Как стать автором
Обновить

Комментарии 55

НЛО прилетело и опубликовало эту надпись здесь
Поддержу примером как мы широко распространяем информацию о себе. Пример неисправное гарантийное устройство, возьмем сони, (у других примерно также) — при звонке в техподдержку сони они пытаются собрать максимум информации о звонившем (ФИО, телефон, email), при оформлении гарантийного ремонта — собирают полный адрес, откуда надо забрать неисправное устройство. Эти данные из ауткроссинг колл центра передаются еще одним подрядчикам — или подрядчик-сервисный центр или dhl, для доставки в СЦ. Данные широко расходятся. Конкретно у сони база в датацентре в Бельгии, используется по всему проекту — можно найти Ганса в Германии, и Жака во Франции, точно также имеющий доступ к базе в Германии может увидеть Иванова в России с полными контактными данными.
Как многие помнят сони взламывали хакеры, поэтому возможно данные клиентов уже где-то у третьих лиц.
Ну данный закон неособо влияет на защищенность моих персональных данных, а говорит только о том, что первый fingerprint данных должен быть в базе, хранимой на серверах в России. Т.е. дальше они также уйдут за пределы страны и там их безопасность ничем не обеспечена. (как и если они хранятся в россии)
НЛО прилетело и опубликовало эту надпись здесь
Все законы о персональных данных влияют на их защищенность. В худшую сторону.
К примеру требование о том, что список всех у кого есть персональные данные должен храниться в отдельной базе у государства. Сам факт существования такой базы увеличивает уязвимость этих данных. База покупается у сотрудников ведомства, купивший базу по метаданным может оптимизировать свой вектор атаки на приваси. Например узнать о каких-то дополнительных базах с большим покрытием, о сотрудниках за них отвечающих… Если же у атакующего будут не только база, но и корочки, то атака еще проще.
В общем я дважды сталкивался с тем, что органы «просят» доступ к базе. Но там про существование базы было известно всем. Но реально атака начинается не с корочки, компромата или подкупа, а с желания базу заполучить. А перед желанием нужно еще узнать о факте ее существования, и хоть какие-то метаданные…
И как на все это повлияет перенос данных в РФ?

Кроме того, никто не может контролировать копирование всех данных на зарубежные сервера, а в нормальных компаниях данные разманы/клонированы по всему миру.
А что делать сотням тысяч небольших интернет-фирм, у которых 1-10-100 клиентов из РФ? В общем градус бредовости закона не понизился.
Насколько я понимаю, тем кто не имеет тут филиалов (российских юрлиц) ничего не грозит, так? То есть, если какой-нибудь Aliexpress там или Cabelas не имеет юрлица в этой стране, то для него ничего не меняется и блокировать его не будут?
Пока не будут. Детей тоже изначально от пиратских книг не защищали…
Если я правильно понял вопрос, то заблокирован может быть только интернет-ресурс, обрабатывающий персональные данные с нарушениями законодательства (ст.15.5 ФЗ-149).

В случае, если речь о возможных нарушениях в обработке персональных данных во внутренней инфраструктуре (без «лица» в интернет которого в принципе нет), то эти нарушения выявляются в ходе проверок РКН с последующими административными взысканиями.
Интересно, какая-нибудь LAN Airlines уже бросилась переносить дата-центр из Сантьяго в Москву?
> Но под новые требования не подпадают правоотношения, которые регулируются международными договорами или конвенциями (авиакомпании,…

Об этом же написано
Так-то да, но есть одно но: для авиакомпаний условия получаются очень неодинаковыми. Одна и та же авиакомпания то попадает под действие этого закона, то нет: если рейс внутренний, никакими конвенциями он не регулируется, и надобно данные хранить здесь. А если рейс трансграничный — все, Варшавская конвенция, можно хранить где угодно. Аэрофлот, если не путаю, ушел когда-то в Сабру. Целиком… S7 вроде тоже уходила в европейские облака.
Ну и вишенка на торте: например, если билет покупается у иностранной авиакомпании на внутрироссийский рейс, выполняемый по кодшерингу. Условно говоря, в билете — airberlin, код рейса его же, физически везет S7 (аналогично KLM/Аэрофлот, ElAl/Трансаэро, далее везде). Если билет продан таким образом россиянину — что будет с юридической стороной хранения и обработки ПНд?
«Сертифицированные ФСБ» (-:
А какого цвета штаны выдают после такой сертификации? (-:
Вы неверно всё поняли, штаны правильного цвета у них уже есть. Кто без правильных штанов, тем сертификат не дадут (ну или не в первую очередь, это точно).
НЛО прилетело и опубликовало эту надпись здесь
Думается, банки на такое не пойдут никогда.
НЛО прилетело и опубликовало эту надпись здесь
Ну, в РКН тоже не только идиоты встречаются, особенно на уровне рядовых инспекторов.
НЛО прилетело и опубликовало эту надпись здесь
При сценариях, связанных с обработкой ПД — не встречал никаких. В операторской деятельности — получал, да. Не от идиотов.
НЛО прилетело и опубликовало эту надпись здесь
Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
Логирование не решает проблему, т.к. необходимо обеспечить первоначальное наполнение БД на территории РФ и все последующие модификации с записями в этой базе.
Формально логи «первичной БД» являться не могут, т.к. это именно логи.
НЛО прилетело и опубликовало эту надпись здесь
Там речь об обработке еще.
НЛО прилетело и опубликовало эту надпись здесь
Вы, видимо, схему СОРМ в голове собрали — там бы такое могло пройти. :) Но нет, тут именно необходимость не только показать, но и держать и обрабатывать данные среди родимых осин.
НЛО прилетело и опубликовало эту надпись здесь
Цель вносимых законом изменений – это обеспечение работоспособности бизнес-процессов российских компаний в случае возможных проблем с работоспособностью международных сетей и систем.
Ну это заявленная цель. Об этом законе заговорили пару лет назад, когда некоторые люди начали находить и публиковать данные о зарубежной недвижимости высокопоставленных россиян, которые забыли указать её в налоговой декларации. Теперь источники этих данных и публикации можно будет заблокировать по новому закону.
Да-да, всё для дорогих чиновников. И про российскую недвижимость тоже скоро будет узнать крайне проблематично. (http://top.rbc.ru/economics/10/07/2015/559fc1b29a79476031e2c6ad)

Но вообще там много было заинтересованных сторон. Очевидно, выигрывают владельцы центров обработки данных, российские тур. компании, российский интернет-бизнес, соцсети и т.д. Проигрывает — пользователь и потребитель, которому придётся потреблять неконкурентный безальтернативный продукт.
А больше всего напрягает то что никто меня не спросил хочу я или нет чтоб мои персональные данные попадали под действие этого закона. Я вот абсолютно не против что мои данные хранятся где-то там за бугром. Лишь бы мне сообщили об этом. Хотя бы галочкой которую я должен поставить. А страдать от этого буду опять таки я сам.
Партии виднее, где должны храниться ваши данные!
чтобы народ слушался — вводятся штрафы, аппорт!
А в каком законе говорится именно о «первичной (основной)» базе данных, а не просто «с использованием» баз данных?
Неудивительно что вы рады… а большое количество трёх букв в статье вызывает отвращение.
Возможно для ряда компаний будет дешевле просто не работать с Россией и её гражданами…
Кому-то будет дешевле не работать. И их место займут другие
Да, но пользователи рискуют здорово потерять в качестве сервиса.
Есть 3 варианта жить:
1) Узкая специализация страны. Когда мы производим что-то одно (например, нефть), а все остальное покупаем. Путь заведомо в никуда
2) Пытаться самим освоить производство всего. Как пробовали делать в СССР, но даже тогда не хватало на все ресурсов.
3) Приглашать (заставлять?) иностранные компании локализировать производства в России (в данном случае услуги — дата центры). Как по мне — оптимальный путь, что и будет делаться в рамках этого закона

И да, какое-то время пользователям придется потерпеть. В том числе и мне придется переносить сервера БД из Германии
И да, сервера в России будут стоить дороже. Но это создает рабочие места для инженеров, администраторов и т.д.
То есть, создавать условия для ведения бизнеса мы не будем, но административно загоним. Ооок…
Пробовали чего-нибудь пропихнуть на европейский рынок например? Да хотя бы яблоки «антоновка»?
Антоновку в Европе выращивать будете?!
Боюсь в результате не столько загоним административно, сколько разгоним. Крупные конторы будут думать что делать, а мелочь явно предпочтёт просто с этой странной страной дела не иметь. Какой нибудь интернет магазин, торгующий запчастями к авиамоделям что будет ради трёх российских клиентов в месяц тут сервер ставить?
НЛО прилетело и опубликовало эту надпись здесь
п1 вы сами отметаете
п3 вам вроде как уже объяснили
п2 у вас от незнания истории. СССР не пытался сам освоить. ВСЕ заводы, технологии ПОКУПАЛИСЬ (изначально). Не будем акцентировать внимание на том за какие деньги. Главное что покупались. Да потом были смешные истории типа автомата Калашникова или там собственного процессора К580. Но то потом… Вера в легенды и незнание истории ВСЕГДА приводит к одному и тому же результату. История учит только тому, что люди не учатся у истории :)

Так что попытайтесь придумать четвертый вариант)
Может кто-нибудь адекватно пояснить, как касается сей ФЗ, на обычную фирму, которая имеет локальную инсталляцию 1С, и считает зарплату?

Не ужели выходит, что теперь весь софт должен быть ФСТЭК + и надо на сайте компании писать как хранятся ПД?
А можно вопрос.
Я разрабатываю сервис, который будут содержать информацию о пользователях ФИО, адрес, телефон, и email. Сервис работает на западном хостинге.
Соответственно, эта информация должна храниться на российском сервере. Если я подниму лёгкий сервис на российском хостинге, который будет хранить эту информацию на российском хостинге. Где можно ознакомится с требованиями к передаче этих данных между модулями одного приложения?
Возможно, не самое удачное место для данного вопроса, но не подскажет ли кто-нибудь, как быть нам с "Клубом анонимных Дедов Морозов" на Хабрахабре?

Сейчас у нас все данные хранятся в Амстердаме. С 1 сентября планируем перенести эти данные в РФ, но так, что они будут в зашифрованном виде. Ключ для расшифровки будет храниться на первом сервере и никогда не покидать пределы ЕС. Все запросы от пользователей идут на сервер в ЕС, сервер в ЕС (если данных нет в кеше), делает запрос в РФ, извлекает зашифрованные данные и расшифровывает на своей стороне. Взаимодействие между пользователем в РФ и сервером в Европе исключительно по HTTPS.

Из ПД храним только почтовые адреса. В личной переписке между пользователей могут храниться номера телефонов. Также не понятно, имеем ли мы право собственно отдавать адрес пользователя его «Деду Морозу»?
Я вас огорчу. Вы обрабатываете данные в Амстердаме, когда их расшифровываете.
Хм, вы правы, я невнимательно прочитал пост.

А если, например, каждый адрес шифруется своим уникальным для пользователя ключом, который отсылается пользователю по HTTPS вместе с зашифрованными данными. Далее JS скрипт расшифровывает их уже в РФ. Для сортировки адресов сами адреса не нужны, достаточно их идентификаторов (адрес №1, адрес №2, адрес №3 и т. д.)

Единственная проблема, которую я пока вижу, это если гражданин РФ заходит на наш сайт не из РФ. В общем, спасибо за замечание, будем думать дальше…
Я вам больше скажу — российский гражданин может проживать за пределами России на постоянной основе!
А является ли наличие СОРМ обязательным условием для успешной сертификации органами?
СОРМ — это про операторов связи.
БУЗУМНОСТЬ этого закона совершенно очевидно говорит о том, что он изначально писался как закон избирательного действия для блокировки неугодных ресурсов и осуществления контроля над избранными ресурсами, такими как соцсети, поисковые сервисы и т. п.
Ибо любой тролль может зарегистрироваться на сайте какой-нибудь зарубежной газеты или интернет магазина или просто частного блога… После чего сайт в течение трёх дней должен быть заблокирован, а наши судебные приставы отправиться за океан взымать штрафы. Совершенно очевидно что это АБСУРД и в полную силу закон не сможет заработать НИКОГДА.
Под действие закона попадёт только избранный крупняк, типа Facebook. Если он не переносит данные в Россию то его блокируют, если переносит то подпадает под полный контроль. Вот и весь сказ.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий