Провайдер хостинга и персональные данные, обрабатываемые клиентом. 152 фз хостинг
Облако 152-ФЗ - Хостинг ИСПДн в Облаке 152-ФЗ
Размещение информационных систем персональных данных в защищенной облачной инфраструктуреКомпания Corp Soft 24 (АО "Корп Софт") представляет Вашему вниманию комплексную услугу "Хостинг ИСПДн" - размещение информационных систем персональных данных (ИСПДн) в защищенной облачной инфраструктуре. Услуга предоставляется в полном соответствии с действующим законодательством Российской Федерации, что позволяет заказчику (оператору персональных данных) минимизировать риски, связанные с обработкой персональных данных (ПДн) в Интернете и оптимизировать расходы на выполнение требований законодательства к защите персональных данных на сайте или в любой другой информационной системе. Благодаря модульной структуре услуга Хостинг ИСПДн в Облаке 152-ФЗ подходит как для малого и среднего бизнеса, так и для крупных корпоративных заказчиков и госструктур.
Модуль Защищенная инфраструктура (IaaS)
- Центр обработки данных c защищенной инфраструктурой;
- Защищенная сеть передачи данных;
- Защищенная сеть хранения данных;
- Отказоустойчивое серверное оборудование;
- Защищенная платформа виртуализации;
- Защищенная операционная система;
Модуль Информационная безопасность
Сертифицированные СЗИ, СКЗИ:
- Средства защиты среды виртуализации;
- Средства межсетевого экранирования;
- Средства защиты информации от несанкционированного доступа;
- Средства антивирусной защиты;
- Средства криптографической защиты информации;
- Средства анализа защищенности и поиска уязвимостей;
- Средства обнаружения вторжений;
- Средства резервного копирования;
Модуль Документация и аттестация
Разработка ОРД, интеграция, аттестация:
- Классификация ИСПДн; *
- Частная модель угроз; *
- Шаблоны ОРД; *
- Разработка модели угроз;
- Разработка комплекта ОРД;
- Разработка ТЗ на систему защиты ИСПДн;
- Технорабочий проект на СЗ ИСПДн;
- Внедрение СЗ ИСПДн;
- Аттестация ИСПДн;
Законодательное регулирование обработки персональных данных
Облачная инфраструктура компании Корп Софт 24 и применяемые нами средства защиты информации полностью соответствует требованиям Российского законодательства, что подтверждено соответствующими сертификатами (ФСТЭК, ФСБ) и неоднократными проверками контролирующих органов.
-
Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»
-
Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
-
Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах
-
Приказ ФСБ России от 10 июля 2014 г. N 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации
Контролирующие органыих функции и полномочия
Роскомнадзор - обработка ПДн, организационно-технические меры
ФСТЭК России - выполнение требований по технической защите ИСПДн
ФСБ России - применение криптографических средств защиты
Организационно-технические меры по обеспечению безопасности ПДн
Оператор персональных данных обязан принять организационно-технические меры по обеспечению безопасности персональных данных, предусмотренные Приказом ФСТЭК России № 21 от 18.02.2013 . Состав организационно-технические мер зависит от требуемого уровня защищенности (УЗ), определяемого в соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012, исходя из категории персональных данных, их принадлежности и количества. Для определения требуемого уровня защищенности Вы можете заполнить и прислать нам опросный лист.
Организационно-распорядительные документы (ОРД)
Оператор персональных данных должен документально подтвердить выполнение требований к защите персональных данных и принятие обязательных организационных и технических мер по обеспечению их безопасности.При проверке Роскомнадзор в первую очередь уделяет внимание документальному оформлению обработки и защиты персональных данных. Поэтому, для успешного прохождения проверки, необходимо разработать и принять организационно – распорядительные документы, которые должны описывать ИСПДн и меры по ее защите, определять состав и категорию персональных данных, порядок, способы и цели их обработки, а также устанавливать порядок взаимодействия с субъектами персональных данных.
Основные документы, входящие в состав ОРД:
- Акт определения уровня защищенности;
- Положение об обработке ПДн;
- Регламент взаимодействия с субъектами ПДн;
- Регламент обеспечения безопасности ПДн;
- Матрица доступа к информационной системе;
- Политика в отношении обработки ПДн;
Приказы: об утверждении перечней ПДн, ИСПДн, подразделений и лиц, помещений, о назначении ответственных, о применении СКЗИ;
Журналы: учета СЗИ, СКЗИ, машинных носителей, изменений прав доступа, проведения мероприятий, проверок, инструктажа, фиксации нарушений, обращений субъектов;
Инструкции: по обращению с носителями информации, по антивирусной защите, резервному копированию и восстановлению, действия в нештатной ситуации;
Формы: согласие на обработку ПДн, соглашения о неразглашении;
Этапы размещения ИСПДн в защищенном облаке
Шаг №1 - Обследование ИСПДнКлассификация, определение уровня защищенности;Разработка архитектуры защищенного контура;
Шаг №2 - Заключение договора-поручения на обработку ПДнОпределение целей обработки ПДн, перечня операций, организационно-технических мер по обеспечению безопасности;Разработка модели угроз для защищаемого сегмента;
Шаг №3 - Размещение ИСПДн в защищенном контуреВыделение вычислительных ресурсов;Установка ОС, ПО, настройка СЗИ;Развертывание/миграция системы;
Шаг №4 - Организационно-распорядительная документацияПодготовка пакета организационно-распорядительной документации;Подача уведомления в Роскомнадзор;
Шаг №5 - Юридическая и техническая поддержкаМониторинг законодательства;Внесение изменений в техническое решение и документацию;Поддержка при прохождении проверок;
Требования к провайдеру услуг по хостингу ИСПДн
1. Вычислительный центр хостинг-провайдера должен находиться на территории РФC 1 сентября 2015 года в Российской Федерации вступило в действие положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», согласно п.1 ст.2 которого, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
2. Хостинг-провайдер должен иметь лицензию Роскомнадзора на оказание услуг связиДля оказания услуг связи, хостинг-провайдеру требуется лицензия Роскомнадзора. Это следует из пункта 36 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Согласно перечня наименований услуг связи, вносимых в лицензии на осуществление деятельности в области оказания услуг связи, утвержденного постановлением Правительства РФ от 18.02.2005 № 87), к лицензируемым услугам связи, в том числе, относятся:Телематические услуги связи;Услуги связи по передаче данных.
3. Для размещения ИСПДн хостинг-провайдер должен иметь лицензию ФСТЭКДля выполнения работ по обеспечению безопасности персональных данных допускается привлекать на договорной основе сторонние организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации (пункт 2 абзац 2 Приказа ФСТЭК №21).Поскольку хостинг-провайдер, как уполномоченное по договору-поручению лицо, обязан предпринимать технические меры по защите ПДн, то есть оказывать услуги по технической защите информации, которые, в соответствии с положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением правительства Российской федерации от 3 февраля 2012 г. N 79 относятся к лицензируемым видам деятельности.
4. Ряд мер по обеспечению безопасности персональных данных требует наличия у хостинг-провайдера лицензии ФСБВ состав мер по обеспечению соответствующего уровня защищенности персональных данных, согласно Приказа ФСТЭК №21 включены мероприятия, связанные с использованием средств криптографической защиты информации (СКЗИ). Использование СКЗИ для оказания услуг регулируется и лицензируется Федеральной службой безопасности (ФСБ России).
ispdn.152fz.cloud
Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа
С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.
В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.
Расположение хостинга сайта
В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса. За нарушение этого требования Роскомнадзор их блокирует.
Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.
Что нужно сделать на сайте, чтобы избежать штрафов
Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.
1. Добавить текст согласия на обработку персональных данных
Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru.
Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
2. Составить документ "Политика в отношении обработки персональных данных"
Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
3. Узнать, где находится хостинг сайта
Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.
4. Указать email для обращений пользователей по персональным данным
Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.
Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.
5. Подать уведомление об обработке персональных данных в Роскомнадзор
Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
6. Заключить соглашение о безопасности персональных данных с разработчиком сайта
В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.
7. Поставить на сайте дисклеймер
До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.
Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора.
Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам.
makeagency.ru
Провайдер хостинга и персональные данные, обрабатываемые клиентом
Поделиться статьейСтатьи по теме
Обращаясь выборочно к понятию «обработка персональных данных», закрепленному в ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" можно увидеть, что оно включает в себя любые совершаемые с ними действия, в том числе хранение, передачу, блокирование, удаление, уничтожение персональных данных.
Если рассмотреть применение понятия на хостинг-услуги, то обработка персональных данных на вычислительном пространстве клиента может производиться силами “хостера” без участия клиента при отсутствии закрепления отдельных функций договором, например, хранение бэкапов, восстановление поврежденного программного обеспечения (баз данных) и т.п..
Исходя их предыдущего абзаца, в случае составления договора между провайдером хостинга и клиентом по шаблону из интернета или специалистом, не разбирающимся в вопросах правомерности обработки персональных данных в телеком сфере, провайдер хостинга может быть признан виновным в совершении правонарушения, связанного с их незаконной обработкой и/или может быть обязан возместить убытки и оплатить моральную компенсацию лицами, чьи персональные данные обрабатывались с нарушением законодательства, из-за фактической вины клиента.
В некоторых случаях провайдеры хостинга, считая эту деятельность подлежащей лицензированию в сфере связи и не имея соответствующей лицензии, не указывают в предмете договора саму услугу связанную с предоставлением вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", тем самым полностью разделяя с клиентом возможные незаконные действия с персональными данными, не говоря уже о возможности признания сделки притворной (ст. 170 ГК РФ).
В связи с тем, что ежегодно растет количество выявленных административных правонарушений и успешных дел, в результате которых субъекты персональных данных защитили свои персональные данные от незаконной обработки, провайдеру хостинга рекомендуется максимально разграничить ответственность и функции по договору с клиентом, надлежаще оформить предмет договора на хостинг. Причем, одновременно договор может быть составлен так, что бы исключить подпадание провайдера хостинга под лицензирование в сфере связи.
Стоит отметить, что однозначно вопросы законности/незаконности обработки персональных данных в каждом конкретном случае может разрешить только суд.
Если провайдер хостинга для собственной безопасности в качестве превентивной меры решит самостоятельно выдавать предупреждения клиентам или ограничивать их коммерческую деятельность в связи с вероятным нарушением законодательства в сфере персональных данных, клиент может взыскать с провайдера хостинга причинённый ущерб, т.к. предъявит суду законные основания такой обработки, о чем провайдер не мог и не может знать. С другой стороны, проводить превентивную работу с клиентами относительно возможных нарушений в сфере персональных данных необходимо, т.к. с 01 сентября 2015 года из-за клиента ip адрес хостинг-провайдера может попасть в Реестр нарушителей прав субъектов персональных данных, что, в зависимости от технологии хостинг-услуг, может отразиться на других клиентах. Учитывая тот факт, что ip адреса будут включаться и исключаться из «черного списка» по решению суда в котором «хостер» в общем случае не является стороной по делу, вернуть к работоспособности ip адрес брошенного сайта будет затруднительно.
Как специалист, имеющий правовой опыт в сфере информационных технологий и связи предлагаю обращаться ко мне за консультациями, составлением (экспертизой) документов хостинг-провайдера, сопровождением претензионной работы с проблемными клиентами.
xn--80aeqqegdfhc3b.xn--p1ai