بعد دخول الفقرة 4 ، الجزء 2 من المادة 19 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" حيز التنفيذ ، تلتزم كل شركة بإحضار أنظمة المعلومات والعمليات المتعلقة بمعالجة البيانات الشخصية وفقًا لمتطلبات تشريعات الاتحاد الروسي ...
المنظمات ملزمة بضمان حماية الحقوق والحريات الإنسانية والمدنية عند معالجة بياناتها الشخصية ، بما في ذلك حماية حقوق الخصوصية والأسرار الشخصية والعائلية. وبالتالي ، فإنها تصبح "منظمات معالجة البيانات الشخصية". ستراقب الخدمة الفيدرالية للإشراف في مجال الاتصالات الامتثال لمتطلبات التشريع ، تقنيات المعلوماتوالاتصالات الجماهيرية (Roskomnadzor) ، FSTEC و FSB من روسيا.
ينطبق القانون الفيدرالي على الشركات من أي شكل تنظيمي - وهي هيئات حكومية ومؤسسات اتحادية وبلدية: البنوك وشركات التأمين والمؤسسات الطبية ومشغلي الاتصالات والمتاجر عبر الإنترنت وسلاسل البيع بالتجزئة وشركات التصنيع والمنظمات الأخرى التي تعالج البيانات الشخصية الواردة من الموظفين ، العملاء والأفراد الآخرين و الكيانات القانونية.
في كثير من الأحيان ، يتبين أن هذه مهمة صعبة ومكلفة ، بما في ذلك بسبب الحاجة إلى الحصول على وثيقة تؤكد فعالية التدابير المتخذة لحماية البيانات الشخصية. لهذا السبب تفضل معظم الشركات تحسين هذه العملية من خلال البحث عن شريك موثوق به مع حل جاهز في بنية أساسية افتراضية خارجية.
لكي تمتثل جميع الكيانات القانونية على أراضي روسيا للقانون الذي يحمل نفس الاسم FZ-152 ، فإننا - نستضيف موقعًا إلكترونيًا بالتعاون مع WELLSERVICE - نقدم حلًا أقل تكلفة ويستغرق وقتًا طويلاً: نقل تخزين البيانات الشخصية ومعالجتها إلى نظام سحابي آمن نسميه - "ISPDN في السحابة".
يتم توفير خوادم لأنظمة معلومات البيانات الشخصية (ISPDN) لأي شركة موجودة في الإقليم وتكون مقيمة الاتحاد الروسي.
ISPDN في منتج السحابة - آمن منفصل خادم إفتراضي، بالتعرفة التي اخترتها ، الامتثال الكامل لمتطلبات ФЗ-152.
كل ISPDN في السحابة هو كائن معزول تمامًا. هذا يعني أن الوصول إلى ISPD الخاص بك من مزود الاستضافة محظور باستخدام إجراءات أمان معتمدة وسري تمامًا!
إجراء بسيط:سنقوم بمجموعة كاملة من الأعمال التنظيمية والقانونية والتقنية - تطوير نموذج للتهديد الأمني ، ومفهوم نظام الحماية ، ومنهجية إصدار الشهادات ، والأداء المباشر لاختبارات الاعتماد وإصدار شهادة المطابقة. باختيار منتجنا "ISPDn in the cloud" ، لا تحتاج إلى الحصول على موافقة عناصر البيانات الشخصية عند جمعها.
وفورات كبيرة:يحرر منتجنا شركة العميل من تكاليف إنشاء وامتلاك بنية أساسية آمنة لتكنولوجيا المعلومات لتخزين البيانات الشخصية ومعالجتها وحمايتها. علاوة على ذلك ، يتم توفير وضع ISPDN في السحابة كخدمة ، ولا تتحمل شركة العميل تكاليف رأسمالية.
تسجيل ممثل شركة العميل على موقعنا الإلكتروني والتعبئة اللاحقة لاستمارة طلب الخدمة "ISPDN في السحابة": الحاجة إلى الشهادة ، تفاصيل المنظمة ، نوع النشاط.
بناءً على متطلبات ISPDN ، يمكنك اختيار خطة تعريفة مناسبة مع معلمات الخادم المطلوبة: حجم القرص وذاكرة الوصول العشوائي.
إبرام اتفاقية لتقديم خدمة ISPDN في السحابة والدفع.
استنادًا إلى البيانات المقدمة ، سنقوم بإعداد مجموعة من المستندات التنظيمية والإدارية والتنظيمية لك ، بما في ذلك توفير البيانات الشخصية ، وقانون تصنيف ISPD ، ونموذج التهديد والوثائق الضرورية الأخرى. سيتحقق أحد المتخصصين في شركتنا من صحة تعبئة هذه المستندات والموافقة عليها.
نحن نتفق معك في تاريخ إصدار الشهادة في مكان العمل. بعد مغادرة أحد المتخصصين والتحقق من جميع متطلبات مكان العمل ، ستتلقى شهادة المطابقة ومجموعة كاملة من المستندات التي تشهد امتثال ISPD الكامل للمتطلبات والمعايير رقم 152-FZ "بشأن البيانات الشخصية" وجميع اللوائح.
* تكلفة خادم ISPDN الآمن مع حزمة من المستندات وإجراء التصديق عند دفعها لمدة عام واحد.
بيع بنية تحتية آمنة لتخزين ومعالجة البيانات الشخصية حسب المقدم خطط التعريفةنفذت في مدة لا تقل عن سنة واحدة.
عند طلب أول خادم في ISPDN ، يتم فرض رسوم تثبيت قدرها 11300 روبل.
الحل "السحابة منطقة حرة 152»يحرر مشغل البيانات الشخصية من تكاليف إنشاء وامتلاك بنية تحتية آمنة لتكنولوجيا المعلومات لتلبية متطلبات 152-FZ و 242-FZ. بمعنى آخر ، إذا كان التشريع الروسي يلزم شركتك باتخاذ جميع الإجراءات التنظيمية والتقنية اللازمة لحماية البيانات الشخصية من الوصول غير المصرح به وغير المصرح به ، فاختر حلاً جاهزًا من Cloud4Y.
انقر فوق الزر "جربه مجانًا" ، واملأ نموذجًا قصيرًا وتعرف على كيفية تجنب المشكلات المكلفة المتعلقة بتنظيم بنية تحتية لتكنولوجيا المعلومات تفي بالمتطلبات القانون الاتحادي رقم 152العرض: فقط حتى 30 أبريل 2020 "Cloud FZ 152" بالسعر المعتاد إلى الأبد! تفاصيل
لتلقي حساب تكلفة خدمة "Cloud FZ-152" ، اتصل بأي مدير عبر الهاتف +7 495 268 04 12 أو أي دولة أخرى بطريقة مريحةمتوفر في القسم
تحقق من قائمة الإجراءات القانونية التنظيمية التي تحدد المتطلبات الإلزامية لتنفيذ أنشطة الكيانات القانونية ورجال الأعمال الفرديين للامتثال لمعالجة البيانات الشخصية مع متطلبات تشريعات الاتحاد الروسي في مجال البيانات الشخصية في حلقة الوصل.
2. لماذا نحتاجها؟
نظرًا لأنك معالج للبيانات الشخصية ، فإن تأثير القانون الاتحادي رقم 152 ينطبق عليك تلقائيًا. وتخضع مؤسسات الدولة التي تمتلك أنظمة معلومات حكومية أيضًا إلى الترتيب السابع عشر من FSTEC.
3. كم يكلف؟
يتم احتساب التكلفة بشكل فردي للعميل ، مع مراعاة الحجم ومستوى الأمان وشروط التنسيب.
4. هل يمكنك المساعدة في إعداد الوثائق؟
نعم نستطيع ، (نحن نقدم قوالب جاهزةأو نتعهد بكامل عملية التحضير بنظام الإنجاز الكامل).
5. كيف يتم تنظيم قناة نقل البيانات؟
يتم تشفير القناة وفقًا لـ GOST الروسي من خلال منسق VipNet.
إذا لم تجد إجابة لسؤالك ، فانتقل إلى أسئلتنا ، واسأل مستشارينا على الموقع باستخدام الدردشة عبر الإنترنت ، أو اكتب طلب دعم باستخدام.
دخلت تعديلات القانون الاتحادي حيز التنفيذ في 01.09.2015 "بشأن البيانات الشخصية" (القانون 152 FZ).
وفقًا للقانون ، يجب تخزين البيانات التي يدخلها العميل على موقع الويب الخاص بك على أراضي الاتحاد الروسي.
وهذا ليس كل شيء. حول من سيتأثر بهذا القانون وماذا يفعل ، في مقالتنا.
في 1 سبتمبر 2015 ، دخلت تعديلات قانون "البيانات الشخصية" حيز التنفيذ.
وفقًا لهذا القانون ، يجب تخزين جميع البيانات التي يدخلها العميل على موقع الويب الخاص بك والتي هي بالضبط البيانات الشخصية (جواز السفر والعناوين ، بما في ذلك البريد الإلكتروني وبيانات الدفع وما إلى ذلك) على أراضي الاتحاد الروسي.
حسنًا ، هذا ليس كل شيء.في فبراير 2017 ، تم إجراء مزيد من التعديلات على قانون حماية البيانات الشخصية. تلزم هذه التعديلات جميع مالكي المواقع والمتاجر عبر الإنترنت (المشغلين) بإخطار المستخدمين بأنهم عند إدخال البيانات الشخصية على الموقع ، يوافقون على جمعها ومعالجتها وتخزينها.
إذا تجاهلت هذه التعديلات على القانون ، فإنك تخاطر بفرض غرامة تصل إلى 75000 روبل عن انتهاك واحد. وإذا كان هناك المزيد منهم ، فإن مبلغ الغرامة سيزداد (في حالة انتهاك تشريعات الاتحاد الروسي في مجال البيانات الشخصية - المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي)
بالإضافة إلى المسؤولية الإدارية ، قد تكون هناك مسؤولية جنائية. لذلك إذا تسببت في ضرر معنوي لمستخدم وقعت بياناته الشخصية ، على سبيل المثال ، في الأيدي الخطأ.
حسنًا ، لمثل هذه الانتهاكات ، يمكن لـ Roskomnadzor حجب الموقع ووضعك على ما يسمى "القائمة السوداء".
ثم استعد لإجراء فحوصات إضافية بواسطة Roskomnadzor.
إذا كان مزود الاستضافة الخاص بك يستضيف خوادمه في مركز بيانات روسي ، فكل شيء على ما يرام.
هذه هي أسهل طريقة لتلبية المتطلبات القانونية عن طريق شراء استضافة من مزود محلي.
هناك طريقة أخرى تسمى نقل البيانات عبر الحدود. هذا لا يحظره القانون. يُسمح بتخزين PD بالخارج ، ولكن مع بعض التحفظات. لذلك ، يجب أن يكون لدى الشركة في أي حال ، بالإضافة إلى تخزين PD في الخارج ، قاعدة البيانات هذه على أراضي الاتحاد الروسي. ولكن في الوقت نفسه ، يجب أن تكون القاعدة هي الأكثر اكتمالاً وحداثة. المخطط هنا هو - يتم جمع قاعدة البيانات الكاملة مع البيانات الشخصية وتنظيمها وتخزينها على أراضي الاتحاد الروسي ، ومن ثم يمكن نقل البيانات إلى الخارج. من المهم أن نفهم أن المصدر الأساسي هو القاعدة الموجودة على أراضي الاتحاد الروسي.
لست بحاجة إلى إرسال إشعار إذا:
→ إبرام اتفاق مع شخص معين ويتم استخدام البيانات المحددة في الاتفاقية فقط لتنفيذ هذه الاتفاقية ، أي لا يتم نشر المعلومات أو نقلها إلى أطراف ثالثة دون موافقة موضوع البيانات الشخصية (هذه الفقرة غامضة ، حيث قد تنشأ أسئلة بسبب تفاصيل العمل. من المهم صياغة اتفاقية بشكل صحيح ، مع مراعاة جميع الفروق الدقيقة التي تفي بمتطلبات القانون ، لذلك ننصح باستشارة محامٍ ، وفي حال عدم وجود إجابة محددة ، فمن الأفضل إرسال إخطار.) ؛
→ إذا كانت البيانات المجمعة تتضمن فقط أسماء المستخدمين ؛
→ إذا قام المستخدم بنفسه بإتاحة بياناته الشخصية للجمهور.
ملاحظةأننا نتحدث فقط عن الحالات التي لا يكون فيها الإخطار ضروريًا. البيانات المذكورة أعلاه لا تزال شخصية ومن الضروري إخطار المستخدم بها.
بالنسبة لأصحاب المواقع ، فإن أهم شيء هو ترتيب كل شيء بشكل صحيح. من خلال القيام بذلك ، ستحمي نفسك من الغرامات والمسؤوليات الأخرى وتأمين ثقة عملائك.
ملاحظة صغيرة:ننصحك بعدم القيام بذلك كنسخة كربونية ، على سبيل المثال ، كما هو الحال مع المنافسين - لكل منهم تفاصيله الخاصة. من الأفضل قضاء بعض الوقت في تطوير الوثائق خصيصًا لعملك بدلاً من دفع الغرامات لاحقًا. وإذا كان لا يزال لديك أسئلة ، اطلب المساعدة من محاميك ، مثل هذا المقاللن يحل محل متخصص، مما سيساعدك على القيام بكل شيء بالطريقة التي تحتاجها وخاصة لأهدافك وغاياتك.
قبل الشروع في تحليل 152-ФЗ ، يجب أن تعلم أن هناك أيضًا القانون 242-، الذي دخل حيز التنفيذ في 1 سبتمبر 2015 ، وهو قانون معياري عدل مصدرًا أساسيًا آخر للقانون - ФЗ № 152 ، تم تبنيه في يوليو 2006. رافق اعتماد قانون "توطين البيانات الشخصية" تغطية واسعة النطاق للمبادرة التشريعية في وسائل الإعلام المختلفة ، مما أدى إلى: اثنين من الأساطير الرئيسيةبشأن القانون الاتحادي رقم 242-FZ:
ينص القانون الاتحادي رقم 242-FZ على أنه "عند جمع البيانات الشخصية ، بما في ذلك عبر الإنترنت ، يلتزم المشغل بضمان التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واستخراج البيانات الشخصية لمواطني الدولة الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي ". في حالة عدم مراعاة القانون ، قد يكون الوصول إلى موقع ويب تم اكتشافه ضمن عملية جمع وتخزين البيانات الشخصية للمواطنين الروس في قواعد البيانات الواقعة ضمن اختصاص الاتحاد الروسي محدودًا.
القانون لا يحظروضع أي موقع (قاعدة بيانات) على الخوادم الموجودة في أراضي البلدان التي وقعت على اتفاقية مجلس أوروبا ETS رقم 108 ، وكذلك نقل البيانات الشخصية عبر الحدود... وفقًا لاتفاقية مجلس أوروبا ETS رقم 108 "بشأن حماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية" ، التي صدقت عليها روسيا ، ينص الجزء 2 من المادة 12 على أن الدول التي تنضم إليها لن تحظر أو تضع تحت تحكم خاص ، تدفق المعلومات من البيانات الشخصية التي تذهب إلى إقليم الطرف الآخر في الاتفاقية ، والفن. 25 يحظر أي تحفظات على الاتفاقية.
هذا يعني أن استخدام الاستضافة في الخارج (وليس داخل الاتحاد الروسي) ، وكذلك تخزين البيانات الشخصية ومعالجتها ، يعتبر قانونيًا إذا كان الاستضافة تقع في أحد البلدان التي وقعت على الاتفاقية: النمسا ، بلجيكا ، بلغاريا ، الدنمارك ، بريطانيا العظمى ، المجر ، ألمانيا، اليونان ، أيرلندا ، إسبانيا ، إيطاليا ، لاتفيا ، ليتوانيا ، لوكسمبورغ ، مالطا ، هولندا ، بولندا ، البرتغال ، رومانيا ، سلوفاكيا ، سلوفينيا ، فنلندا ، فرنسا ، جمهورية التشيك ، السويد ، إستونيا ، وكذلك على النحو التالي من تفسيرات Roskomnadzor ، في البلدان التي تضمن الحماية الكافية للبيانات الشخصية. هذه هي البلدان التي لديها إجراءات قانونية تنظيمية وطنية في مجال حماية البيانات الشخصية وهيئة إشرافية معتمدة لحماية حقوق موضوعات البيانات الشخصية: أندورا ، الأرجنتين ، إسرائيل ، أيسلندا ، كندا ، ليختنشتاين ، النرويج ، صربيا ، كرواتيا ، الجبل الأسود ، سويسرا ، كوريا الجنوبية ، اليابان.
ماديًا ، يمكن استضافة الموقع وقاعدة البيانات من قبل أي دولة وقعت على اتفاقية مجلس أوروبا ETS رقم 108. يحتوي القانون على شرط أن يضمن المشغل التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واستخراج البيانات الشخصية لمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي ، ولكن القانون لا يحظر تخزين البيانات الشخصية للروس على خوادم خارج أراضي الاتحاد الروسي. الشرط الوحيد هو أن يتم جمع البيانات الشخصية ومعالجتها في البداية في الاتحاد الروسي. لكن ، نكرر ، هذا لا يمنع نقل البيانات الشخصية عبر الحدود والعمل معها في البلدان التي وقعت على الاتفاقية.
يتوافق Jikhost تمامًا مع 152-FZ من خلال استخدام النسخ المتماثل ونقل البيانات الشخصية عبر الحدود.
يتم وصف رسم تخطيطي لعمل الأمراء أدناه:
استضافة امتثال Jikhost لـ 152-FZ أي تغيير في قاعدة بيانات الموقع ، بما في ذلك عند نقل المعلومات الشخصية ، يتم نسخ قاعدة البيانات إلى خادم موجود في الاتحاد الروسي ، وبالتالي ضمان استمرار ملاءمة البيانات واكتمالها وفقًا للقانون. ثم يتم نسخ البيانات إلى قاعدة بيانات الخادم المحلي ، والتي يعمل معها الموقع لاحقًا. هذا النمط الدائري يعمل في كل مكان. علاوة على ذلك ، إذا كانت قراءة البيانات مطلوبة فقط ، فإنها تحدث بدون نسخ ، مباشرة من قاعدة البيانات المحلية. بالإضافة إلى الامتثال لـ 152-FZ ، هذا المخططيعمل على تحسين الأداء والتسامح مع الأخطاء وموثوقية الاستضافة.
منذ سبتمبر 2015 ، دخلت لائحة توطين تخزين البيانات الشخصية (242-بتاريخ 21 يوليو 2014) حيز التنفيذ في الاتحاد الروسي. تبين أن هذا الابتكار ، بالطبع ، كان أحد المحركات الرئيسية في سوق الاستضافة والحوسبة السحابية الروسية ، مما أجبر مشغلي البيانات الشخصية ومقدمي الاستضافة على التفكير مرة أخرى في كيفية ضمان الامتثال لمثل هذا الكيان الذي يبدو بسيطًا مثل موقع الويب ، متطلبات التشريع على البيانات الشخصية.
على الرغم من أن القانون الاتحادي رقم 27.07.2006 N 152-FZ "بشأن البيانات الشخصية" قد تم اعتماده منذ وقت طويل ، إلا أنه لم يتكيف معه الجميع وتعلم تنفيذه. ويرجع ذلك جزئيًا إلى العدد الكبير من الوثائق المعيارية وإصدار تعديلات عليها بانتظام. اليوم يأتون من أربع إدارات: الحكومة ، Roskomnadzor ، FSTEK و FSB. وأيضًا بفضل الوضع المتوازن للجهة المنظمة ، التي اختارت ، بدلاً من سياسة الطرق في المسامير ، استراتيجية الشد السلس ولكن الحتمي للصواميل.
إذا كانت الشركات الكبرى والسلطات الحكومية ، بصفتها أكثر المشاركين انضباطًا في السوق ، قد قامت بالفعل في معظم الأحيان بتهيئة أنظمة معلومات البيانات الشخصية (ISPDN) الخاصة بها بما يتماشى مع التشريعات ، فإن الشركات المتوسطة والصغيرة بدأت الآن فقط في إدراك ذلك لمزيد من الوجود والتطوير ، كل شيء - لذلك سيكون من الضروري الخروج من الظل ، بما في ذلك من حيث تنفيذ التشريعات المتعلقة بالبيانات الشخصية ، خاصة وأن هذا الظل ذاته لا يزال أقل وأقل وقد بدأ بالفعل في الافتقار إلى الجميع.
ما الذي يجب أن يفعله مالك موقع الويب ، الذي يجمع البيانات الشخصية للمستخدمين ويخزنها (على سبيل المثال ، في الحساب الشخصي لمتجر عبر الإنترنت)؟ دعنا نحاول معرفة ذلك معًا.
إليكم ما يقوله Roskomnadzor نفسه عن هذا: "وفقًا للفقرة 9 من الفن. 3 من القانون الفيدرالي "بشأن البيانات الشخصية" ، فإن نظام معلومات البيانات الشخصية عبارة عن مجموعة من البيانات الشخصية الواردة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها. إذا كان موقع الويب يلبي المتطلبات المحددة ، فهو نظام معلومات ".
ما هي البيانات الشخصية ، نعلم جميعًا بشكل بديهي ، ولكن من المهم أن نفهم ما هي من وجهة نظر التشريع. وفقًا للفقرة 1 من المادة 3 من القانون الاتحادي رقم 152-FZ ، فإن البيانات الشخصية هي أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد محدد أو يمكن التعرف عليه. وهذا يعني أنه عمليًا أي شيء: من TIN إلى لون الشعر وحجم الحذاء ، ناهيك عن رقم الهاتف والعنوان ، سواء كان ذلك عبر البريد الإلكتروني أو البريد.
وبالتالي ، متجر عبر الإنترنت أو مجرد موقع ويب حيث يوجد حساب شخصي أو تسجيل مستخدم ، والطلب عبر الإنترنت ، والحجز ، والدفع ، والتسليم ، إلخ. إلخ ، من حيث 152-FZ ، كل هذا هو نظام معلومات بيانات شخصية (ISPDN) ، ومالكه هو مشغل البيانات الشخصية.
لقد قيل وكتب الكثير حول أهمية وآفاق تعهيد تكنولوجيا المعلومات ، وخاصة للشركات في قطاع الأعمال الصغيرة والمتوسطة الحجم ، لذلك في هذه المقالة لن أثير غضب القارئ "للسحب". علاوة على ذلك ، نعلم جميعًا جيدًا أن معظم المواقع على الإنترنت مستضافة على خوادم الويب العامة لموفري خدمات الاستضافة.
هناك العديد من الأسباب لذلك ، ولكن لا شك أن السبب الرئيسي هو الرغبة المشتركة للشركات لتوفير المال ، والحصول على خدمة ويب رخيصة مع توفر عالٍ. إن إنشاء البنية التحتية للحوسبة الخاصة بك بموثوقية يمكن مقارنتها على الأقل بمركز بيانات المستوى الثالث يكلف ملايين الروبلات. أولاً ، أنت بحاجة إلى غرفة مناسبة: ليست ممرًا ، ولا قبوًا ، ولا علية ، حتى لا تغمرها المياه ، وحتى لا يتمكن الغرباء من الوصول إليها. نحن بحاجة إلى تهوية وتكييف ، مع قدر معين من التكرار. من الضروري تنظيم مصدر طاقة احتياطي ومستقل. للقيام بذلك ، تحتاج إلى وضع مولد ديزل في مكان ما. أخيرًا ، نحتاج إلى الأمن المادي وموظفي الخدمة. بالإضافة إلى ذلك ، لضمان توفر الخدمة ، سيتعين عليك شراء مجموعة كاملة من قطع الغيار لأجهزة الخادم والشبكة. وهذا يعني أنه بدلاً من خادم واحد ، عليك بالفعل شراء اثنين.
بطبيعة الحال ، مع تطور الحوسبة السحابية وتقنيات المحاكاة الافتراضية واتجاه واضح نحو الاستعانة بمصادر خارجية ، تسعى المزيد والمزيد من الشركات من قطاع الشركات الصغيرة والمتوسطة إلى نقل أنظمة المعلومات الخاصة بها من وحدات النظام "تحت المكتب" إلى موارد الحوسبة السحابية الموجودة في مراكز الحوسبة التي تلبي المعايير الصناعية الحديثة.
الخامس نظم المعلوماتتقوم أي مؤسسة بتخزين ومعالجة قدر معين من البيانات الشخصية. يمكن أن تكون البيانات الشخصية لموظفي الشركة وبيانات العملاء أو الأطراف المقابلة. أنظمة معلومات الشركات متنوعة للغاية ، وظيفيًا وتقنيًا. يمكن أن يكون نظام أتمتة محاسبة ، على سبيل المثال ، 1C وموقع ويب به حساب شخصيالمستخدم والمتجر عبر الإنترنت. في الوقت نفسه ، فإن أنظمة المعلومات هذه ، كقاعدة عامة ، مترابطة - فهي تنقل المعلومات إلى بعضها البعض ، بما في ذلك البيانات الشخصية.
وفقًا للبند 3 من المادة 3 من 152-FZ ، فإن معالجة البيانات الشخصية هي أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي ، أو بدون استخدام هذه الأدوات مع البيانات الشخصية ، بما في ذلك التجميع والتسجيل ، التنظيم ، التراكم ، التخزين ، التوضيح (التحديث ، التغيير) ، الاستخراج ، الاستخدام ، النقل (التوزيع ، التوفير ، الوصول) ، تبديد الشخصية ، الحجب ، الحذف ، إتلاف البيانات الشخصية.
وبالتالي ، فإن وضع ISPD على خادم المزود ليس أكثر من الاستعانة بمصادر خارجية ، على الأقل ، لوظائف معالجة البيانات الشخصية مثل: التسجيل والتخزين والقراءة (الاسترداد) والنقل والحذف.
وفقًا للفقرة 2 من المادة 3 152-FZ ، يعتبر المشغل (البيانات الشخصية) قانونيًا أو فردبشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية ، فضلاً عن تحديد أغراض معالجة البيانات الشخصية ، وتكوين البيانات الشخصية المراد معالجتها ، والإجراءات (العمليات) التي يتم إجراؤها باستخدام البيانات الشخصية.
وفقًا لذلك ، فإن مزود الاستضافة ، الذي تولى وظائف تخزين البيانات الشخصية ونقلها ، هو المشغل ، جنبًا إلى جنب مع مالك الموقع (نظام المعلومات الذي يعالج هذه البيانات الشخصية) ، ووفقًا للقانون ، فهو ملزم باتخاذ بعض التدابير لضمان أمنهم. في الواقع ، كل شيء ليس سيئًا للغاية ويجب أن نشيد بمؤلفي قانون "البيانات الشخصية" رقم 152-FZ والمرسوم الحكومي رقم 1119 بتاريخ 01.11.2012 ، والذي نص على نقل مشغل البيانات الشخصية بيانات جزء من وظائف المعالجة للاستعانة بمصادر خارجية لأطراف ثالثة.
يحق لمشغل البيانات الشخصية أن يعهد بمعالجة البيانات الشخصية إلى شخص آخر بموافقة موضوع البيانات الشخصية ، على أساس اتفاقية (تعليمات) مبرمة مع هذا الشخص. يلتزم الشخص الذي يعالج البيانات الشخصية نيابة عن المشغل بالامتثال لمبادئ وقواعد معالجة البيانات الشخصية المنصوص عليها في التشريع الحالي. يجب أن يحدد أمر المشغل قائمة بالإجراءات مع البيانات الشخصية التي سيتم تنفيذها بواسطة الشخص الذي يعالج البيانات الشخصية ، والغرض من المعالجة ، والتزام هذا الشخص بالحفاظ على سرية البيانات الشخصية وضمان أمن البيانات الشخصية أثناء يجب إثبات معالجتها ، ويجب أيضًا الإشارة إلى متطلبات حماية البيانات الشخصية المعالجة (الفقرة 3 ، المادة 6 152-FZ).
وبالتالي ، فإن مزود الاستضافة ، مثل مالك الموقع ، هو مشغل البيانات الشخصية التي تتم معالجتها على الموقع وهو مسؤول عن توفرها وسلامتها وأمنها. مع اختلاف واحد فقط - يكون مالك الموقع مسؤولاً عن موضوعات البيانات الشخصية ، وفي الحالات التي ينص عليها القانون ، يكون ملزمًا بالحصول على إذن من الأشخاص المعنيين بمعالجة البيانات الشخصية ، ومقدم الاستضافة ، بصفته شخصًا مخولًا ، مسؤول أمام صاحب الموقع ، ويتلقى البيانات الشخصية منه ويخزنها ، ولكنه غير مسؤول عن الحصول على إذن من الموضوعات.
بشكل عام ، موضوع الحصول على موافقة من الأشخاص المعنيين بمعالجة بياناتهم الشخصية كبير جدًا ومثير للاهتمام ، وبالطبع يستحق مقالة منفصلة.
موافق ، سيكون من غير العدل تحويل كل مسؤولية أمان البيانات الشخصية إلى مزود الاستضافة. في الواقع ، في كثير من الأحيان ، ليس لديه أي فكرة عن من وكيف وعلى ما تمت كتابة الموقع المستضاف على الخادم الخاص به. ما هي كلمات المرور المستخدمة للسماح بالوصول إلى البيانات الشخصية ، وبأي شكل يتم تخزينها ، وما إذا كانت مستخدمة على الإطلاق.
وفقًا للمرسوم الحكومي رقم 1119 (الفقرات 13-16) ، من أجل ضمان المستوى المطلوب من حماية البيانات الشخصية عند معالجتها في نظم المعلومات ، يجب استيفاء المتطلبات التالية:
№ |
المتطلب PP 1119 |
مستوى الأمان المطلوب |
مجال المسؤولية |
تنظيم نظام ضمان أمن المباني التي يوجد بها نظام المعلومات |
UZ-4 ؛ |
مزود استضافة؛ |
|
ضمان سلامة ناقلات البيانات الشخصية |
مزود استضافة؛ |
||
موافقة رئيس المشغل على قائمة الأشخاص الذين لديهم حقوق الوصول إلى البيانات الشخصية |
|||
استخدام أدوات أمن المعلومات المعتمدة (اجتاز الإجراء لتقييم الامتثال للمتطلبات القانونية) |
مزود استضافة؛ |
||
تعيين مسؤول مسؤول عن ضمان أمن البيانات الشخصية |
UZ-3 ؛ |
مالك الموقع مزود استضافة؛ |
|
الوصول إلى محتوى سجل الرسائل الإلكترونية ممكن فقط للأشخاص المناسبينحقوق الوصول |
UZ-2 ؛ |
مالك الموقع مزود استضافة؛ |
|
التسجيل التلقائي في سجل الأمان الإلكتروني للتغييرات في سلطة موظفي المشغل للوصول إلى البيانات الشخصية |
UZ-1 ؛ |
مالك الموقع ، مزود الاستضافة |
|
إنشاء وحدة هيكلية مسؤولة عن ضمان أمن البيانات الشخصية |
مالك الموقع ، مزود الاستضافة |
كما تعلم ، من أجل توفير خدمات الاتصالات ، يلزم الحصول على ترخيص من Roskomnadzor. يتبع هذا ، على سبيل المثال ، من الفقرة 36 من المادة 12 من القانون الاتحادي الصادر في 04.05.2011 رقم 99-FZ "بشأن ترخيص أنواع معينة من الأنشطة".
وفقًا لقائمة أسماء خدمات الاتصالات المدرجة في ترخيص القيام بأنشطة في مجال تقديم خدمات الاتصالات ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 18.02.2005 رقم 87) ، تشمل خدمات الاتصالات المرخصة ما يلي: علياء:
الخدمة الفيدرالية للرقابة الفنية والصادرات (FSTEC of Russia) - تنظم الأنشطة المتعلقة بالحماية التقنية للمعلومات ، وتتعامل مع قضايا سياسة الدولة في هذا المجال من التشريع ، والتوحيد القياسي ، والترخيص ، كما تجري عمليات التفتيش ذات الصلة.
نظرًا لأن مقدم الاستضافة ، بصفته شخصًا مخولًا بموجب العمولة التعاقدية ، هو مشغل البيانات الشخصية ، فإنه ملزم باتخاذ التدابير الفنية لحمايتها ، أي تقديم خدمات الحماية التقنية للمعلومات ، والتي وفقًا لـ تشير اللائحة الخاصة بأنشطة الترخيص للحماية التقنية للمعلومات السرية ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي المؤرخ 3 فبراير 2012 ، N 79 إلى الأنشطة المرخصة.
الإجراءات التنظيمية والفنية لضمان أمن البيانات الشخصية ، والتي تمت الموافقة عليها بموجب أمر FSTEC رقم 21 بتاريخ 18/02/2013 ، تشمل:
للقيام بعمل لضمان أمن البيانات الشخصية ، يُسمح بالاشتراك ، على أساس تعاقدي ، مع منظمات طرف ثالث مرخص لها بالحماية التقنية للمعلومات السرية (الفقرة 2 ، الفقرة 2 من أمر FSTEC رقم 21).
يتضمن تكوين التدابير لضمان مستوى مناسب من حماية البيانات الشخصية ، وفقًا لأمر FSTEC رقم 21 ، التدابير التالية:
بناءً على جوهر هذه التدابير ، من الواضح أنه من أجل تنفيذها ، من الضروري استخدام وسائل حماية المعلومات المشفرة (CIPF). كما تعلم ، يتم تنظيم المشكلات المتعلقة باستخدام أجهزة حماية المعلومات المشفرة في الاتحاد الروسي من قبل خدمة الأمن الفيدرالية (FSB of Russia).
وفقًا للوائح الخاصة بأنشطة الترخيص لتطوير وإنتاج وتوزيع وسائل التشفير (التشفير) ، التي تمت الموافقة عليها بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 04.16.2012 رقم 313 ، فإن قائمة الأعمال التي تشكل النشاط المرخص له يشمل:
اعتبارًا من 1 سبتمبر 2015 في الاتحاد الروسي ، دخل حيز التنفيذ اللائحة المتعلقة بترجمة التخزين وعمليات معينة لمعالجة البيانات الشخصية ، المحددة في القانون الاتحادي رقم 242 الصادر في 21 يوليو 2014 "بشأن التعديلات على بعض القوانين التشريعية الروسية الاتحاد من حيث توضيح إجراءات معالجة البيانات الشخصية في شبكات المعلومات والاتصالات "، وفقًا للفقرة 1 من المادة 2 منها ، التي يجب على المشغل ، عند جمع البيانات الشخصية ، بما في ذلك من خلال شبكة المعلومات والاتصالات السلكية واللاسلكية ، التأكد من التسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) واسترجاع البيانات الشخصية لمواطني الاتحاد الروسي باستخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي.
في الوقت نفسه ، من المهم ملاحظة أن نقل البيانات الشخصية عبر الحدود ، على هذا النحو ، ليس محظورًا ، ولكنه ينظمه القانون. يمكنك قراءة المزيد عن هذا في الفن. 12152-منطقة حرة.
لذلك دعونا نلخص ما ورد أعلاه.
موقع الويب هو نظام معلومات شخصية إذا كانت وظيفته تسمح لك بإدخال البيانات الشخصية أو تخزينها أو عرضها. وخير مثال على ذلك هو أي موقع تقريبًا به حساب شخصي ، والقدرة على الحجز عبر الإنترنت ، أو الطلب أو الشراء مع التسليم ، وما إلى ذلك.
المعالجة عبر الإنترنت لبيانات العميل الشخصية ليست فقط ضرورة للتجارة الإلكترونية الحديثة ، ولكن أيضًا الكثير من الفرصللتسويق ، يستحق وصفه مقالة منفصلة.
مالك الموقع ، وهو ISPDN ، ملزم بتقديم إشعار إلى Roskomnadzor ، يُشار فيه إلى: ما هي البيانات الشخصية التي يخزنها ويعالجها ، حيث توجد الخوادم التي توجد عليها وظيفة ISPD فعليًا. يمكنك أن تقرأ عن هذا في مقالتي "كيفية إرسال إشعار إلى RKN وعدم الوقوع في مشاكل."
يجب أن تحتوي الاتفاقية مع مزود الاستضافة ، بالإضافة إلى الخصائص الكمية والنوعية لموارد الحوسبة ، على أمر لمعالجة البيانات الشخصية ، مع الإشارة إلى قائمة محددة من الإجراءات التي سيتم تنفيذها معهم ، ويجب أن تشير إلى الأهداف والإجراءات لمعالجة البيانات الشخصية ، يجب تحديد متطلبات حمايتها ، ومسؤولية المزود عن أمن البيانات الشخصية.
بالإضافة إلى تراخيص Roskomnadzor القياسية لتوفير خدمات الاتصال عن بعد لشركات الاستضافة ، من أجل حماية البيانات الشخصية التي تتم معالجتها على مواقع العملاء ، يجب أن يكون لدى مقدم الاستضافة ترخيص FSTEC للحماية الفنية للمعلومات السرية وترخيص FSB للتزويد للخدمات المتعلقة باستخدام أموال التشفير (التشفير).
وأخيرًا ، يجب أن يكون خادم المزود ، الذي يخزن البيانات الشخصية فعليًا ، موجودًا في الاتحاد الروسي.
لذلك ، تناقش هذه المقالة العديد من جوانب استضافة ISPD على موارد الحوسبة لمقدمي الخدمات السحابية ، ولكن بعيدًا عن كل شيء. يمكن الحصول على معلومات أكثر تفصيلاً من الوثائق وموارد المعلومات التالية:
سيسمح لك Telegram Passport بالتعرف على هوية المستخدم. يجب تحميل جميع المستندات والبيانات الضرورية إلى Telegram مرة واحدة ، وبعد ذلك سيكون من الممكن نقلها على الفور إلى شركاء Telegram. من المخطط أنه بحلول وقت إطلاق الخدمة الجديدة ، سيكون من الممكن استخدام خدمات العديد من هؤلاء الشركاء ، بما في ذلك Qiwi.
المزيد من التفاصيل ...