Комментарии 2
Такое ощущение, что закон направлен в первую очередь не на защиту персональных граждан, а на создание рычага давления на крупные компании. Тем не менее, требования закона лучше соблюдать. У нас вот данные в Амазоне хранились. После принятия закона о защите ПД компания приняла решение хранить данные на собственных серверах. Благо что компания айтишная и свои сисадмины имеются.
У вас уже был опыт проверки ваших клиентов Роскомнадзором? Если да, то было бы интересно узнать что конкретно проверяется и каким образом.
дополнительный договор-поручение обработки персональных данных. Таким образом, фиксируется факт передачи компанией — оператором персональных данных — части процесса обработки персональных данных хостинг-провайдеру, т. е. последний берет на себя ответственность соблюдения требований законодательства к установленному уровню защищенности системыВот это, наверное, главный плюс переноса данных в облако — снятие с себя ответственности перед регулятором, ведь защищенность системы зависит по большей части от прямоты рук, участвовавших при её реализации, а не от того, где она развернута.
У вас уже был опыт проверки ваших клиентов Роскомнадзором? Если да, то было бы интересно узнать что конкретно проверяется и каким образом.
Добрый день!
1. Про договор-поручение:
Защите подлежат все рабочие места, где обрабатываются персональные данные, а следовательно придется защищать и места сотрудников со всеми вытекающими, вроде закупки средств защиты и составления модели угроз.
Кроме того, являясь оператором персональных данных, необходимо иметь пакет документов на систему, который отвечает на вопрос: что это за система, что она обрабатывает, как она это обрабатывает, какие сотрудники имеют доступ и какой, как система защищается и почему именно так.
Договор-поручение закрывает лишь часть вопросов, но существенную.
2. Про проверки:
Опыт был, причем положительный. Проверку проходили компании, которые хостили системы, в том числе УЗ-1.
РКН проверяет документы на систему персональных данных, в технические подробности не смотрит.
1. Про договор-поручение:
снятие с себя ответственности перед регулятором
Защите подлежат все рабочие места, где обрабатываются персональные данные, а следовательно придется защищать и места сотрудников со всеми вытекающими, вроде закупки средств защиты и составления модели угроз.
Кроме того, являясь оператором персональных данных, необходимо иметь пакет документов на систему, который отвечает на вопрос: что это за система, что она обрабатывает, как она это обрабатывает, какие сотрудники имеют доступ и какой, как система защищается и почему именно так.
Договор-поручение закрывает лишь часть вопросов, но существенную.
2. Про проверки:
Опыт был, причем положительный. Проверку проходили компании, которые хостили системы, в том числе УЗ-1.
РКН проверяет документы на систему персональных данных, в технические подробности не смотрит.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Безопасность в «облаках»