Hospedagem de acordo com a Lei Federal 152. Qual hospedagem escolher - russa ou estrangeira - para não violar a Lei de Dados Pessoais? Qual é o processo de entrega de serviço

Como o servidor não está localizado em sua casa, você não tem acesso a ele e, mais ainda, não pode influenciar a política do data center de forma alguma, então você simplesmente não tem a oportunidade de cumprir uma série de normas legais requisitos. Resta encontrar um alojamento que cumpra os requisitos da lei.

Não sou Begete agora, escrevi uma carta para eles sobre a licença FSTEC para proteção informação confidencial... Eles responderam vagamente, como se eu não fosse eu e não sou meu, somos apenas estes e em geral não deveríamos ... Resumindo, eles não têm licença, o que significa que em geral o site que coleta dados pessoais não pode ser mantido lá. Subi na Internet (ainda não muito apertado) e encontrei apenas RU-CENTER com licença até agora.

Licença para o desenvolvimento e (ou) produção de meios de proteção de informações confidenciais
LICENÇA Nº 0917 datada de 20 de setembro de 2011

Licença para proteção técnica de informações confidenciais
LICENÇA Nº 1594 datada de 20 de setembro de 2011
Detentor dos direitos autorais: Joint Stock Company "Regional Network Information Center"
Período de validade da licença: ilimitado

Hospedagem de informações confidenciais no RU-CENTER

A partir de 6 de março de 2012 o RU-CENTER passa a oferecer um novo serviço - hospedagem de informações confidenciais.
A hospedagem de informações confidenciais é a veiculação de um site na Internet com a aplicação de medidas adicionais de proteção das informações.
Este serviço permite-lhe cumprir vários requisitos obrigatórios da legislação em vigor (Lei N 152-FZ), os quais se apresentam no processamento de dados pessoais.
Além dos métodos básicos de proteção de dados e armazenamento de informações utilizados em outros serviços RU-CENTER, a hospedagem de informações confidenciais oferece:

  • equipamento certificado especializado que permite realizar uma série de ações para proteger as informações durante o acesso à rede;
  • restrição adicional de acesso físico ao equipamento no qual o serviço é prestado;
  • Diário cópia de segurança(2 cópias);
  • contabilização de mídia física utilizada;
  • MySQL dedicado a cada serviço.
Os principais consumidores do novo serviço são pequenas e médias empresas, lojas online, fóruns, sistemas de pesquisa de marketing e muitos outros recursos da Internet, que, no processamento e armazenamento dos dados pessoais dos utilizadores, devem cumprir os requisitos da legislação do Federação Russa (Lei N 152-FZ).

Na verdade, a questão é: como eles estão em termos de qualidade?
E se alguém encontrar outros hosters com uma licença FSTEC para proteger informações confidenciais, poste-os neste tópico.

Alterações à lei federal entraram em vigor em 01.09.2015 "Sobre dados pessoais" (Lei 152 FZ).
De acordo com a lei, os dados que o cliente insere em seu site devem ser armazenados no território da Federação Russa.
E isso não é tudo. Sobre quem será afetado por esta lei e o que fazer, em nosso artigo.

Em 1º de setembro de 2015, as alterações à Lei “Sobre Dados Pessoais” entraram em vigor.
De acordo com esta lei, todos os dados que um cliente insere no seu site e que são exatamente dados pessoais (passaporte, endereços, incluindo e-mail, dados de pagamento, etc.) devem ser armazenados no território da Federação Russa.

AQUI ESTÁ UM EXTRATO DA LEI 152 sobre a proteção de dados pessoais

“Ao coletar dados pessoais, inclusive por meio da rede de informações e telecomunicações da Internet, a operadora é obrigada a garantir o registro, sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração de dados pessoais de cidadãos da Federação Russa usando bancos de dados localizados no território da Federação Russa, exceto para os casos especificados nas Cláusulas 2, 3, 4, 8 da Parte 1 do Artigo 6 desta Lei Federal "(Parte 5 do Artigo 18 da Lei Federal" Sobre Dados Pessoais " ). "


O termo "Operador" significa todas as empresas, em particular e-commerce, em cujos sites os clientes indicam dados pessoais.

Bem, isso não é tudo. Em fevereiro de 2017, foram feitas novas alterações à lei sobre a proteção de dados pessoais. Essas alterações obrigam todos os proprietários de sites e lojas online (Operadores) a notificar os usuários de que, ao inserir dados pessoais no site, eles consentem com sua coleta, processamento e armazenamento.

Se você ignorar essas emendas à lei, corre o risco de receber uma multa de até 75.000 rublos por uma violação. E se houver mais deles, então o valor da multa aumentará (em violação da legislação da Federação Russa no campo de dados pessoais - artigo 13.11 do Código de Contra-Ordenações da Federação Russa)

O QUE MAIS AMEAÇA O NÃO CUMPRIMENTO DA LEI DE DADOS PESSOAIS?

Já conversamos sobre as multas consideráveis. Isso pode afetar a todos. E não pense que isso não é sobre você :) Olhe a prática do tribunal e você vai entender que isso não é uma piada. Por exemplo, aqui está o caso sensacional do Escritório Tambov Advocacia (Resolução nº 4A-288/2016 de 4 de outubro de 2016 no processo nº 4A-288/2016), que foi multado por infrações no armazenamento de PD. O valor da multa é irrisório, mas deve-se lembrar que, desde 1º de julho de 2017, as multas aumentaram significativamente.

Além da responsabilidade administrativa, pode haver responsabilidade criminal. Portanto, se você causar dano moral a um usuário cujos dados pessoais, por exemplo, caíram nas mãos erradas.
Bem, por tais violações Roskomnadzor pode bloquear o site e colocá-lo na chamada “lista negra”.
E então prepare-se para verificações adicionais por Roskomnadzor.

O QUE FAZER?

  1. A primeira coisa a fazer é notificar os usuários sobre o processamento de dados pessoais... Se ainda não o fez, agora é a hora. Elaborar e postar no site um documento sobre o processamento de DP, bem como obter o consentimento dos usuários para tal processamento (por exemplo, marcando uma caixa de seleção com informações sob cada formulário de registro).
    Em geral, isso pode ser feito de diferentes maneiras, dependendo de seus objetivos e características de negócios. Por exemplo, a Ozone publica uma política de privacidade no site e, ao registrar um usuário, leva o consentimento para o processamento de DP. Ou você pode postar informações sobre a coleta de DP como parte de uma oferta pública, como faz Lamoda, e também obter consentimento para processamento durante o registro. Ou como o SberBank, que coloca essas informações em um acordo.
  2. Prepare documentos internos que regem as regras de implementação desta lei. Isso inclui pedidos, instruções e nomeações de pessoas responsáveis ​​pelo armazenamento de informações pessoais.
  3. É muito importante garantir que os dados sejam armazenados na Rússia (em servidores russos).
    Isso é exigido pela lei sobre a proteção das informações do usuário (parte 5 do artigo 18 da Lei Federal "Sobre dados pessoais").
    Portanto, verifique com seu provedor de hospedagem o endereço da localização dos servidores que hospedam seu site e feche um acordo com ele, onde esse endereço será indicado. Você precisará deste endereço para preencher uma notificação para Roskomnadzor. Se você tiver seu próprio servidor, certifique-se de salvar os documentos para ele. Eles podem ser exigidos pela Roskomnadzor no decorrer de uma possível inspeção. O mesmo é válido para um contrato com um provedor de hospedagem.

    Se o seu provedor de hospedagem hospeda seus servidores em um data center russo, então está tudo bem.
    Essa é a maneira mais fácil de atender aos requisitos legais adquirindo hospedagem de um provedor doméstico.

    Existe outro método chamado transferência de dados transfronteiriça. Isso não é proibido por lei. O armazenamento de PD no exterior é permitido, mas com algumas ressalvas. Portanto, uma empresa em qualquer caso, além de armazenar PD no exterior, deve ter esse banco de dados no território da Federação Russa. Mas, ao mesmo tempo, a base deve ser a mais completa e atualizada. O esquema aqui é o seguinte - todo o banco de dados com dados pessoais é coletado, sistematizado e armazenado no território da Federação Russa e, em seguida, os dados podem ser transferidos para o exterior. É importante entender que a fonte primária é a base no território da Federação Russa.

  4. Depois disso, prepare e envie uma notificação para Roskomnadzor.
    Isso pode ser feito por meio do formulário eletrônico do site:

    Você não precisa enviar uma notificação se:


      você apenas processa dados de funcionários;

      celebrar um acordo com uma pessoa específica e os dados especificados no acordo serão usados ​​apenas para a execução deste acordo, ou seja, a informação não é publicada ou transferida a terceiros sem o consentimento do titular dos dados pessoais (este parágrafo é ambíguo, pois podem surgir questões devido às especificidades do negócio. É importante redigir corretamente um contrato, tendo em consideração todos as nuances que atendem aos requisitos da lei. Portanto, recomendamos que você consulte um advogado. E se não houver uma resposta definitiva é melhor enviar uma notificação.);

      se os dados coletados incluírem apenas os nomes dos usuários;

      se o próprio usuário disponibilizou seus dados pessoais ao público.

Nota que estamos falando apenas de casos em que a notificação não é necessária. Os dados acima ainda são pessoais e é imprescindível notificar o usuário sobre isso.

EM VEZ DE CONCLUSÃO

Eles não deveriam ter medo desta lei. Ele também regula nossos direitos como indivíduos. Cada um de nós pelo menos uma vez comprou bens pela Internet e deixou seus dados pessoais. Agora você e eu temos motivos para defender nossos direitos de maneira legal, se nossos direitos forem violados.

Para os proprietários de sites, o mais importante é organizar tudo corretamente. Ao fazer isso, você se protegerá de multas e outras responsabilidades e garantirá a confiança de seus clientes.
Pequena observação: aconselhamos você a não fazer isso como uma cópia carbono, por exemplo, como acontece com os concorrentes - cada um tem suas próprias especificações. É melhor gastar tempo desenvolvendo documentação especificamente para sua empresa do que pagar multas posteriormente. E se você ainda tiver dúvidas, procure a ajuda de seu advogado, pois este artigo não substituirá um especialista, que o ajudará a fazer tudo da maneira que você precisa e especificamente para suas metas e objetivos.

  • Compartilhar isso:

Solução "Nuvem FZ 152»Libera a Operadora de dados pessoais dos custos de criação e propriedade de uma infraestrutura de TI segura para atender aos requisitos de 152-FZ e 242-FZ. Em outras palavras, se a legislação russa obriga sua empresa a tomar todas as medidas organizacionais e técnicas necessárias para proteger os dados pessoais de acessos não autorizados e não autorizados, escolha uma solução pronta da Cloud4Y.

Clique no botão "Experimente gratuitamente", preencha um pequeno formulário e saiba como evitar os problemas dispendiosos de organizar uma infraestrutura de TI que atenderá aos requisitos Lei Federal Nº 152

Por que você precisa do "Cloud FZ 152":

  • Uma "nuvem" separada, segura, certificada e certificada para a colocação de ISPD.
  • Certificação de mecanismos de virtualização: um hipervisor de recursos computacionais, um sistema de gestão de uma rede de transmissão de dados virtualizada, uma plataforma de virtualização e um sistema de armazenamento.
  • Fornecimento de serviços de segurança (com base em ferramentas de segurança certificadas) que podem ser usados ​​por clientes que colocam seu ISPDN na nuvem.

Organização da colocação ISPDN na nuvem:

  • Libera o operador de PD dos custos de capital de criação e propriedade de uma infraestrutura de TI segura;
  • Liberta o operador de parte da responsabilidade legal pelo cumprimento dos requisitos dos 152-ФЗ, 242-ФЗ;
  • Permite que você use o software especial do provedor para todo o sistema;
  • Permite receber suporte da infraestrutura de TI por pessoal altamente qualificado em modo 24x7

Recursos do "Cloud FZ 152":

  • A colocação de ISPDN é prestada como serviço, ou seja, o cliente não tem custos de capital.
  • Cloud4Y atua como a pessoa responsável pelo processamento de dados pessoais em nome da operadora.
  • O sistema foi certificado por licenciados FSTEC, o que atesta sua conformidade com os requisitos de segurança. Os meios de proteção aplicados foram aprovados na avaliação de conformidade de acordo com o procedimento estabelecido e possuem certificados emitidos pelos órgãos competentes do FSTEC e do FSB da Rússia.
  • Disponibilidade de certificados para vários elementos da nuvem que implementam funções de segurança (hipervisor, ferramentas de segurança integradas à nuvem, ferramentas de segurança oferecidas aos clientes como serviços de segurança.
  • Um conjunto de medidas de proteção organizacional e técnica que permite aos clientes fechar as ameaças reais do pessoal de serviço, de outros clientes e outros infratores.

Documentos normativos e classificação

Você pode ler o texto da Lei Federal nº 152 sobre Dados Pessoais clicando no link.

Livro Branco sobre a Lei Federal 152 - um livro que pode ser consultado em questões de processamento de dados pessoais

Os especialistas da Cloud4Y estudaram a questão da proteção de dados pessoais e criaram diretrizes sobre como uma organização deve agir para cumprir a Lei Federal 152. Procuramos explicar em linguagem simples as cláusulas da legislação, eliminar confusões e prescrever as providências que devem ser tomadas.

Licenças e certificados



Preços

PROMOÇÃO: só até 30 de abril de 2020 "Cloud FZ 152" ao preço normal PARA SEMPRE! Detalhes

Para receber o cálculo do custo do serviço "Cloud FZ-152", entre em contato com qualquer gerente por telefone +7 495 268 04 12 ou de qualquer outra forma conveniente disponível na seção


Confira a Lista de atos normativos regulamentares que estabelecem requisitos obrigatórios para a execução das atividades entidades legais e empresários individuais para o cumprimento do processamento de dados pessoais com os requisitos da legislação da Federação Russa no domínio de dados pessoais pelo link.


Perguntas frequentes (FAQ)

1. Qual é a essência do seu serviço ФЗ-152?
Construímos um circuito protegido em nosso data center que passou na certificação de requisitos de segurança de acordo com a Lei Federal nº 152 e recebeu um certificado de conformidade para a proteção de dados pessoais até e incluindo o primeiro nível de segurança. E ajudamos nossos clientes a resolver o problema de conformidade do ponto de vista técnico. As instituições estaduais também podem se interessar pelo certificado de conformidade de 1ª classe para sistemas de informação estaduais (de acordo com a ordem 17 do FSTEC) e o certificado de proteção de informações confidenciais da classe 1G (de acordo com STR-K).

2. Por que precisamos disso?
Como você é um processador de dados pessoais, o efeito da lei FZ-152 se aplica a você automaticamente. E as instituições estaduais que possuem sistemas de informação estaduais também estão sujeitas à ordem 17 do FSTEC.

3. Quanto custa?
O custo é calculado individualmente para o cliente, levando em consideração o volume, nível de segurança, condições de colocação.

4. Você pode ajudar na preparação da documentação?
Sim, podemos (fornecemos modelos prontos ou assumimos todo o processo de preparação chave na mão).

5. Como está organizado o canal de transmissão de dados?
O canal é criptografado de acordo com o GOST russo por meio do coordenador VipNet.

Se você não encontrou a resposta para sua dúvida, acesse a nossa, pergunte aos nossos consultores no site pelo chat online, ou escreva uma solicitação de suporte usando.

  • Lei Federal "Sobre Dados Pessoais" de 27 de julho de 2006 N 152-FZ

Publicações

Desde setembro de 2015, o regulamento sobre a localização do armazenamento de dados pessoais (242-ФЗ datado de 21 de julho de 2014) entrou em vigor na Federação Russa. Essa inovação, é claro, acabou sendo um dos principais impulsionadores do mercado russo de hospedagem e computação em nuvem, forçando os operadores de dados pessoais e provedores de hospedagem a pensar mais uma vez em como garantir a conformidade com uma entidade aparentemente simples como o site, os requisitos da legislação sobre dados pessoais.

Apesar de a Lei Federal de 27 de julho de 2006 N 152-FZ "Sobre Dados Pessoais" ter sido adotada há muito tempo, nem todos se adaptaram e aprenderam a executá-la. Em parte devido ao grande número de documentos normativos e regularmente emitidos emendas aos mesmos. Hoje eles vêm de quatro departamentos: Governo, Roskomnadzor, FSTEC e FSB. E também graças à posição bastante equilibrada do regulador, que, em vez da política de martelar os pregos, optou pela estratégia de aperto suave mas inevitável das porcas.

Se as grandes empresas e as autoridades governamentais, como os participantes mais disciplinados do mercado, já em sua maior parte já alinharam seus sistemas de informação de dados pessoais (ISPDN) com a legislação, então as médias e pequenas empresas só agora estão começando a perceber que para o seu futuro existência e desenvolvimento, tudo é - por isso teremos de sair da sombra, inclusive em termos de implementação da legislação sobre dados pessoais, até porque essa mesma sombra continua cada vez menos e já começa a faltar para todos.

O que deve fazer o proprietário do site, onde os dados pessoais dos usuários são coletados e armazenados (por exemplo, na conta pessoal da loja online)? Vamos tentar descobrir juntos.

Se um site coleta dados pessoais, é um sistema de informações de dados pessoais e está sujeito ao 152-FZ

Aqui está o que o próprio Roskomnadzor diz sobre isso: “De acordo com o parágrafo 9 do art. 3º da Lei Federal “Sobre Dados Pessoais”, o sistema de informação de dados pessoais é um conjunto de dados pessoais contidos em bases de dados e garantindo o seu tratamento tecnologias de informação e meios técnicos. Se o site atender aos requisitos especificados, é um sistema de informação ”.

O que são dados pessoais, todos sabemos intuitivamente, mas é importante compreender o que são do ponto de vista da legislação. De acordo com o parágrafo 1 do Artigo 3 da Lei Federal No. 152-FZ, dados pessoais são quaisquer informações relacionadas direta ou indiretamente a um indivíduo específico ou identificável. Ou seja, é quase tudo: desde o TIN até a cor do cabelo e o tamanho do sapato, sem falar no número de telefone e endereço, seja e-mail ou postal.

Assim, uma loja online ou apenas um site com conta pessoal ou registo de utilizador, encomenda online, reserva, pagamento, entrega, etc. etc., em termos de 152-FZ, tudo isso é um sistema de informação de dados pessoais (ISPDN), e seu proprietário é o operador dos dados pessoais.

A lei de dados pessoais leva em consideração as tendências de computação em nuvem e terceirização

Muito se tem falado e escrito sobre a relevância e as perspectivas da terceirização de TI, principalmente para empresas do setor de pequenas e médias empresas, por isso neste artigo não vou agitar o leitor “para as nuvens”. Além disso, todos nós sabemos muito bem que a maioria dos sites na Internet são hospedados em servidores públicos de provedores de serviços de hospedagem.

As razões são muitas, mas a principal delas é, sem dúvida, o desejo comum das empresas de poupar dinheiro, de obter um serviço web barato e com elevada disponibilidade. Criar sua própria infraestrutura de computação com confiabilidade pelo menos comparável a um data center Tier-III custa milhões de rublos. Primeiro, você precisa de um cômodo apropriado: não um corredor, não um porão, não um sótão, para que não seja inundado e para que estranhos não tenham acesso lá. Precisamos de ventilação e ar condicionado, e com certa redundância. É necessário organizar uma fonte de alimentação autônoma e reserva. Para fazer isso, você precisa colocar um grupo gerador a diesel em algum lugar. Finalmente, precisamos de segurança física e pessoal de serviço. Além disso, para garantir a disponibilidade do serviço, você terá que comprar um conjunto completo de peças de reposição para servidores e equipamentos de rede. Ou seja, em vez de um servidor, você realmente precisa comprar dois.

Naturalmente, com o desenvolvimento da computação em nuvem, tecnologias de virtualização e uma tendência pronunciada para a terceirização, mais e mais empresas do setor de pequenas e médias empresas estão se esforçando para transferir seus sistemas de informação de unidades de sistema "under-desk" para recursos de computação em nuvem localizados em centros de computação que atender aos padrões industriais modernos.

Sistemas de informação de qualquer loja e processo empresarial Uma certa quantidade de dados pessoais. Podem ser dados pessoais dos funcionários da empresa e dados de clientes ou contratados. Os sistemas de informação corporativa são bastante diversos, tanto funcionalmente quanto tecnologicamente. Pode ser um sistema de automação contábil, por exemplo, 1C e um site com conta pessoal usuário e loja online. Ao mesmo tempo, esses sistemas de informação, via de regra, estão interconectados - eles transferem informações entre si, inclusive dados pessoais.

De acordo com a cláusula 3 do Artigo 3 152-FZ, o tratamento de dados pessoais é qualquer ação (operação) ou um conjunto de ações (operações) realizada utilizando ferramentas de automação, ou sem a utilização de tais ferramentas com dados pessoais, incluindo coleta, registro, sistematização , acumulação, armazenamento, esclarecimento (atualização, alteração), extração, uso, transferência (distribuição, fornecimento, acesso), despersonalização, bloqueio, exclusão, destruição de dados pessoais.

Assim, a colocação do ISPD no servidor do provedor nada mais é do que terceirizar, pelo menos, funções de processamento de dados pessoais como: registro, armazenamento, leitura (recuperação), transferência e exclusão.

De acordo com a cláusula 2 do artigo 3 do 152-FZ, o operador (de dados pessoais) é um legal ou Individual, de forma independente ou em conjunto com outras pessoas que organizam e (ou) realizam o tratamento de dados pessoais, bem como determinam as finalidades do tratamento de dados pessoais, a composição dos dados pessoais a serem tratados, as ações (operações) realizadas com dados pessoais.

Assim, o provedor de hospedagem, que assumiu as funções de armazenamento e transferência de dados pessoais, é o seu operador, juntamente com o proprietário do site (o sistema de informação que processa esses dados pessoais) e, nos termos da lei, é obrigado a tomar certas medidas para garantir a sua segurança. Na verdade, nem tudo está tão mal e devemos homenagear os autores da Lei “Sobre Dados Pessoais” nº 152-FZ e do Decreto Governamental nº 1119 de 01.11.2012, que previa a transferência pela operadora de pessoal dados de algumas funções de processamento para terceirização.

Regulamentação legal de hospedagem de sites que processam dados pessoais em hospedagem fornecida por terceiros

O operador de dados pessoais tem o direito de confiar o tratamento de dados pessoais a outra pessoa com o consentimento do titular dos dados pessoais, com base em um acordo (instrução) concluído com essa pessoa. A pessoa que trata os dados pessoais por conta do operador está obrigada a cumprir os princípios e regras de tratamento dos dados pessoais previstos na legislação em vigor. O pedido da operadora deve definir uma lista de ações com dados pessoais que serão realizadas pela pessoa que processa os dados pessoais, e para fins de processamento, a obrigação dessa pessoa de manter a confidencialidade dos dados pessoais e garantir a segurança dos dados pessoais durante seu tratamento deve ser estabelecido, e também devem ser indicados requisitos para a proteção dos dados pessoais processados ​​(cláusula 3, artigo 6 152-FZ).

Assim, o provedor de hospedagem, assim como o proprietário do site, é o operador dos dados pessoais processados ​​no site e é responsável pela sua disponibilidade, segurança e proteção. Com apenas uma diferença - o dono do site é responsável perante os sujeitos da DP, e, nos casos estipulados por lei, é obrigado a obter autorização dos sujeitos para o tratamento dos dados pessoais, sendo o provedor de hospedagem, como pessoa autorizada, responsável perante o dono do site, recebe dados pessoais dele e os armazena, mas não se responsabiliza pela obtenção de permissão dos sujeitos.

Em geral, o tema da obtenção do consentimento dos sujeitos para o tratamento de seus dados pessoais é muito amplo e interessante e, claro, merece um artigo separado.

Delineamento das áreas de responsabilidade do provedor de hospedagem e do proprietário do site para o cumprimento dos requisitos de proteção de dados pessoais

Concordo, seria injusto transferir toda a responsabilidade pela segurança dos dados pessoais para o provedor de hospedagem. Na verdade, muitas vezes, ele não tem ideia de quem, como e em que o site hospedado em seu servidor está escrito. Quais senhas são usadas para autorizar o acesso aos dados pessoais, em que forma são armazenados e se são usados.

De acordo com o Decreto do Governo nº 1119 (parágrafos 13 - 16), para garantir o nível de proteção exigido aos dados pessoais no processamento dos mesmos em sistemas de informação, devem ser cumpridos os seguintes requisitos:

Requisito PP 1119

Nível de segurança exigido

Área de responsabilidade

Organização do regime de garantia da segurança das instalações onde se encontra o sistema de informação

UZ-4;
UZ-3;
UZ-2;
UZ-1;

Provedor de hospedagem;

Garantindo a segurança dos portadores de dados pessoais

Provedor de hospedagem;

Aprovação pelo chefe da operadora da lista de pessoas que têm direitos de acesso aos dados pessoais

Uso de ferramentas de segurança da informação certificadas (aprovado no procedimento de avaliação da conformidade com os requisitos legais)

Provedor de hospedagem;

Nomeação de um funcionário responsável por garantir a segurança dos dados pessoais

UZ-3;
UZ-2;
UZ-1;

Dono do site; Provedor de hospedagem;

O acesso ao conteúdo do registro de mensagens eletrônicas só é possível para pessoas que tenham as devidas direitos de acesso

UZ-2;
UZ-1;

Dono do site; Provedor de hospedagem;

Registro automático no registro eletrônico de segurança de alterações na autoridade dos funcionários da operadora para acessar dados pessoais

UZ-1;

Proprietário do site, provedor de hospedagem

Criação de uma unidade estrutural responsável por garantir a segurança dos dados pessoais

Proprietário do site, provedor de hospedagem

O provedor de hospedagem deve ter uma licença Roskomnadzor para fornecer serviços de comunicação

Como você sabe, para a prestação de serviços de comunicação, é necessária uma licença da Roskomnadzor. Resulta, por exemplo, do parágrafo 36 do artigo 12 da Lei Federal de 05.04.2011 nº 99-FZ “Sobre o licenciamento de determinados tipos de atividades”.

De acordo com a lista de nomes de serviços de comunicação incluídos na licença para realizar atividades no campo da prestação de serviços de comunicação, aprovada pelo Governo da Federação Russa de 18.02.2005 (nº 87), os serviços de comunicação licenciados incluem, entre outras coisas :

  • Serviços de comunicação telemática (a hospedagem pertence a eles);
  • Serviços de comunicação para transmissão de dados, com exceção de serviços de comunicação para transmissão de dados com o objetivo de transmissão de informações de voz.

Para hospedar sites que processam dados pessoais, o provedor de hospedagem deve ter uma licença FSTEC

O Serviço Federal de Controle Técnico e de Exportação (FSTEC da Rússia) - regula as atividades relacionadas à proteção técnica da informação, trata de questões de política estadual nesta área de legislação, padronização, licenciamento e também conduz inspeções relevantes.

Sendo o prestador de alojamento, na qualidade de pessoa autorizada pela comissão contratual, o operador dos dados pessoais, está obrigado a tomar medidas técnicas para os proteger, ou seja, prestar serviços de protecção técnica da informação, que, de acordo com o regulamento sobre atividades de licenciamento para a proteção técnica de informações confidenciais, aprovado pelo Decreto do Governo da Federação Russa de 3 de fevereiro de 2012 N 79 refere-se a atividades licenciadas.

As medidas organizacionais e técnicas para garantir a segurança dos dados pessoais, aprovadas pelo despacho FSTEC nº 21 de 18/02/2013, incluem:

  • identificação e autenticação de assuntos de acesso e objetos de acesso;
  • controle de acesso de assuntos de acesso para acessar objetos;
  • limitação do ambiente de software;
  • proteção de mídia de armazenamento de máquina;
  • registro de eventos de segurança;
  • proteção antivírus;
  • detecção (prevenção) de intrusões;
  • controle (análise) da segurança de dados pessoais;
  • garantir a integridade do sistema de informação e dados pessoais;
  • garantir a disponibilidade de dados pessoais;
  • proteção do ambiente de virtualização;
  • proteção de meios técnicos;
  • proteção do sistema de informação, seus sistemas de comunicação e transmissão de dados;
  • identificar incidentes e responder a eles;
  • gerenciamento de configuração de ISPD e SZPDn.

Para a realização de trabalhos de garantia da segurança dos dados pessoais, é permitida a contratação, em regime contratual, de entidades terceiras licenciadas para a prestação de proteção técnica de informação confidencial (cláusula 2ª, n.º 2, do Despacho FSTEC n.º 21).

Uma série de medidas para garantir a segurança dos dados pessoais exige que o provedor de hospedagem tenha uma licença FSB

As medidas para garantir o nível adequado de proteção de dados pessoais, de acordo com o Despacho do FSTEC nº 21, incluem as seguintes medidas:

  • Implementação de acesso remoto seguro de sujeitos de acesso a objetos de acesso através de redes externas de informação e telecomunicações (UPD.13);
  • Garantir a proteção dos dados pessoais contra divulgação, modificação e imposição (entrada de informações falsas) durante sua transmissão (preparação para transmissão) por meio de canais de comunicação que vão além da área controlada, incluindo canais de comunicação sem fio (ZIS.3);
  • Garantindo autenticidade conexões de rede(sessões de interação), inclusive para proteção contra substituição de dispositivos e serviços de rede (ZIS.11);

Com base na essência dessas medidas, fica claro que para a sua implementação é necessária a utilização de meios de proteção da informação criptográfica (CIPF). Como você sabe, as questões relacionadas ao uso de dispositivos de proteção de informações criptográficas na Federação Russa são regulamentadas pelo Serviço de Segurança Federal (FSB da Rússia).

De acordo com o regulamento sobre atividades de licenciamento para o desenvolvimento, produção, distribuição de meios de criptografia (criptográficos), aprovado pelo Decreto do Governo da Federação Russa de 16/04/2012 nº 313, a lista de obras que compõem o a atividade licenciada inclui:

  • Desenvolvimento de sistemas seguros, utilizando meios criptográficos, de informação e de telecomunicações;
  • Instalação, instalação, adaptação de meios criptográficos e, protegidos com o seu uso, sistemas de informação e telecomunicações;
  • Manutenção de instalações criptográficas;
  • Transferência de meios criptográficos e sistemas de informação e telecomunicações protegidos com o seu uso;
  • Prestação de serviços de criptografia de informações.

O centro de computação do provedor de hospedagem deve estar localizado no território da Federação Russa

Desde 01 de setembro de 2015 na Federação Russa entrou em vigor o regulamento sobre a localização de armazenamento e certos processos de processamento de dados pessoais, definido na Lei Federal nº 242 de 21 de julho de 2014 "Sobre Emendas a Certos Atos Legislativos da Rússia Federação no sentido de clarificar o procedimento de tratamento de dados pessoais em redes de informação e telecomunicações ", nos termos do n.º 1 do artigo 2.º do qual, na recolha de dados pessoais, inclusive através da rede de informação e telecomunicações Internet, o operador é obrigado a assegurar o registo , sistematização, acumulação, armazenamento, esclarecimento (atualização, alteração), extração de dados pessoais de cidadãos da Federação Russa usando bancos de dados localizados no território da Federação Russa.

Ao mesmo tempo, é importante notar que a transferência transfronteiriça de dados pessoais, como tal, não é proibida, mas é regulamentada por lei. Você pode ler mais sobre isso no art. 12 152-FZ.

Resumidamente sobre o principal

Então, vamos resumir o acima.

Um site é um sistema de informação de dados pessoais se sua funcionalidade permitir que você insira, armazene ou visualize dados pessoais. Um bom exemplo é quase qualquer site com uma conta pessoal, a capacidade de reservar online, pedir ou comprar com entrega, etc.

O processamento online de dados pessoais de clientes não é apenas uma necessidade para o comércio eletrônico moderno, mas também amplas oportunidades de marketing, cuja descrição merece um artigo separado.

O proprietário do site, que é o ISPD, é obrigado a enviar uma notificação ao Roskomnadzor, na qual é indicado: quais os dados pessoais que armazena e processa, onde estão fisicamente localizados os servidores onde opera o ISPD. Você pode ler sobre isso em meu artigo "Como enviar uma notificação à RKN e não ter problemas".

Um contrato com um provedor de hospedagem, além das características quantitativas e qualitativas dos recursos computacionais, deve conter uma ordem de processamento de dados pessoais, indicando uma lista específica de ações que serão realizadas com eles, deve indicar os objetivos e procedimento para o processamento de dados pessoais, devem ser estabelecidos os requisitos para a sua proteção e a responsabilidade do fornecedor pela segurança dos dados pessoais.

Além das licenças Roskomnadzor padrão para a prestação de serviços de comunicação telemática para empresas de hospedagem, a fim de proteger os dados pessoais processados ​​em sites de clientes, o provedor de hospedagem deve ter uma licença FSTEC para proteção técnica de informações confidenciais e uma licença FSB para o fornecimento de serviços relacionados com o uso de fundos de criptografia (criptográficos).

E, finalmente, o servidor do provedor, que armazena fisicamente os dados pessoais, deve estar localizado na Federação Russa.

Portanto, este artigo discute muitos, mas longe de todos, aspectos da hospedagem de ISPD nos recursos de computação de provedores de serviços em nuvem. Informações mais detalhadas podem ser obtidas nos seguintes documentos e recursos de informação:

Legislação

  • Decreto do Governo da Federação Russa de 01.11.2012 N 1119 "Sobre a aprovação dos requisitos para a proteção de dados pessoais durante o seu processamento em sistemas de informação de dados pessoais"
  • Despacho do FSTEC da Rússia datado de 18 de fevereiro de 2013 No. 21 Sobre a aprovação da composição e conteúdo das medidas organizacionais e técnicas para garantir a segurança dos dados pessoais durante o seu processamento em sistemas de informação de dados pessoais

    O Telegram Passport permitirá que você identifique a identidade do usuário. Todos os documentos e dados necessários precisarão ser carregados para o Telegram uma vez, e então será possível transferi-los instantaneamente para os parceiros do Telegram. Prevê-se que quando o novo serviço for lançado, será possível usar os serviços de vários desses parceiros, incluindo Qiwi.

    Mais detalhes ...

Você pode estar interessado