bulut çözümü FZ 152» Kişisel Veri Operatörünü, 152-FZ ve 242-FZ gerekliliklerine uymak için güvenli bir BT altyapısı oluşturma ve sahip olma maliyetlerinden muaf tutar. Başka bir deyişle, Rus mevzuatı, şirketinizin kişisel verileri yetkisiz ve izinsiz erişime karşı korumak için gerekli tüm organizasyonel ve teknik önlemleri almasını zorunlu kılıyorsa, Cloud4Y'den hazır bir çözüm seçin.

"Ücretsiz Deneyin" düğmesine tıklayın, kısa bir form doldurun ve gereksinimlerinizi karşılayacak bir BT altyapısı kurmanın maliyetli zahmetinden nasıl kaçınacağınızı öğrenin. 152 Sayılı Federal Yasa

Neden "Cloud FZ 152"ye ihtiyacınız var:

• ISPD'yi barındırmak için ayrı bir güvenli, sertifikalı ve onaylanmış "bulut".
• Sanallaştırma mekanizmalarının sertifikasyonu: bilgi işlem kaynaklarının bir hipervizörü, sanallaştırılmış bir veri aktarım ağı için bir kontrol sistemi, sanallaştırma platformları ve veri depolama sistemleri.
• ISPD'lerini bulutta barındıran müşteriler tarafından kullanılabilen güvenlik hizmetlerinin sağlanması (sertifikalı güvenlik araçlarına dayalı).

ISPD'nin buluta yerleştirilmesinin organizasyonu:

• PD operatörünü, güvenli bir BT altyapısı oluşturma ve sahip olma sermaye maliyetlerinden kurtarır;
• Operatörü, 152-FZ, 242-FZ gerekliliklerini karşılama konusundaki yasal sorumluluğun bir kısmından muaf tutar;
• Sistem genelinde ve özel sağlayıcı yazılımların kullanımına izin verir;
• Yüksek nitelikli personel tarafından 7/24 BT altyapı desteği almanızı sağlar

"Cloud FZ 152"nin Özellikleri:

• ISPD yerleşimi bir hizmet olarak sağlanır, yani müşterinin herhangi bir sermaye maliyeti yoktur.
• Cloud4Y, operatör adına PD'nin işlenmesinden sorumlu bir kişi olarak hareket eder.
• Sistem, güvenlik gerekliliklerine uygunluğunu onaylayan FSTEC lisans sahipleri tarafından onaylanmıştır. Uygulanan koruma araçları, belirlenen prosedüre göre uygunluk değerlendirmesini geçmiştir ve FSTEC'in ilgili organları ve Rusya FSB'si tarafından verilen sertifikalara sahiptir.
• Koruma işlevlerini (hipervizör, buluta entegre koruma araçları, müşterilere güvenlik hizmetleri olarak sunulan koruma araçları) uygulayan çeşitli bulut öğeleri için sertifikaların mevcudiyeti.
• Müşterilerin servis personelinden, diğer müşterilerden ve diğer ihlalcilerden gelen mevcut tehditleri kapatmasına olanak tanıyan bir organizasyonel ve teknik koruma önlemleri kompleksi.

Düzenleyici belgeler ve sınıflandırma

Kişisel verilere ilişkin 152 sayılı Federal Kanun metnini linkten okuyabilirsiniz.

Federal Yasa 152 Hakkında Beyaz Kitap - kişisel verilerin işlenmesi konularında başvurulabilecek bir kitap

Cloud4Y uzmanları, kişisel verilerin korunması konusunu inceledi ve kuruluşların Federal Yasa-152'ye uymak için nasıl davranması gerektiğine dair bir rehber oluşturdu. Biz denedik sade dil Mevzuattaki hususları açıklar, kafa karışıklığını giderir ve atılması gereken adımları belirler.

Lisanslar ve sertifikalar

Fiyat:% s

PROMOSYON: sadece 30 Nisan 2020'ye kadar normal FOREVER fiyatına "Cloud FZ 152"! Detaylar

Cloud FZ-152 hizmetinin maliyetini hesaplamak için herhangi bir yöneticiye telefonla başvurun +7 495 268 04 12 veya herhangi bir başkası uygun yol bölümünde mevcut

Kişisel verilerin işlenmesinin yasanın gerekliliklerine uygunluğu için tüzel kişilerin ve bireysel girişimcilerin faaliyetlerinin uygulanması için zorunlu gereklilikleri belirleyen düzenleyici yasal düzenlemelerin Listesini okuyun. Rusya Federasyonu referans ile kişisel veriler alanında.

Sık Sorulan Sorular (SSS)

1. FZ-152 hizmetinizin özü nedir?
Veri merkezimizde, Federal Yasa-152 uyarınca güvenlik gereklilikleri için sertifikalandırılmış ve kişisel verilerin 1. güvenlik düzeyi dahil olmak üzere korunması için uygunluk sertifikası almış bir güvenli devre kurduk. Ve müşterilerimizin uyum konusunu teknik açıdan kapatmalarına yardımcı oluyoruz. Devlet kurumları, devlet bilgi sistemleri için 1. sınıf uygunluk sertifikası (FSTEC'in 17. sırasına göre) ve 1G sınıfındaki (STR-K'ye göre) gizli bilgilerin korunmasına ilişkin sertifika ile de ilgilenebilir.

2. Neden buna ihtiyacımız var?
Kişisel verilerin işleyicisi olduğunuz için, FZ-152 yasası sizin için otomatik olarak uygulanır. Devlet bilgi sistemlerine sahip devlet kurumları da FSTEC'in 17. sırasına tabidir.

3. Maliyeti ne kadar?
Maliyet, hacim, güvenlik düzeyi, yerleştirme koşulları dikkate alınarak müşteri için ayrı ayrı hesaplanır.

4. Dokümantasyon hazırlığına yardımcı olabilir misiniz?
Evet, yapabiliriz (hazır şablonlar sağlıyoruz veya tüm hazırlık sürecini anahtar teslimi olarak biz hallediyoruz).

5. Veri aktarım kanalı nasıl düzenlenir?
Rus GOST'una göre şifrelenmiş kanal, VipNet koordinatörü aracılığıyla kullanılır.

Sorunuzun cevabını bulamadıysanız, bizimkine gidin, çevrimiçi sohbeti kullanarak sitedeki danışmanlarımıza sorun veya kullanarak bir destek talebi yazın.

Sunucu evinizde olmadığı için, ona erişiminiz olmadığı için ve dahası, veri merkezinin politikasını hiçbir şekilde etkileyemeyeceğiniz için, o zaman bir takım yasal gereklilikleri yerine getirme şansınız da yoktur. . Geriye tek bir şey kalıyor, o da yasalara uygun bir hosting bulmak.

Artık Beguete değilim, onlara gizli bilgilerin korunması için bir FSTEC lisansına sahip olduklarına dair bir mektup yazdım. Ben ben değilim ve bu benim kulübem değil, biz sadece bunlarız ve genel olarak yapmamalıyız ... Özetlemek gerekirse, lisansları yok, yani genel olarak bir kişisel veri toplayan site burada tutulamaz. İnternete tırmandım (henüz çok sıkı değil) ve şimdiye kadar sadece lisanslı RU-CENTER buldum.

Gizli bilgi koruma araçlarının geliştirilmesi ve (veya) üretimi için lisans
20 Eylül 2011 Tarihli 0917 Sayılı LİSANS

Faaliyet lisansı teknik koruma kesin bilgi
20 Eylül 2011 Tarihli 1594 Sayılı LİSANS
Telif hakkı sahibi: Anonim Şirket "Bölgesel Ağ Bilgi Merkezi"
Lisans süresi: sınırsız

RU-CENTER'da gizli bilgilerin barındırılması

6 Mart 2012'den itibaren RU-CENTER yeni bir hizmet sunmaya başlıyor - gizli bilgilerin barındırılması.
Gizli bilgilerin barındırılması, bir sitenin İnternet'e yerleştirilmesidir. ek önlemler bilgi koruması hakkında.
Bu hizmet, kişisel verileri işlerken gerekli olan mevcut mevzuatın (Kanun N 152-FZ) bir dizi zorunlu gerekliliğini yerine getirmenize olanak sağlayacaktır.
Diğer RU-CENTER hizmetlerinde kullanılan ana veri koruma ve bilgi depolama yöntemlerine ek olarak, gizli bilgi barındırma şunları sunar:

• ağ erişimi sırasında bilgileri korumak için bir dizi eylem gerçekleştirmenize izin veren özel sertifikalı ekipman;
• hizmetin verildiği ekipmana fiziksel erişimin ek olarak kısıtlanması;
• günlük destek olmak(2 kopya);
• kullanılan fiziksel ortamın muhasebeleştirilmesi;
• Her hizmete özel MySQL.

Yeni hizmetin ana tüketicileri, küçük ve orta ölçekli işletmeler, çevrimiçi mağazalar, forumlar, pazarlama araştırma sistemleri ve kullanıcıların kişisel verilerini işlerken ve saklarken Rus mevzuatının gerekliliklerine uyması gereken diğer birçok İnternet kaynağıdır. Federasyon (Kanun N 152-FZ).

Soru şu ki, kalite açısından nasıllar?
Ve herhangi biri gizli bilgileri korumak için FSTEC lisansı olan başka barındırıcılar bulursa, bunu bu konuya gönderin.

27 Temmuz 2006 tarih ve 152-FZ sayılı "Kişisel Veriler Üzerine" Federal Kanunun 4. maddesinin 2. maddesinin 19. maddesinin yürürlüğe girmesinden sonra, her işletme kendi bilgi sistemlerini ve işlenmesiyle ilgili süreçlerini getirmekle yükümlüdür. Rusya Federasyonu Mevzuatının gerekliliklerine uygun olarak kişisel veriler.

Bu, tüzel kişiler için ne anlama geliyor?

Kuruluşlar, mahremiyet, kişisel ve aile sırları haklarının korunması da dahil olmak üzere, kişisel verilerinin işlenmesinde bir kişinin ve vatandaşın hak ve özgürlüklerinin korunmasını sağlamakla yükümlüdür. Böylece “kişisel verilerin organizasyonları-operatörleri” haline gelirler. Mevzuatın gerekliliklerine uygunluğun izlenmesi federal Hizmet iletişim alanında denetim hakkında, Bilişim Teknolojileri ve Rusya'nın kitle iletişimi (Roskomnadzor), FSTEC ve FSB.

Federal yasa, herhangi bir organizasyon biçimindeki şirketler için geçerlidir - bunlar devlet kurumları, federal ve belediye kurumlarıdır: bankalar, sigorta şirketleri, tıbbi kurumlar, telekom operatörleri, çevrimiçi mağazalar, perakende zincirleri, üretim şirketleri ve çalışanlardan alınan kişisel verileri işleyen diğer kuruluşlar , müşteriler ve diğer gerçek ve tüzel kişiler.

İşletme organizasyonunun sorumlulukları şunları içerir:

• kişisel verilerin işlenmesinin yasallığının sağlanması;
• FSTEC ve Rusya FSB gerekliliklerine uygun bir kişisel veri koruma sistemi oluşturmak;
• Roskomnadzor'a bir bildirim göndermek;
• dahili belgelerin geliştirilmesi;
• tasdik testleri veya uygunluk değerlendirmesi yapmak;
• kişisel veri koruma sisteminin sistematik olarak güncellenmesi.

Çoğu zaman, kişisel verileri korumak için alınan önlemlerin etkinliğini onaylayan bir belge alma ihtiyacı da dahil olmak üzere, bu zor ve maliyetli bir görev olarak ortaya çıkıyor. Bu nedenle çoğu şirket, güvenilir bir ortak bularak bu süreci optimize etmeyi tercih ediyor. anahtar teslimi çözüm harici bir sanal altyapıda.

Herkes tarafından yerine getirilecek tüzel kişiler FZ-152 aynı adlı yasanın Rusya topraklarında, biz - WELLSERVICE şirketi ile işbirliği içinde bir siteye ev sahipliği yapıyoruz - daha az maliyetli ve zaman alan bir çözüm sunuyoruz: kişisel veri depolama ve işleme sistemlerini güvenli bir bulut sistemine aktarmak , buna - "Bulutta ISPD" diyoruz.

Kişisel veri bilgi sistemleri (ISPD) için sunucular, bölgede bulunan ve Rusya Federasyonu'nda ikamet eden tüm şirketlere sağlanır.

Bulutta ISPD nedir?

"Bulutta ISPDn" ürünü, ayrı bir korumalı sanal sunucu, seçtiğiniz oranda, FZ-152 gerekliliklerine tam uyumlu.

Her "Buluttaki ISPD" tamamen yalıtılmış bir nesnedir. Bu, barındırma sağlayıcısı tarafından ISPD'nize erişimin, sertifikalı güvenlik araçları kullanılarak engellendiği ve kesinlikle gizli olduğu anlamına gelir!

İşlenen bilgilerin gizliliği şu yollarla sağlanır:

• "Bulutta ISPDn" üzerinde bulunan verilere erişim, FSTEC of Russia sertifikalı yetkisiz erişime karşı koruma araçlarının (NSD) yardımıyla ve sanal makine hipervizörünün (sertifikalı sistemin bir parçası olan) işlevlerinin yardımıyla sınırlıdır. güvenlik aracı).
• Kişisel verilerin kuruluş-operatörünün terminalinden iletişim kanalları aracılığıyla iletilen veriler ağ Arayüzü sanal makine, Rusya FSB'si tarafından onaylanmış bir kriptografik bilgi koruma aracı (CIPF) kullanılarak şifrelenir. Disk görüntüleri sanal makineler de CIPF kullanılarak şifrelenir.
• Veri merkezlerinin hiçbiri, müşterinin sanal makinesinde bulunan CIPF tesislerine erişim anahtarına sahip değildir. Yani, örneğin, indirmek için işletim sistemi VPS'de, istemci şifreyi bağımsız olarak aşağıdakileri içeren cryptocontainer'dan girer: sistem bölümü. Bu prosedür sanal bir makine üzerinde firmamız tarafından özel olarak geliştirilmiş işletim sistemi loader kullanılarak uygulanmaktadır. Aynı zamanda, erişim anahtarları sanal makinenin kullanıcısı tarafından herhangi bir zamanda kendi başına yeniden oluşturulabilir ve kripto kapsayıcı buna göre yeniden şifrelenebilir.
• İşlenen bilgilerin kullanılabilirliği ve bütünlüğü, yedekli iletişim kanalları, güvenilir veri depolama sistemleri, soğutma cihazları ve kesintisiz güç kaynağı. Ortaklarımız Rusya'daki en iyi veri merkezleridir: Miran, IXCellerate, KIAEHOUSE.

"Bulutta ISPDn" Rusya'daki şirketlere ne sağlıyor?

Basit prosedür: tüm organizasyonel, yasal ve teknik çalışma- bir güvenlik tehdidi modelinin geliştirilmesi, bir koruma sistemi konsepti, bir sertifika metodolojisi, doğrudan sertifika testleri ve bir uygunluk sertifikasının verilmesi. Bulutta ISPD ürünümüzü seçerek, KİŞİSEL VERİ SAHİPLERİNİ toplarken İZİN ALMANIZA İHTİYACINIZ YOKTUR.

Önemli tasarruflar:ürünümüz, müşteri şirketi kişisel verileri depolamak, işlemek ve korumak için güvenli bir BT altyapısı oluşturma ve sahip olma maliyetlerinden kurtarır. Ayrıca ISPD'nin buluta yerleştirilmesi hizmet olarak sunulmakta olup, müşteri şirketin herhangi bir sermaye maliyeti yoktur.

Bizim avantajlarımız:

• "Bulutta ISPDn" güvenli sistemi, kişisel veriler alanında Rusya Federasyonu mevzuatının tüm gerekliliklerine tam olarak uyduğu için gerekli tüm sertifikaları geçmiştir;
• sistemin tüm donanım, yazılım ve ağ öğelerinin FSTEC ve Rusya FSB gerekliliklerine tam uyumu;
• kişisel verileri toplarken ilgili kişilerin onayını almanız gerekmeyecek;
• uygulama ve ürünle çalışmanın tüm aşamalarında istişare ve destek.
• organizasyonel, idari ve düzenleyici belgelerden oluşan eksiksiz bir paket;
• sermaye maliyeti yok.

Hizmet sunum süreci nedir?

1

Müşteri şirketin bir temsilcisinin web sitemize kaydedilmesi ve ardından bulut hizmetinde ISPD için bir başvuru formunun doldurulması: sertifikasyon ihtiyacı, organizasyon detayları, faaliyet türü.

ISPD gereksinimlerine bağlı olarak, gerekli sunucu parametreleriyle uygun tarife planını seçersiniz: disk alanı ve RAM.

"Bulutta ISPD" hizmetinin sağlanması ve ödeme için bir anlaşmanın akdedilmesi.

Sağlanan verilere dayanarak, kişisel verilere ilişkin düzenleme, ISPD sınıflandırma yasası, tehdit modeli ve diğer gerekli belgeler dahil olmak üzere bir dizi kurumsal, idari ve düzenleyici belgeyi sizin için hazırlayacağız. Bu belgelerin doldurulmasının ve onaylanmasının doğruluğunu şirketimizin uzmanı kontrol edecektir.

İşyerinin yerinde tasdik tarihi konusunda sizinle hemfikiriz. Uzman işyerini ziyaret edip tüm gereklilikleri kontrol ettikten sonra, bir uygunluk sertifikası ve ISPD'nizin 152-FZ "Kişisel Veriler Üzerine" gerekliliklerine ve normlarına tam uygunluğunu onaylayan tüm belge paketini alırsınız ve tümü tarafından - kanunlar.

Lisanslarımız ve sertifikalarımız

* Bir belge paketi ve tasdik prosedürü ile birlikte güvenli bir ISPD sunucusunun maliyeti 1 yıl için ödendiğinde.

Sunulan şartlara göre kişisel verilerin saklanması ve işlenmesi için güvenli bir altyapının satışı tarife planları en az 1 yıl süre ile yapılır.

ISPD'de ilk sunucuyu sipariş ederken 11.300 ruble kurulum ücreti alınır.

• 27 Temmuz 2006 tarihli "Kişisel Veriler Hakkında" Federal Yasa N 152-FZ

yayınlar

Eylül 2015'ten bu yana, kişisel verilerin depolanmasının yerelleştirilmesine ilişkin düzenleme Rusya Federasyonu'nda yürürlüğe girmiştir (21 Temmuz 2014 tarih ve 242-FZ). Bu yenilik, elbette, Rusya barındırma ve bulut bilişim pazarındaki ana itici güçlerden biri haline geldi ve hem kişisel veri operatörlerini hem de barındırma sağlayıcılarını bir kez daha web sitesi gibi görünüşte basit bir varlıkla uyumluluğun nasıl sağlanacağını düşünmeye zorladı. kişisel verilere ilişkin mevzuat gereklilikleri.

27 Temmuz 2006 tarihli N 152-FZ "Kişisel Veriler Hakkında" Federal Kanununun uzun zaman önce kabul edilmiş olmasına rağmen, herkes buna uyum sağlamadı ve ona nasıl uyulacağını öğrenmedi. Kısmen teşekkürler Büyük bir sayı normatif belgeler ve bunlarda düzenli olarak yayınlanan değişiklikler. Bugüne kadar dört departmandan geliyorlar: Hükümet, Roskomnadzor, FSTEC ve FSB. Ve ayrıca, çivi çakma politikası yerine vidaları yumuşak ama kaçınılmaz olarak sıkma stratejisini seçen regülatörün oldukça dengeli konumu sayesinde.

En disiplinli piyasa katılımcıları olan büyük işletmeler ve kamu yetkilileri, kişisel veri bilgi sistemlerini (PDIS) büyük ölçüde zaten yasalara uygun hale getirdiyse, o zaman orta ve küçük işletmeler daha fazla ilerlemeleri için bunu ancak şimdi fark etmeye başlıyorlar. varoluş ve gelişme, her şey - kişisel verilerle ilgili mevzuatın uygulanması açısından da dahil olmak üzere, yine de gölgeden çıkmanız gerekecek, özellikle de bu gölge gittikçe daha az kaldığı ve şimdiden herkes için özlenmeye başladığı için.

Kullanıcıların kişisel verilerinin toplandığı ve saklandığı (örneğin, bir çevrimiçi mağazanın kişisel hesabında) bir web sitesinin sahibi ne yapmalıdır? Bunu birlikte anlamaya çalışalım.

Web sitesi kişisel verileri topluyorsa, bu bir kişisel veri bilgi sistemidir ve 152-FZ'ye tabidir.

Roskomnadzor'un kendisi bu konuda şöyle diyor: “Sanatın 9. paragrafına göre. “Kişisel Veriler Hakkında” Federal Yasasının 3'ü, kişisel veri bilgi sistemi, veritabanlarında ve bilgi teknolojilerinde yer alan ve bunların işlenmesini sağlayan bir dizi kişisel veridir ve teknik araçlar. Web sitesi belirtilen gereksinimleri karşılıyorsa, bir bilgi sistemidir.

Kişisel verilerin ne olduğunu hepimiz sezgisel olarak biliyoruz, ancak mevzuat açısından ne olduğunu anlamak önemlidir. 152-FZ sayılı Federal Yasanın 3. Maddesinin 1. paragrafına göre kişisel veriler, belirli veya tanımlanabilir bir gerçek kişiyle doğrudan veya dolaylı olarak ilgili her türlü bilgidir. Yani, pratik olarak her şeydir: TIN'den saç rengine ve ayakkabı numarasına, e-posta veya posta olsun, telefon numarası ve adresinden bahsetmeye bile gerek yok.

Böylece, bir çevrimiçi mağaza veya yalnızca kişisel bir hesabın veya kullanıcı kaydının, çevrimiçi siparişin, rezervasyonun, ödemenin, teslimatın vb. vb., 152-FZ açısından, tüm bunlar bir kişisel veri bilgi sistemidir (ISPD) ve sahibi bir kişisel veri operatörüdür.

Kişisel veriler yasası, bulut bilgi işlem ve dış kaynak kullanımındaki eğilimleri hesaba katar

Özellikle küçük ve orta ölçekli işletme sektöründeki şirketler için BT dış kaynak kullanımının önemi ve beklentileri hakkında zaten çok şey söylendi ve yazıldı, bu nedenle bu makalede okuyucuyu "bulutlar için" ajite etmeyeceğim. Özellikle de internetteki sitelerin çoğunun barındırma hizmeti sağlayıcıların genel web sunucularında barındırıldığını çok iyi bildiğimiz için.

Bunun pek çok nedeni var, ancak en önemlisi, elbette şirketlerin para biriktirmek, yüksek kullanılabilirlik ile ucuza bir web hizmeti almak için mantıklı arzusu. En azından Seviye III standart bir veri merkeziyle karşılaştırılabilir bir güvenilirlikle kendi bilgi işlem altyapınızı oluşturmak milyonlarca rubleye mal olur. İlk olarak, uygun bir odaya ihtiyacınız var: bir koridor değil, bir bodrum katı değil, bir çatı katı değil, böylece su basmasın ve böylece yabancılar ona erişemez. Havalandırmaya ve iklimlendirmeye ve belirli bir fazlalığa ihtiyacımız var. Otonom ve yedek güç kaynağı düzenlemek gereklidir. Bunu yapmak için bir yere bir DGU koymanız gerekir. Son olarak fiziki güvenlik ve bakım personeline ihtiyacımız var. Ek olarak, hizmetin kullanılabilirliğini garanti etmek için, sunucu için eksiksiz bir yedek parça seti satın almanız gerekecek ve ağ ekipmanı. Yani, bir sunucu yerine aslında iki tane satın almanız gerekiyor.

Doğal olarak, bulut bilişimin, sanallaştırma teknolojilerinin gelişmesi ve dış kaynak kullanımına yönelik belirgin bir eğilimle birlikte, KOBİ sektöründen giderek daha fazla şirket, bilgi sistemlerini "masa altı" sistem bloklarından bilgisayar merkezlerinde bulunan bulut bilişim kaynaklarına aktarmaya çalışıyor. modern endüstriyel standartları karşılar.

İÇİNDE bilgi sistemi saklanan ve işlenen herhangi bir işletmenin belli bir miktar kişisel veri. Bu, hem işletme çalışanlarının kişisel verileri hem de müşterilerin veya yüklenicilerin verileri olabilir. Kurumsal bilgi sistemleri hem işlevsel hem de teknolojik olarak oldukça çeşitlidir. Otomasyon sistemi de olabilir. muhasebe, örneğin, 1C ve bir site kişisel hesap kullanıcı ve çevrimiçi mağaza. Aynı zamanda, bu bilgi sistemleri kural olarak birbirine bağlıdır - kişisel veriler de dahil olmak üzere bilgileri birbirlerine aktarırlar.

152-FZ'nin 3. maddesinin 3. paragrafına göre, kişisel verilerin işlenmesi, otomasyon araçları kullanılarak veya bu tür araçlar kullanılmadan kişisel verilerle toplama, kaydetme, kaydetme, sistematikleştirme, biriktirme , depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma, aktarma (dağıtma, sağlama, erişim), duyarsızlaştırma, engelleme, silme, kişisel verilerin imhası.

Dolayısıyla, ISPD'yi sağlayıcının sunucusuna yerleştirmek, en azından yazma, saklama, okuma (geri alma), aktarma ve silme gibi kişisel veri işleme işlevlerini dışarıdan temin etmekten başka bir şey değildir.

152-FZ'nin 3. maddesinin 2. paragrafına göre, operatör (kişisel verilerin) yasal veya bireysel, kişisel verilerin işlenmesini organize eden ve (veya) gerçekleştiren diğer kişilerle bağımsız veya ortaklaşa, ayrıca kişisel verilerin işlenme amaçlarının, işlenecek kişisel verilerin bileşiminin, kişisel verilerle gerçekleştirilen eylemlerin (işlemlerin) belirlenmesi.

Buna göre, kişisel verilerin saklanması ve aktarılması işlevini üstlenen yer sağlayıcı, sitenin sahibi (bu kişisel verileri işleyen bilgi sistemi) ile birlikte bunların operatörüdür ve yasaya göre belirli bilgileri almakla yükümlüdür. güvenliklerini sağlamaya yönelik tedbirlerdir. Aslında, her şey o kadar da kötü değil ve 152-FZ sayılı "Kişisel Veriler Üzerine" Kanunun ve 1 Kasım 2012 tarih ve 1119 sayılı Hükümet Kararnamesi'nin operatör tarafından transferini sağlayan yazarlarına haraç ödemeliyiz. üçüncü taraflara işlenmesi için bazı işlevlerin kişisel verileri.

Üçüncü bir tarafça sağlanan barındırmada kişisel verileri işleyen barındırma web sitelerinin yasal düzenlemesi

Kişisel verilerin operatörü, kişisel verilerin konusunun rızasıyla, bu kişiyle yapılan bir sözleşmeye (siparişe) dayanarak, kişisel verilerin işlenmesini başka bir kişiye emanet etme hakkına sahiptir. Operatör adına kişisel verileri işleyen kişi, yürürlükteki kanunlarca öngörülen kişisel verilerin işlenmesine ilişkin ilke ve kurallara uymakla yükümlüdür. Operatörün talimatı, kişisel verileri işleyen kişi tarafından gerçekleştirilecek kişisel verilerle ilgili eylemlerin bir listesini ve işleme amaçlarını, böyle bir kişinin kişisel verilerin gizliliğini koruma yükümlülüğünü ve kişisel verilerin güvenliğini sağlama yükümlülüğünü tanımlamalıdır. işleme ve işlenen kişisel verilerin korunması için gereklilikler oluşturulmalıdır (madde 3, madde 6 152-FZ).

Bu nedenle, site sahibi gibi yer sağlayıcı, sitede işlenen kişisel verilerin operatörüdür ve bunların kullanılabilirliğinden, güvenliğinden ve güvenliğinden sorumludur. Tek fark, site sahibinin PD konularına karşı sorumlu olması ve kanunun öngördüğü hallerde kişisel verileri işlemek için ilgililerden izin almakla yükümlü olması ve yer sağlayıcının yetkili kişi olarak sorumlu olmasıdır. site sahibi, kişisel verileri kendisinden almakta ve saklamaktadır, ancak ilgili kişilerden izin almakla yükümlü değildir.

Genel olarak, kişilerin kişisel verilerinin işlenmesi için onaylarının alınması konusu çok geniş ve ilginçtir ve elbette ayrı bir makaleyi hak etmektedir.

Kişisel verilerin korunması gerekliliklerine uyum için yer sağlayıcı ile site sahibinin sorumluluk alanlarının ayrılması

Katılıyorum, kişisel verilerin güvenliğine ilişkin tüm sorumluluğu barındırma sağlayıcısına kaydırmak haksızlık olur. Nitekim çoğu zaman kendi sunucusunda barındırılan sitenin kimin, nasıl ve ne üzerine yazdığı hakkında hiçbir fikri yoktur. PD'ye erişimi yetkilendirmek için orada hangi parolaların kullanıldığı, hangi biçimde saklandıkları ve hiç kullanılıp kullanılmadıkları.

1119 sayılı Hükümet Kararnamesi'ne göre (paragraf 13 - 16), kişisel verilerin bilgi sistemlerinde işlenmesi sırasında gerekli koruma düzeyini sağlamak için aşağıdaki gerekliliklerin karşılanması gerekir:

№	Gereksinim PP 1119	Gerekli güvenlik seviyesi	sorumluluk alanı
	Bilgi sisteminin bulunduğu binaların güvenliğini sağlamak için rejimin organizasyonu	UZ-4; UZ-3; UZ-2; UZ-1;	Barındırma sağlayıcısı;
	Kişisel veri taşıyıcılarının güvenliğinin sağlanması		Barındırma sağlayıcısı;
	Kişisel verilere erişim hakları olan kişiler listesinin operatör başkanı tarafından onaylanması
	Sertifikalı bilgi güvenliği araçlarının kullanımı (yasal gerekliliklere uygunluğu değerlendirme prosedüründen geçmiştir)		Barındırma sağlayıcısı;
	Kişisel verilerin güvenliğini sağlamaktan sorumlu bir yetkilinin atanması	UZ-3; UZ-2; UZ-1;	Site sahibi; Barındırma sağlayıcısı;
	Elektronik ileti günlüğünün içeriğine erişim, yalnızca uygun yetkiye sahip kişiler tarafından mümkündür. erişim hakları	UZ-2; UZ-1;	Site sahibi; Barındırma sağlayıcısı;
	Operatör çalışanlarının kişisel verilere erişim yetkisindeki değişikliklerin elektronik güvenlik günlüğüne otomatik kaydı	UZ-1;	Web sitesi sahibi, barındırma sağlayıcısı
	Kişisel verilerin güvenliğini sağlamaktan sorumlu yapısal birimin oluşturulması		Web Sitesi Sahibi, Barındırma Sağlayıcı

Barındırma sağlayıcısının, iletişim hizmetleri sağlamak için Roskomnadzor'dan bir lisansa sahip olması gerekir.

Bildiğiniz gibi iletişim hizmetleri sağlamak için Roskomnadzor'dan lisans alınması gerekiyor. Bu, örneğin, 4 Mayıs 2011 tarih ve 99-FZ sayılı “Belirli Faaliyet Türlerinin Lisanslanması Hakkında” Federal Kanunun 12. Maddesinin 36. paragrafından sonra gelir.

18 Şubat 2005 tarih ve 87 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan iletişim hizmetleri sağlama alanında faaliyet yürütmek için lisanslarda yer alan iletişim hizmetlerinin adlarının listesine göre), lisanslı iletişim hizmetleri arasında diğer şeyler şunları içerir:

• Telematik iletişim hizmetleri (barındırma bunlardan biridir);
• Ses bilgisinin iletimi amacıyla veri iletimi için iletişim hizmetleri hariç, veri iletimi için iletişim hizmetleri.

Kişisel verileri işleyen siteleri barındırmak için barındırma sağlayıcısının bir FSTEC lisansına sahip olması gerekir.

Federal Teknik ve İhracat Kontrol Servisi (Rusya FSTEC) - bilgilerin teknik korunması ile ilgili faaliyetleri düzenler, bu mevzuat, standardizasyon, lisanslama alanındaki devlet politikası konularını ele alır ve ayrıca uygun kontrolleri yapar.

Yer sağlayıcı, yetki sözleşmesi kapsamında yetkilendirilmiş bir kişi olarak kişisel verilerin operatörü olduğundan, bunları korumak için teknik önlemler almakla, yani bilgilerin teknik olarak korunması için hizmetler sağlamakla yükümlüdür. 3 Şubat 2012 tarih ve 79 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan gizli bilgilerin teknik korunmasına yönelik lisanslama faaliyetlerine ilişkin yönetmelik lisanslı faaliyetlerdir.

18 Şubat 2013 tarihli ve 21 sayılı FSTEC Emri ile onaylanan, kişisel verilerin güvenliğini sağlamaya yönelik kurumsal ve teknik önlemler şunları içerir:

• erişim konularının ve erişim nesnelerinin tanımlanması ve doğrulanması;
• erişim nesnelerine erişim konularının erişim kontrolü;
• yazılım ortamının sınırlandırılması;
• makine depolama ortamının korunması;
• güvenlik olaylarının kaydı;
• anti-virüs koruması;
• izinsiz girişlerin tespiti (önlenmesi);
• kişisel veri güvenliğinin kontrolü (analizi);
• bilgi sisteminin ve kişisel verilerin bütünlüğünün sağlanması;
• kişisel verilerin mevcudiyetinin sağlanması;
• sanallaştırma ortamının korunması;
• teknik araçların korunması;
• bilgi sisteminin, iletişim araçlarının ve veri aktarım sistemlerinin korunması;
• olayları tespit etmek ve bunlara müdahale etmek;
• ISPD ve SZPDn yapılandırma yönetimi.

Kişisel verilerin güvenliğini sağlamaya yönelik çalışmaları gerçekleştirmek için, gizli bilgilerin teknik olarak korunmasına yönelik lisansa sahip üçüncü taraf kuruluşların sözleşmeye dayalı olarak çalışmasına izin verilir (21 No'lu FSTEC Emri'nin 2. paragrafı, 2. paragrafı).

Kişisel verilerin güvenliğini sağlamak için bir dizi önlem, yer sağlayıcının bir FSB lisansına sahip olmasını gerektirir.

FSTEC'in 21 No'lu Emrine göre kişisel verilerin uygun düzeyde korunmasını sağlamaya yönelik önlemler aşağıdaki önlemleri içerir:

• Korunanların uygulanması uzaktan erişim harici bilgi ve telekomünikasyon ağları (UPD.13) aracılığıyla erişim nesnelerine erişim konuları;
• Kişisel verilerin, kablosuz iletişim kanalları (ZIS.3) dahil olmak üzere kontrol edilen alanın ötesine geçen iletişim kanalları aracılığıyla iletilmesi (aktarıma hazırlık) sırasında ifşa edilmesinden, değiştirilmesinden ve empoze edilmesinden (yanlış bilgi girilmesi) korunmasının sağlanması;
• kimlik doğrulama ağ bağlantıları(etkileşim oturumları), ağ cihazlarının ve hizmetlerinin değiştirilmesine karşı koruma dahil (ZIS.11);

Bu önlemlerin özüne dayanarak, bunların uygulanmasının kriptografik bilgi koruma araçlarının (CIPF) kullanılmasını gerektirdiği açıktır. Bildiğiniz gibi, Rusya Federasyonu'nda CIPF kullanımıyla ilgili konular Federal Güvenlik Servisi (Rusya FSB) tarafından düzenlenmektedir.

Rusya Federasyonu Hükümeti'nin 16 Nisan 2012 tarih ve 313 sayılı Kararnamesi ile onaylanan şifreleme (kriptografik) araçlarının geliştirilmesi, üretimi ve dağıtımı için lisanslama faaliyetlerine ilişkin yönetmeliğe göre, lisanslı faaliyeti oluşturan işlerin listesi içerir:

• kullanarak güvenli geliştirme kriptografik araçlar, bilgi ve telekomünikasyon sistemleri;
• Kriptografik araçların kurulumu, kurulumu, ayarlanması ve kullanımları ile korunan bilgi ve telekomünikasyon sistemleri;
• Kriptografik araçların servisi;
• Kriptografik araçların ve bunların kullanımıyla korunan bilgi ve telekomünikasyon sistemlerinin transferi;
• Bilgi şifreleme hizmetlerinin sağlanması.

Barındırma sağlayıcının bilgisayar merkezi Rusya Federasyonu topraklarında bulunmalıdır.

1 Eylül 2015 tarihinden itibaren depolama ve depoların yerelleştirilmesine ilişkin yönetmelik bireysel süreçler kişisel verilerin işlenmesi, 21 Temmuz 2014 tarih ve 242 sayılı Federal Yasada "Bilgi ve Telekomünikasyon Ağlarında Kişisel Verilerin İşlenmesine İlişkin Prosedürün Açıklığa Kavuşturulmasına İlişkin Kısmen Rusya Federasyonu'nun Bazı Yasal Düzenlemelerinde Değişiklik Yapılmasına Dair", paragraf 1'e göre tanımlandığı şekilde işlenmesi Bilgi ve telekomünikasyon ağı İnternet de dahil olmak üzere kişisel verileri toplarken, operatör, vatandaşların kişisel verilerinin kaydedilmesini, sistemleştirilmesini, biriktirilmesini, depolanmasını, açıklanmasını (güncellenmesi, değiştirilmesi), çıkarılmasını sağlamakla yükümlüdür. Rusya Federasyonu, Rusya Federasyonu topraklarında bulunan veritabanlarını kullanıyor.

Aynı zamanda, kişisel verilerin sınır ötesi aktarımının bu haliyle yasaklanmadığını, ancak kanunla düzenlendiğini not etmek önemlidir. Bununla ilgili daha fazla bilgiyi Sanatta okuyabilirsiniz. 12 152-FZ.

Kısaca ana hakkında

Öyleyse yukarıdakileri özetleyelim.

Bir web sitesi, işlevselliği kişisel verileri girmenize, saklamanıza veya görüntülemenize izin veriyorsa, kişisel veri bilgi sistemidir. İyi bir örnek, kişisel hesabı olan, çevrimiçi rezervasyon yapma, teslimatla sipariş verme veya satın alma vb. Olanakları olan hemen hemen her sitedir.

Online ortamda müşterilerin kişisel verilerinin işlenmesi sadece modern e-ticaretin bir gereği değil, aynı zamanda geniş fırsatlar açıklaması ayrı bir makaleyi hak eden pazarlama için.

ISPD olan sitenin sahibi, Roskomnadzor'a hangi kişisel verileri sakladığını ve işlediğini, ISPD'nin çalıştığı sunucuların fiziksel olarak nerede bulunduğunu belirten bir bildirim göndermekle yükümlüdür. Bunu "RKN'ye nasıl bildirim gönderilir ve başınız belaya girmez" makalemde okuyabilirsiniz.

Barındırma sağlayıcı ile yapılan sözleşme, bilgi işlem kaynaklarının niceliksel ve niteliksel özelliklerine ek olarak, kişisel verilerin işlenmesi için onlarla gerçekleştirilecek eylemlerin belirli bir listesini belirten bir talimat içermelidir, amaçları ve prosedürü belirtmelidir. kişisel verilerin işlenmesi için, bunların korunmasına yönelik gereklilikler ve kişisel verilerin güvenliği için sağlayıcının sorumluluğu da belirlenmelidir.

Barındırma şirketlerinin sağlaması için Roskomnadzor'un standart lisanslarına ek olarak telematik hizmetleri iletişim, müşteri sitelerinde işlenen kişisel verileri korumak için, yer sağlayıcının gizli bilgilerin teknik olarak korunması için bir FSTEC lisansına ve şifreleme (kriptografik) araçlarının kullanımına ilişkin hizmetlerin sağlanması için bir FSB lisansına sahip olması gerekir.

Ve son olarak, kişisel verilerin fiziksel olarak depolandığı sağlayıcının sunucusu Rusya Federasyonu topraklarında bulunmalıdır.

Bu nedenle, bu makale ISPD'leri bulut hizmeti sağlayıcılarının bilgi işlem kaynaklarına yerleştirmenin tüm yönlerini olmasa da birçok yönünü tartışmaktadır. Daha detaylı bilgi aşağıdaki belge ve bilgi kaynaklarından temin edilebilir:

Mevzuat

• Rusya Federasyonu Hükümeti Kararı 01.11.2012 N 1119 "Kişisel verilerin bilgi sistemlerinde işlenmesi sırasında kişisel verilerin korunmasına ilişkin gereksinimlerin onaylanması hakkında"
• 18 Şubat 2013 tarihli Rusya FSTEC Emri No. 21 Kişisel veri bilgi sistemlerinde işlenmesi sırasında kişisel verilerin güvenliğini sağlamak için organizasyonel ve teknik önlemlerin bileşimi ve içeriğinin onaylanması üzerine

  Telegram Passport, kullanıcının kimliğini belirlemenizi sağlar. Gerekli tüm belge ve verilerin Telegram'a bir kez yüklenmesi gerekecek ve ardından bunları anında Telegram ortaklarına aktarmak mümkün olacaktır. Yeni hizmet başlatıldığında, Qiwi de dahil olmak üzere bu tür birkaç ortağın hizmetlerini kullanmak mümkün olacak.

  Devamını oku...