على ذلك هو أي موقع تقريبًا به حساب شخصي ، والقدرة على الحجز عبر الإنترنت ، أو الطلب أو الشراء مع التسليم ، وما إلى ذلك.

المعالجة عبر الإنترنت لبيانات العميل الشخصية ليست فقط ضرورة للتجارة الإلكترونية الحديثة ، ولكن أيضًا الكثير من الفرصللتسويق ، يستحق وصفه مقالة منفصلة.

مالك الموقع ، وهو ISPDN ، ملزم بتقديم إشعار إلى Roskomnadzor ، يُشار فيه إلى: ما هي البيانات الشخصية التي يخزنها ويعالجها ، حيث توجد الخوادم التي توجد عليها وظيفة ISPD فعليًا. يمكنك أن تقرأ عن هذا في مقالتي "كيفية إرسال إشعار إلى RKN وعدم الوقوع في مشاكل."

يجب أن تحتوي الاتفاقية مع مزود الاستضافة ، بالإضافة إلى الخصائص الكمية والنوعية لموارد الحوسبة ، على أمر لمعالجة البيانات الشخصية ، مع الإشارة إلى قائمة محددة من الإجراءات التي سيتم تنفيذها معهم ، ويجب أن تشير إلى الأهداف والإجراءات لمعالجة البيانات الشخصية ، يجب تحديد متطلبات حمايتها ، ومسؤولية المزود عن أمن البيانات الشخصية.

بالإضافة إلى تراخيص Roskomnadzor القياسية لتوفير خدمات الاتصال عن بعد لشركات الاستضافة ، من أجل حماية البيانات الشخصية التي تتم معالجتها على مواقع العملاء ، يجب أن يكون لدى مقدم الاستضافة ترخيص FSTEC للحماية الفنية للمعلومات السرية وترخيص FSB للتزويد للخدمات المتعلقة باستخدام أموال التشفير (التشفير).

وأخيرًا ، يجب أن يكون خادم المزود ، الذي يخزن البيانات الشخصية فعليًا ، موجودًا في الاتحاد الروسي.

لذلك ، تناقش هذه المقالة العديد من جوانب استضافة ISPD على موارد الحوسبة لمقدمي الخدمات السحابية ، ولكن بعيدًا عن كل شيء. يمكن الحصول على معلومات أكثر تفصيلاً من الوثائق وموارد المعلومات التالية:

تشريع

  • مرسوم حكومة الاتحاد الروسي بتاريخ 01.11.2012 N 1119 "بشأن الموافقة على متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية"
  • أمر FSTEC لروسيا بتاريخ 18 فبراير 2013 رقم 21 بشأن الموافقة على تكوين ومحتوى التدابير التنظيمية والتقنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية

    سيسمح لك Telegram Passport بالتعرف على هوية المستخدم. يجب تحميل جميع المستندات والبيانات الضرورية إلى Telegram مرة واحدة ، وبعد ذلك سيكون من الممكن نقلها على الفور إلى شركاء Telegram. من المخطط أنه بحلول وقت إطلاق الخدمة الجديدة ، سيكون من الممكن استخدام خدمات العديد من هؤلاء الشركاء ، بما في ذلك Qiwi.

    المزيد من التفاصيل ...


مقالات مماثلة
أنواع
  • التعليمات
  • مقارنة
  • مفتاح مجاني
  • المعاينة الفنية
  • الإخبارية
المواد شعبية
مقالات جديدة