معالجة البيانات الشخصية 1s 8. إجراء تحديث حزمة البرامج الآمنة

في 29 مايو 2014، ألقيت محاضرة في موسكو في 1C:قاعة المحاضرات (موسكو، شارع سيليزنيفسكايا، 34). أرسل قراؤنا الذين لم يتمكنوا من حضور المحاضرة أسئلتهم كجزء من المؤتمر عبر الإنترنت الذي يحمل نفس الاسم. خلال الحدث، أجاب يوري كونتميروف، رئيس قسم حماية حقوق أصحاب البيانات الشخصية في Roskomnadzor، وإيرينا بايماكوفا، الخبيرة من 1C، على الأسئلة حول حماية البيانات الشخصية، وقاما أيضًا بتحليل الأخطاء الرئيسية التي حددتها Roskomnadzor خلال أنشطة مكافحة.

المستخدم كوت : 1C:Enterprise 8.2z للمؤسسات الصغيرة والمتوسطة. طب، موظفو الدولة، العسكريون...؟ لمن وما هي هذه المنصة اللازمة؟ في وضع المستخدم، يجب أن يتم دفن هذا ضمن حقوق الوصول. من اتصال جهة خارجية باستخدام نظام إدارة قواعد البيانات (DBMS)؟

منذ 4 سنوات وأنا أعتقد أن هذا مجرد ضخ بسيط للأموال يشبه "مشكلة عام 2000". عندما أتيت، أطلقت برنامجًا على الكمبيوتر، لقد فعل شيئًا ما، قلت إن كل شيء على ما يرام وحصلت على المال.

ايرينا بايماكوفا : تنطبق متطلبات القانون الاتحادي "بشأن البيانات الشخصية" على أي مشغلي البيانات الشخصية، أي. أي منظمات تتم فيها معالجة البيانات الشخصية. نعم، في الواقع، يمكن أن تختلف متطلبات حماية البيانات الشخصية اعتمادًا على فئة البيانات وحجمها بشكل كبير.

: ما الذي يميز الإصدار 8.2z؟ لماذا تتم حماية البيانات الشخصية فيه وما هو الخطأ من حيث حماية البيانات الشخصية في الإصدارات الأخرى من ثمانية برامج؟

ايرينا بايماكوفا : ZPK "1C:Enterprise, version 8.2z" - نسخة معتمدة من النظام الأساسي التكنولوجي 1C:Enterprise 8.2. لا توجد فروق وظيفية بين الإصدار المعتمد والإصدار العادي. تم تنفيذ التحسينات التي تم إجراؤها مع مراعاة متطلبات FSTEC في روسيا في كل من الإصدارات العادية والمعتمدة من منصة التكنولوجيا.

يتيح لك استخدام ZPC "1C:Enterprise، version 8.2z" تحقيق المتطلبات المنصوص عليها في المادة 2 من المادة 19 من القانون الاتحادي "بشأن البيانات الشخصية" فيما يتعلق بالاستخدام الإلزامي لأدوات أمن المعلومات التي اجتازت المطابقة التقييم فيما يتعلق بالبيانات الشخصية التي تتم معالجتها باستخدام منتجات برنامج 1C.

مستخدم غير مسجل : لا أستطيع حقًا أن أتخيل كيف يمكن أن يصبح البرنامج علاجًا سحريًا في مجال حماية البيانات الشخصية. ولكن ماذا عن العامل البشري سيء السمعة؟ بعد كل شيء، يعمل الناس في البرنامج.

ايرينا بايماكوفا : في هذه الحالة، لا يمكننا أن نقول أن البرنامج هو الدواء الشافي. تعد حزمة البرامج الآمنة "1C:Enterprise، version 8.2z" إحدى "اللبنات الأساسية" التي تسمح لك ببناء نظام لأمن المعلومات وضمان الامتثال لمتطلبات التشريعات الحالية للاتحاد الروسي في مجال البيانات الشخصية حماية.

مستخدم غير مسجل : هل كانت هناك أي حالات لتسرب بيانات الأرقام 1 المحمية؟

ايرينا بايماكوفا : ليس لدي مثل هذه البيانات.

مستخدم غير مسجل : هل تتحمل 1C أي مسؤولية عن فقدان البيانات وتسربها؟

ايرينا بايماكوفا : تقع مسؤولية فقدان البيانات على عاتق مشغل البيانات الشخصية.

مستخدم غير مسجل : من يحتاج إلى استخدام ZPK "1C:Enterprise, 8.2z"؟ ما الذي تتضمنه حزمة تسليم ZPK؟

ايرينا بايماكوفا

تشتمل مجموعة ZPK "1C:Enterprise، version 8.2z" على مجموعة توزيع لمنصة التكنولوجيا ونموذج ووثائق.

مستخدم غير مسجل : ما هي المنتجات البرمجية الأخرى التي يمكن استخدامها لحماية البيانات الشخصية؟

ايرينا بايماكوفا : هناك عدد كبير من أدوات أمن المعلومات في السوق. تعتمد الحاجة إلى استخدام منتج معين على التهديدات الحالية المحددة ومتطلبات حماية البيانات الشخصية لمشغل معين.

مستخدم غير مسجل : ما هي المخاطر المحتملة الرئيسية التي تراها بالنسبة للبيانات الشخصية؟ ما الذي تضمنه الحماية أو تستبعده بالضبط؟

يوري كونتيميروف : الخطر الرئيسي هو تسرب البيانات الشخصية وتوزيعها بشكل غير قانوني، مما قد يؤدي إلى عواقب سلبية على الشخص والتعدي على حياته الشخصية. من الممكن ضمان الحماية الفعلية للبيانات الشخصية فقط من خلال اتباع نهج متكامل لتنظيم أمن المعلومات، مع إيلاء اهتمام خاص للعامل "البشري".

مستخدم غير مسجل : هل تعتقد أن الشركات الصغيرة غالبا ما تواجه تسربات للبيانات المحاسبية؟

يوري كونتيميروف : للأسف، ليس لدي معلومات حول هذه المسألة.

مستخدم غير مسجل : لماذا يسمى "1C:Enterprise 8.2z" آمنًا؟ ما هو الفرق الأساسي بينه وبين المنتجات الأخرى؟

ايرينا بايماكوفا : في هذه الحالة يكون "محمي" هو الاسم، أي. تم اختباره بواسطة مختبر اختبار لعدم وجود قدرات غير معلنة والامتثال للمتطلبات الأخرى التي تحددها FSTEC في روسيا.

ZPK "1C:Enterprise، version 8.2z" هو منتج خاص لتلبية متطلبات التشريعات الحالية المتعلقة بالبيانات الشخصية للمؤسسات ورجال الأعمال الذين يستخدمون منتجات برمجيات 1C.

المستخدم كاوفن : قامت المنظمة بشراء ZPK "1C:Enterprise 8.2z". ما هي الاختلافات الرئيسية بين المنصة و1C:Enterprise 8.2، إلى جانب وجود شهادة FSTEC؟ هل واجه أي شخص مثل هذه المنصة؟

ايرينا بايماكوفا : ZPK "1C:Enterprise, version 8.2z" - نسخة معتمدة من منصة التكنولوجيا 1C:Enterprise 8.2. لا توجد فروق وظيفية بين الإصدار المعتمد والإصدار العادي.

يتمثل الاختلاف الرئيسي في أن الإصدار المعتمد قد تم اختباره بواسطة معمل اختبار ويؤكد الامتثال للمتطلبات الواردة في الشهادة، ويحتوي أيضًا على المجاميع الاختبارية الواردة في نموذج ZPK "1C:Enterprise، version 8.2z".

مستخدم غير مسجل : نحن مؤسسة الميزانية. هل هناك تعديل على ZPK "1C:Enterprise 8.2z" خصيصًا لموظفي الدولة وما هي تكلفة النسخة المدعومة؟

ايرينا بايماكوفا : ZPK "1C:Enterprise, version 8.2z" هو إصدار معتمد من النظام الأساسي التكنولوجي 1C:Enterprise 8.2، والذي يمكن استخدامه مع أي تكوينات قياسية، بما في ذلك المؤسسات ذات الميزانية (على سبيل المثال، "1C: الرواتب والموظفين الحكوميين" مؤسسة"، " 1C: محاسبة مؤسسة الدولة").

تم تحديد إجراء بيع وتحديث ZPK 1C: Enterprise version 8.2z" في خطاب المعلومات الخاص بشركة 1C رقم 12891. يمكنك العثور عليه على الرابط التالي - http://1c.ru/news/info.jsp ?id=12891

مستخدم غير مسجل : الإعلان عن المحاضرة والمؤتمر عبر الإنترنت يتحدثان عن الأخطاء الرئيسية التي حددتها Roskomnadzor أثناء تنفيذ أنشطة المكافحة. أود أن أعرف المزيد عن هذا الأمر، ما هي الأخطاء التي يكتشفها القسم في أغلب الأحيان؟

يوري كونتيميروف : تنعكس الانتهاكات الأكثر شيوعًا للقانون التي تم تحديدها أثناء إجراءات المراقبة في Roskomnadzor في التقارير السنوية المنشورة على الموقع الإلكتروني للوكالة.

مستخدم غير مسجل : من فضلك أخبرنا عن شهادة ZPK "1C:Enterprise، version 8.2z".

ايرينا بايماكوفا : تمت مناقشة الأسئلة المتعلقة بالأغراض والإجراءات ونتائج الشهادات التي تنفذها شركة 1C بالتفصيل وعرضها على موقع الويب buh.ru، بما في ذلك في المقالة "شهادة البرامج بغرض الامتثال للتشريعات المتعلقة بحماية الشخصية" البيانات" بشأن الشهادة الأولية في عام 2010 وفي مقال "حماية البيانات الشخصية - من 2011 إلى 2013 أو تغييرات لمدة عامين" حول الشهادة التي تم إجراؤها في عام 2013 وتجديد الشهادة.

مستخدم غير مسجل : في رأيك، هل هناك حاجة إلى إجراءات جديدة لمنع تسرب البيانات الشخصية وزيادة مستوى حمايتها؟ إذا لزم الأمر، أي منها؟

يوري كونتيميروف : لمنع تسرب البيانات الشخصية، من المهم اتباع نهج متكامل ومعقول ويجب إيلاء اهتمام خاص للعامل "البشري".

مستخدم غير مسجل : هل من المنطقي لأصحاب المشاريع الفردية والشركات الصغيرة أن يستخدموا منتجات برمجية مماثلة؟

ايرينا بايماكوفا : وفقا للفرعية. 3 البند 2 من المادة 19 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية"، يعد استخدام وسائل أمن المعلومات التي اجتازت إجراء تقييم الامتثال وفقًا للإجراء المحدد أحد التدابير لضمان أمن البيانات الشخصية أثناء معالجتها.

وفقًا لمتطلبات المرسوم الحكومي رقم 1119 بتاريخ 1 نوفمبر 2012، فإن استخدام أدوات أمن المعلومات التي اجتازت إجراءات تقييم الامتثال لمتطلبات تشريعات الاتحاد الروسي في مجال أمن المعلومات يكون إلزاميًا عندما واستخدام مثل هذه الوسائل ضروري لتحييد التهديدات الحالية. وبالتالي، من الممكن تحديد الحاجة أو عدم الحاجة لاستخدام أدوات أمن المعلومات التي اجتازت تقييم الامتثال، بما في ذلك ZPK "1C:Enterprise، version 8.2z" استنادًا إلى نموذج التهديد.

يتيح لك استخدام ZPK "1C:Enterprise، الإصدار 8.2z" تلبية متطلبات التشريع الحالي الموضح أعلاه بأقل تكلفة، بالإضافة إلى عدد من المتطلبات المنصوص عليها في أمر الخدمة الفيدرالية للرقابة الفنية ومراقبة الصادرات روسيا بتاريخ 18 فبراير 2013 رقم 21.

مستخدم غير مسجل : ما هي الآثار السلبية التي يمكن أن يحدثها خرق البيانات؟ على سبيل المثال، لأصحاب المشاريع الفردية دون موظفين.

ايرينا بايماكوفا : الخطر الرئيسي هو تسرب البيانات الشخصية وتوزيعها بشكل غير قانوني، مما قد يؤدي إلى عواقب سلبية على الشخص والتعدي على حياته الشخصية.

إذا لم يكن لدى رجل الأعمال الفردي موظفين، وبالتالي، لا يعالج البيانات الشخصية لأي من الموظفين أو الأفراد الآخرين، فمن غير الممكن في هذه الحالة افتراض تسرب محتمل للبيانات الشخصية.

دخل القانون الاتحادي رقم 152 "بشأن البيانات الشخصية" حيز التنفيذ، والذي يتطلب من جميع مشغلي البيانات الشخصية استيفاء عدد من المتطلبات لحماية البيانات الشخصية وتخزينها.

نحن نقدم خدمات لاستضافة أنظمة المعلومات على 1C لمعالجة البيانات الشخصية، وفقًا لـ 152-FZ. ما هي الحلول التي لديك؟ 1C بشأن حماية البيانات الشخصية (ISPDn)?

حصلت شركة 1C على شهادة المطابقة رقم 2137، الصادرة عن FSTEC في روسيا، والتي تؤكد أن حزمة البرامج الآمنة (ZPK) "1C:Enterprise، version 8.2z" تم التعرف عليها كبرنامج للأغراض العامة مع المدمج في وسيلة لحماية المعلومات من الوصول غير المصرح به (NSD) إلى المعلومات التي لا تحتوي على معلومات تشكل سرًا من أسرار الدولة.

بناءً على نتائج الشهادة، تم تأكيد الامتثال لمتطلبات الوثائق الحاكمة للحماية من الأنشطة غير التأثيرية للفئة 5، وفقًا لمستوى مراقبة غياب القدرات غير المعلنة (NDC) عند المستوى 4 للتحكم، وإمكانية تم تأكيد الاستخدام لإنشاء أنظمة آلية (AS) حتى فئة الأمان 1G (أي AC)، مما يضمن حماية المعلومات السرية على شبكة LAN) بما في ذلك، وكذلك حماية المعلومات في أنظمة معلومات البيانات الشخصية (PDIS) حتى فئة K1 شامل.

يتم تمييز النسخ المعتمدة من منصة 1C بعلامات المطابقة من رقم G 420000 إلى رقم G 429999.

تقدم 1CAir هذه البرامج للإيجار. كيف تبدأ في استخدامه؟

كيفية إنشاء نظام لمعالجة البيانات الشخصية على 1C، وفقا لـ 152-FZ؟

يمكن استخدام جميع التكوينات التي تم تطويرها على النظام الأساسي "1C:Enterprise 8.2" لإنشاء نظام معلومات البيانات الشخصية من أي فئة ولا يلزم الحصول على شهادة إضافية لحلول التطبيقات.

تم تلقي توضيحات إضافية من 1C:

1. لا يفرض القانون الاتحادي رقم 152-FZ "بشأن البيانات الشخصية" في حد ذاته أي متطلبات للبرامج (بصيغته المعدلة المعمول بها اليوم).

2. يرد شرط الحاجة إلى تقييم امتثال وسائل أمن المعلومات في الفقرة 5 من اللوائح التي أدخلت بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 17 نوفمبر 2007 رقم 781 "بشأن الموافقة على اللوائح المتعلقة بضمان الأمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية."

3. يتم توفير متطلبات البرامج بشكل مباشر بموجب الأمر رقم 58 الصادر عن FSTEC في روسيا. وعلى وجه الخصوص، يتم توفير المتطلبات الخاصة بالأنظمة الفرعية للتحكم في الوصول والتسجيل والمحاسبة ومراقبة النزاهة. تتعلق هذه الأنظمة الفرعية حصريًا بمنصة التكنولوجيا، وليس بالتكوينات.

4. عند إجراء الشهادة، كان من المخطط في البداية توفير متطلبات التكوين (الشروط الفنية). ومع ذلك، عند الانتهاء من الاعتماد، رفض مختبر الاختبار تقديم أي متطلبات للتكوينات.

وبالتالي، لا ينص التشريع الحالي على منح الشهادات (أو أي تقييم آخر للمطابقة) لمنتجات البرامج التي ليست أدوات لأمن المعلومات، والتي تتضمن التكوينات القياسية، ولا توجد شروط فنية للتكوينات. وبناءً على ذلك، يمكن استخدام أي تكوين لهذا النظام الأساسي مع حزمة برامج آمنة.

علاوة على ذلك، أثناء التصديق، فإن الهدف ليس مجرد برامج، بل هو المجموعة الكاملة من اللوائح والتدابير الإدارية (متطلبات الأمان، ونموذج التهديد، وأعمال التصنيف، وخطة حماية البيانات الشخصية، وما إلى ذلك) ونظام المعلومات بأكمله المستخدم في المنظمة.
يجب أن يقرر مشغل معالجة البيانات الشخصية تعيين الفئة المناسبة لنظام البيانات الشخصية.

على الرغم من حقيقة أن البيانات يتم تخزينها خارج الاتحاد الروسي، فإن القانون الاتحادي رقم 152-FZ ينص بشكل مباشر على إمكانية نقل البيانات عبر الحدود، أي المادة 12. “نقل البيانات الشخصية عبر الحدود على أراضي الدول الأجنبية الأطراف في اتفاقية مجلس أوروبا لحماية الأفراد بموجب المعالجة الآلية للبيانات الشخصية، وكذلك الدول الأجنبية الأخرى التي توفر الحماية الكافية لحقوق أصحاب البيانات الشخصية، يتم تنفيذها وفقًا لهذا القانون الاتحادي. ..”. ويتم تخزين البيانات الشخصية في مراكز البيانات فقط في تلك الدول الأوروبية التي وقعت على هذه الاتفاقية، وفقا للرسالة وزارة الاتصالات والاتصال الجماهيري في الاتحاد الروسي "بشأن تنفيذ نقل البيانات الشخصية عبر الحدود"
وفقًا للمادة 12، الفقرة 3 من القانون رقم 152-FZ، نحن مقتنعون بأنه يتم ضمان الحماية الكافية لحقوق أصحاب البيانات الشخصية قبل بدء نقل البيانات الشخصية عبر الحدود. يتم تسجيل ذلك في اتفاقيتنا مع مراكز البيانات، وينعكس في اتفاقية العميل.

حاليًا، يتم استخدام النظام الأساسي القياسي "1C:Enterprise، الإصدار 8.2"، مع متطلبات حماية البيانات كما هو موضح أعلاه. لذلك، بمساعدة 1CAir، من الممكن بناء أنظمة أمن المعلومات في أنظمة معلومات البيانات الشخصية (PDIS) حتى الفئة K2 شاملة.

على الرغم من استخدام 1CAir، تظل مؤسستك هي المشغل لمعالجة بياناتك الشخصية، وليس نحن. يمكنك إنشاء نموذج الأمان الخاص بك، ووفقًا لهذا النموذج، يمكنك تحديد معلمات الحماية. باستخدام هذه المعلمات التقنية، يمكنك معرفة ما إذا كنا نقدم مثل هذه الخدمة (على سبيل المثال، التشفير)، وإنشاء النظام المطلوب باستخدام البرامج في 1CAir.

لقد كتبنا مرارًا وتكرارًا على صفحات المجلة عن الحاجة إلى اتخاذ تدابير تنظيمية وفقًا للقانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 "بشأن البيانات الشخصية". اعتبارًا من 1 يناير 2011، سيدخل هذا القانون حيز التنفيذ بالكامل، وبناءً على ذلك، سيتم تكليف المنظمات بمسؤوليات إضافية لضمان حماية البيانات الشخصية. ومن بينها ضرورة مراقبة غياب القدرات غير المعلنة لبرمجيات أمن المعلومات. في المادة المقترحة أ. ستجيب Baymakova (أخصائية المنهجية في 1C) على الأسئلة الأكثر شيوعًا بين مستخدمي منتجات برامج 1C.

لم يتبق الكثير من الوقت حتى 1 يناير 2011، وهو تاريخ دخول "البيانات الشخصية" (المشار إليه فيما بعد بالقانون الاتحادي رقم 152-FZ) حيز التنفيذ الكامل. المزيد والمزيد من مشغلي البيانات الشخصية، وهم جميع المنظمات ورجال الأعمال تقريبًا، يخططون وينفذون مجموعة من الأنشطة للامتثال لمتطلبات هذا القانون واللوائح.

1) ما هي الإجراءات القانونية التنظيمية التي تنص على إصدار الشهادات؟
2) من يحتاج إلى استخدام البرامج المعتمدة ومتى؟
3) من يمكنه التصديق على البرامج؟
4) هل استخدام برنامج معتمد كافي لضمان حماية البيانات الشخصية؟

التصديق على البرامج لغرض الامتثال للتشريعات المتعلقة بحماية البيانات الشخصية

لم يتبق الكثير من الوقت حتى 1 يناير 2011، وهو تاريخ الدخول الكامل للقانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" (المشار إليه فيما بعد بالقانون الاتحادي رقم 152-FZ) ). المزيد والمزيد من مشغلي البيانات الشخصية، وهم جميع المنظمات ورجال الأعمال تقريبًا، يخططون وينفذون مجموعة من الأنشطة للامتثال لمتطلبات هذا القانون واللوائح.

يهتم مستخدمو منتجات برامج 1C بما إذا كان منتج البرنامج الذي يستخدمونه معتمدًا أم لا. سنجيب في هذا المقال على هذا السؤال، لكن سنحاول أولاً أن ننظر إلى المشكلة بشكل أعمق قليلًا ونفكر في الأسئلة التالية:

1) ما هي الإجراءات القانونية التنظيمية التي تنص على إصدار الشهادات؟
2) من يحتاج إلى استخدام البرامج المعتمدة ومتى؟
3) من يمكنه التصديق على البرامج؟
4) هل استخدام برنامج معتمد كافي لضمان حماية البيانات الشخصية؟

أكملت FSTEC اعتمادها (152-FZ "على البيانات الشخصية") لمجمع البرامج الآمنة "1C:Enterprise, 8.2z"، والذي يتضمن مجموعة كاملة من منصة التكنولوجيا الإصدار 8.2 (بما في ذلك جميع أنواع خوادم التطبيقات). تم الحصول على شهادة المطابقة رقم 2137 لعدد 10 آلاف نسخة من المنصة (صالحة حتى 20 يوليو 2013). تؤكد هذه الشهادة أن حزمة البرامج 1C:Enterprise 8.2z تم التعرف عليها كبرنامج للأغراض العامة مزود بوسائل مدمجة لحماية المعلومات من الوصول غير المصرح به إلى المعلومات التي لا تحتوي على معلومات تشكل سرًا من أسرار الدولة. واستنادا إلى نتائج الشهادة، تم تأكيد الامتثال لمتطلبات الوثائق الحاكمة:

  • من حيث الحماية ضد NSD، الفئة 5
  • حسب مستوى الرقابة على عدم وجود مواد غير مطابقة - حسب مستوى الرقابة الرابع
  • تم تأكيد إمكانية الاستخدام لإنشاء AS حتى الفئة 1G ضمنًا، وكذلك لحماية المعلومات في أنظمة المعلومات الخاصة بالبيانات الشخصية حتى الفئة K1 ضمنًا.

البرامج التالية معتمدة:

  • مجمع الأجهزة والبرامج المحمية "1C:Enterprise، الإصدار 8.2z" للامتثال لمتطلبات المبادئ التوجيهية للحماية من الوصول غير المصرح به - الفئة 5. التصنيف حسب مستوى التحكم في حالة عدم الامتثال للمستوى الرابع من التحكم، والاستخدام في الأنظمة الآلية حتى الفئة 1G ضمناً، وكذلك للامتثال لمتطلبات أمن المعلومات المدرجة في ISPD لمعالجة المعلومات البيانات الشخصية حتى الفئة K2 شاملة (الوقت المتوقع لاستلام الشهادة هو يناير-فبراير 2010)؛
  • مجمع البرامج والأجهزة الآمنة "1C:Enterprise، الإصدار 7.7z" لمعالجة البيانات الشخصية حتى K3 ضمنًا (الوقت المتوقع لاستلام الشهادة هو فبراير 2010).

على الرغم من أن القانون سوف يدخل حيز التنفيذ الكامل في 1 يناير 2011 فقط، دعونا ننظر في ما هو مخفي وراء الامتثال لفئات حماية المعلومات المدرجة.

الامتثال للفئة K2 لحماية البيانات الشخصية

يرجى ملاحظة أن المتطلبات التالية تنطبق على أنظمة فئة K2 في وضع الوصول متعدد المستخدمين بحقوق مختلفة:

  • تحديد هوية المستخدم والمصادقة عليه عند تسجيل الدخول إلى نظام المعلومات باستخدام كلمة مرور دائمة مشروطة مكونة من ستة أحرف أبجدية رقمية على الأقل.
  • تسجيل دخول المستخدم (الخروج) إلى النظام (من النظام) أو تسجيل تحميل وتهيئة نظام التشغيل وإيقاف البرامج الخاصة به. لا يتم تسجيل خروج النظام أو إيقاف تشغيله في لحظات إيقاف تشغيل أجهزة نظام المعلومات. تشير معلمات التسجيل إلى تاريخ ووقت تسجيل دخول المستخدم (الخروج) أو التمهيد (إيقاف التشغيل) للنظام، ونتيجة محاولة تسجيل الدخول (ناجحة أو غير ناجحة)، ومعرف المستخدم (الرمز أو اللقب) المقدم عند محاولة الوصول
  • متابعة جميع وسائط التخزين المحمية عن طريق وضع علامات عليها وإدخال بيانات الاعتماد في السجل المحاسبي مع ملاحظة حول إصدارها (الاستلام)
  • ضمان سلامة برنامج نظام حماية البيانات الشخصية، والمعلومات المعالجة، فضلاً عن ثبات بيئة البرنامج. في هذه الحالة يتم التحقق من سلامة البرنامج عند تحميل النظام باستخدام المجاميع الاختبارية لمكونات أدوات أمن المعلومات، ويتم التأكد من سلامة البيئة البرمجية من خلال الاستعانة بمترجمين من لغات عالية المستوى وغياب وسائل تعديل كود كائن البرامج أثناء معالجة و (أو) تخزين المعلومات المحمية
  • الأمن المادي لنظام المعلومات (الأجهزة ووسائط التخزين)، مما يوفر التحكم في الوصول إلى مباني نظام المعلومات من قبل أشخاص غير مصرح لهم، ووجود عوائق موثوقة أمام الدخول غير المصرح به إلى مباني نظام المعلومات وتخزين وسائط التخزين
  • الاختبار الدوري لوظائف نظام حماية البيانات الشخصية عندما تتغير بيئة البرامج ومستخدمي نظام المعلومات باستخدام برامج الاختبار التي تحاكي محاولات الوصول غير المصرح بها
  • توافر وسائل استعادة نظام حماية البيانات الشخصية، مع توفير الاحتفاظ بنسختين من المكونات البرمجية لأدوات حماية المعلومات وتحديثها الدوري ومراقبة الأداء

للامتثال للفئة K2، نفذت شركات 1C في التكوينات التي تعمل على النظام الأساسي 1C:Enterprise 8.2 القدرة على تسجيل عدد من الأحداث، والتي يمكن تهيئتها في علامة التبويب "حماية البيانات الشخصية".

الامتثال لمتطلبات المبادئ التوجيهية للحماية من الوصول غير المصرح به إلى المعلومات (الفئة 1G)

بالإضافة إلى الفئة K2 لحماية البيانات الشخصية، تحدد متطلبات الفئة 1G NSD متطلبات التحكم في الوصول والمحاسبة والأنظمة الفرعية للنزاهة. على سبيل المثال:

  • تسجيل محاولات الوصول بواسطة الأدوات البرمجية (البرامج، العمليات، المهام، المهام) إلى الملفات المحمية
  • تسجيل إصدار المستندات المطبوعة (الرسومية) على نسخة "ورقية" مع الإشارة إلى معلمات التسجيل الإضافية

الالتزام بمستوى الرقابة لعدم وجود قدرات غير معلنة عند المستوى الرابع للتحكم

تتضمن متطلبات التحكم في المستوى 4 ما يلي:

  • التحكم في تكوين ومحتوى الوثائق (وصف البرنامج الذي يشير إلى المجاميع الاختبارية للملفات المضمنة في البرنامج، وأكواد المصدر للبرامج المضمنة في البرنامج)
  • مراقبة الحالة الأولية للبرنامج (حساب المجاميع الاختبارية الحالية للبرنامج ومقارنتها بالحالة الأولية)
  • التحليل الثابت لرموز مصدر البرنامج (مراقبة اكتمال وغياب التكرار لأكواد مصدر البرنامج على مستوى الملف، ومراقبة امتثال نصوص مصدر البرنامج لرمز التمهيد الخاص به)
  • إنشاء التقارير لـ 1-3

تتضمن مجموعة التسليم ZPK ما يلي:

  • مجموعة التوزيع للمنصة المعتمدة "1C:Enterprise 8.2z"
  • النموذج مع المجموع الاختباري
  • بطاقة تسجيل المنتج المحمية
  • تخصيص
  • وصف التطبيق
  • وثائق الاختبار
  • وصف البرنامج
  • نسخة من شهادة FSTEC

اضغط للتكبير

يمكنك شراء 8.2z الآن!

يمكنك طلب المنتج على [البريد الإلكتروني محمي]

التوصيل إلى مكتبك في أي مدينة في روسيا مجاني لك وعلى نفقتنا.

في 1 يوليو 2017، دخلت التعديلات على المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي حيز التنفيذ، والتي بموجبها تمت زيادة الغرامات المفروضة على انتهاك التشريعات في مجال البيانات الشخصية (PD) بشكل كبير.

عند إجراء عمليات شراء في المتاجر عبر الإنترنت، يترك المشترون بعض المعلومات عن أنفسهم - الاسم الكامل وعنوان التسليم ومعلومات الاتصال الأخرى. لذلك، يجب على أصحاب المتاجر عبر الإنترنت دراسة هذه المشكلة بعناية والتأكد من الامتثال لمتطلبات القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" عند التداول على الإنترنت.

سنخبرك بأي ماكينة تسجيل نقدي من الكتالوج الخاص بنا مناسبة لعملك.

ما ينطبق على البيانات الشخصية للفرد الذي يكون زائرًا لمتجر إلكتروني

البيانات الشخصية هي أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد معين أو تسمح بالتعرف عليه (البند 1، المادة 3 من قانون "بشأن البيانات الشخصية" رقم 152-FZ).

في سياق تنظيم عمل متجر عبر الإنترنت، يمكن أن تتضمن البيانات الشخصية، من حيث المبدأ، ملفات تعريف الارتباط - المستخدمة، على وجه الخصوص، لتخصيص عروض المنتجات لمستخدمين محددين. وهناك سوابق قضائية تؤكد تصنيف هذه الملفات كبيانات شخصية - على سبيل المثال، قرار محكمة التحكيم في موسكو بتاريخ 11 مارس 2016 في القضية رقم A40-14902/2016-84-126 11.

قد تكون البيانات الشخصية:

  • معالجتها؛
  • شائع؛
  • تغير؛
  • المقدمة لأشخاص معينين (مفصح عنها) ؛
  • تم الحذف.

يتم تنفيذ هذه الإجراءات بواسطة مشغل البيانات الشخصية. يمكن أن يكون أي فرد أو منظمة أو هيئة حكومية تابعة لولاية أو بلدية. بما في ذلك، بالطبع، متجر عبر الإنترنت - أنشأه فرد (IP) أو مملوك لكيان قانوني.

لذلك، بعد أن أصبح المتجر عبر الإنترنت مشغلاً للبيانات الشخصية، فإنه ملزم بالامتثال لقواعد القانون رقم 152-FZ. ولكن في أي الحالات تكتسب هذه المكانة؟

للحصول على حالة مشغل البيانات الشخصية، يحتاج الكيان التجاري فقط إلى إكمال أي إجراء يميز معالجته، على وجه الخصوص:

  • مجموعة؛
  • تسجيل؛
  • التنظيم؛
  • تراكم؛
  • إيضاح؛
  • طلب؛
  • الانتشار.

أي أنه بعد تنفيذ الإجراء الأول على الأقل - جمع البيانات (عمليا - الاستلام من العميل من خلال نموذج عبر الإنترنت)، يصبح المتجر عبر الإنترنت مشغلا، وعليه التزامات بالامتثال لأحكام القانون رقم 152- منطقة حرة.

هناك جزء منفصل من العلاقات القانونية التي يلزم فيها الامتثال للتشريعات المتعلقة بالبيانات الشخصية، وهو تفاعل المتجر عبر الإنترنت كصاحب عمل وموظفيه (الذين يعملون عن بعد وفي الأقسام غير المتصلة بالإنترنت في المتجر عبر الإنترنت). ومع ذلك، يتم تنفيذ هذه العلاقات القانونية، بشكل عام، في نطاق تلك القواعد القانونية ذات الصلة بتفاعل أصحاب العمل والموظفين (عن بعد أو دون اتصال بالإنترنت)، بغض النظر عن نوع النشاط الذي يقومون به.

بدوره، يشكل تبادل البيانات بين المتجر عبر الإنترنت وعملائه جزءًا منفصلاً وفي الواقع فريدًا من نوعه - من حيث تطبيق قواعد القانون رقم 152-FZ، وهو جزء من العلاقات القانونية التي يكون فيها الكيان التجاري لديه مجموعة واسعة من الحقوق والالتزامات وفقا للقانون.

دعونا نلقي نظرة فاحصة على الالتزامات التي يجب على المتجر عبر الإنترنت الوفاء بها بالضبط فيما يتعلق بضرورة الامتثال لأحكام القانون رقم 152-FZ.

اشترك في قناتنا في Yandex Zen - تسجيل النقدية عبر الإنترنت !
كن أول من يتلقى أهم الأخبار والحيل الحياتية!

ما الذي يجب على المتجر الإلكتروني فعله للامتثال لمتطلبات القانون الاتحادي رقم 152-FZ

المسؤولية الرئيسية لأي مشغل للبيانات الشخصية (والمتجر عبر الإنترنت ليس استثناءً) هي الالتزام بإجراءات معالجتها. الشرط الرئيسي لهذا الإجراء هو الحصول على موافقة من موضوع البيانات الشخصية (أي المشتري) لهذه المعالجة.

يمكن الحصول على هذه الموافقة بأي شكل موثوق (البند 1، المادة 9 من القانون رقم 152-FZ). ولكن في الحالات التي ينص عليها القانون، تكون هذه الموافقة مطلوبة كتابيًا - أي على الورق أو باستخدام مستند إلكتروني معتمد بتوقيع إلكتروني (البند 4 من المادة 9 من القانون رقم 152-FZ).

لا يتم تصنيف شراء البضائع في متجر عبر الإنترنت بشكل مباشر بموجب القانون على أنها تلك العمليات التي تتطلب موافقة كتابية من موضوع البيانات الشخصية. ولذلك، فإن الحصول على هذه الموافقة ممكن، من حيث المبدأ، بأي شكل من الأشكال - ومع ذلك، ينبغي أن يتيح التصديق بوضوح على حقيقة موافقة الفرد على نقل البيانات الشخصية إلى المشغل.

الواجب التالي لمشغل البيانات الشخصية هو تنفيذ الإجراءات التي تهدف إلى إعمال الحقوق القانونية لأصحاب البيانات الشخصية. على وجه الخصوص، نحن نتحدث عن الحق:

  • للتأكد من أن المتجر الإلكتروني قد استلم PD وبدأ في معالجته؛
  • لتلقي معلومات حول أغراض وطرق معالجة البيانات الشخصية؛
  • للتعرف على الأشخاص (باستثناء الأشخاص الذين يعملون ضمن طاقم المشغل) المشاركين في معالجة البيانات الشخصية).

تشمل المسؤوليات المهمة الأخرى لمشغلي البيانات الشخصية الحفاظ على سرية البيانات. إذا لم يمنح عميل المتجر عبر الإنترنت موافقته على توزيع بياناته على أشخاص آخرين، فلا يحق للكيان التجاري القيام بذلك - أو الكشف عن البيانات الشخصية بطريقة أخرى (المادة 7 من القانون رقم 152-FZ) . في الوقت نفسه، حتى في حالة الحصول على الموافقة، يتحمل المتجر عبر الإنترنت نفسه المسؤولية عن تصرفات الأطراف الثالثة التي تلقت البيانات الشخصية لعميل المتجر عبر الإنترنت (البند 5 من المادة 6 من القانون رقم 152-FZ).

فارق بسيط مهم يميز معالجة البيانات الشخصية التزام المشغل بوضع البيانات على خوادم موجودة في روسيا- ما لم ينص القانون على خلاف ذلك (البند 5 من المادة 18 من القانون رقم 152-FZ). لا تندرج المتاجر الروسية عبر الإنترنت ضمن الاستثناءات، وبالتالي يجب أن تمتثل لقاعدة القانون هذه.

هناك مشكلة منفصلة تتمثل في حاجة مشغل البيانات الشخصية إلى تقديم إشعار بأنه تتم معالجتها إلى Roskomnadzor - وفقًا لتعليمات الفقرة 1 من الفن. 22 من القانون رقم 152-FZ. بشكل عام، مثل هذا الإخطار مطلوب. لكن أحكام الفقرة 2 من الفن. 22 من القانون رقم 152-FZ ينص على مجموعة واسعة من الاستثناءات لهذه القاعدة.

على وجه الخصوص، الفرعية. 2 ص 2 فن. ينص 22 من القانون رقم 152-FZ على أنه يحق للمشغلين عدم تقديم إخطار عند تنفيذ اتفاقية مبرمة مع موضوع البيانات الشخصية وشريطة عدم نقل البيانات الشخصية إلى أطراف ثالثة دون موافقة الموضوع. إن اتفاقية الشراء والبيع المبرمة بين المتجر والمشتري تخضع بالكامل لهذه المعايير. لذلك، بشكل عام، لا يحتاج المتجر عبر الإنترنت إلى إرسال الإشعارات المعنية عند التفاعل مع العملاء (ولكن هناك استثناءات لهذه القاعدة ممكنة - سننظر فيها لاحقًا في المقالة).

لذلك، فإن المسؤوليات الرئيسية لمشغل البيانات الشخصية هي:

  • والحصول على الموافقة على معالجتها؛
  • لضمان سرية البيانات الشخصية؛
  • للوفاء بالمتطلبات القانونية الأخرى (بشأن وضع PD على أراضي روسيا، بشأن تلبية الطلبات المقدمة من الأشخاص PD فيما يتعلق بكيفية استخدامها).

دعونا ندرس بمزيد من التفصيل كيف يمكن الوفاء بهذه المسؤوليات من الناحية الفنية من خلال متجر عبر الإنترنت.

سجلات النقد عبر الإنترنت لجميع أنواع الشركات! التسليم في جميع أنحاء روسيا.

اترك طلبًا واحصل على استشارة خلال 5 دقائق.

كيفية الحصول على موافقة لمعالجة البيانات الشخصية عبر الإنترنت

لذلك، نظرًا لأن القانون لا يحدد متطلبات الحصول على موافقة كتابية لمعالجة البيانات الشخصية فيما يتعلق بأنشطة المتاجر عبر الإنترنت، فيمكن الحصول على هذه الموافقة بأي طريقة موثوقة. ولكن أي واحد بالضبط؟

الخيارات الممكنة هنا هي:

  1. عندما يطلب متجر عبر الإنترنت بيانات شخصية من خلال نموذج طلب.

في هذه الحالة، يمكن الحصول على الموافقة على معالجة البيانات عن طريق تحديد شرط يكون بموجبه إرسال بيانات الطلب عبر النموذج ممكنًا فقط إذا تم وضع علامة اختيار (أو عنصر نموذج آخر يؤدي وظيفة مماثلة) مقابل السطر الذي توجد فيه عبارة مثل " أوافق على معالجة البيانات الشخصية المرسلة إلى المشغل من خلال هذا النموذج.

تعكس الموافقة عادةً ما يلي:

  • الغرض من تقديم المستند إلى المشغل (في حالة المتجر عبر الإنترنت - لتسليم البضائع والأغراض الأخرى التي تحددها إجراءات الشراء والبيع)؛
  • قائمة PD المنقولة إلى المشغل؛
  • شروط وإجراءات تخزين PD؛
  • إجراء تحويل احتمالية الاحتمال إلى أطراف ثالثة معينة (على سبيل المثال، خدمة توصيل البضائع).

في الوقت نفسه، بجوار مربع الاختيار ورابط الموافقة، يجب عليك إرفاق رابط لمستند خاص يشرح بالتفصيل إجراءات معالجة البيانات الشخصية بواسطة المتجر عبر الإنترنت وفقًا للقانون رقم 152-FZ - سياسة الخصوصية . ويمكن تقديمه كمرفق لنموذج الطلب. يجب أن يحتوي وصف الرابط على عبارة قد تبدو مثل "لقد قرأت المرفق بهذا النموذج، والذي يعكس إجراءات معالجة البيانات الشخصية وفقًا للقانون".

سياسة الخصوصية هي وثيقة يجب نشرها في المجال العام. بالإضافة إلى ذلك، يمكن اعتباره جزءًا من الإطار التنظيمي المحلي للمؤسسة التي تنشئ المتجر عبر الإنترنت. ولذلك، يجب أن يُطلب من موظفي أي كيان تجاري اتباع السياسة المعتمدة.

تتضمن السياسة عادةً ما يلي:

  • الأحكام العامة؛
  • صياغة تعكس أغراض تحصيل احتمالية التعثر من قبل كيان اقتصادي؛
  • الأحكام المتعلقة بالأساس القانوني لجمع البيانات الشخصية؛
  • تصنيف PD المستخدم وإجراءات وشروط العمل معهم؛
  • إجراءات ضمان تنفيذ أصحاب البيانات الشخصية للحقوق التي ينص عليها القانون.

يمكن أن تعكس السياسة ما يلي:

  • كيف يضمن المتجر عبر الإنترنت حقوق المستخدمين في طلب معلومات حول معالجة البيانات الشخصية؛
  • كيفية تنظيم تخزين البيانات (في هذه الحالة، يمكن توفير المعلومات التي تسمح لك بإثبات حقيقة أن الخوادم التي تحتوي على PD الخاص بالعميل موجودة في روسيا).
  1. عندما يطلب متجر عبر الإنترنت بيانات شخصية من خلال نموذج بريدي إعلاني (الاشتراكات في المواد المواضيعية من الموقع - على سبيل المثال، كتيبات تحتوي على خصومات ورموز ترويجية).

يمكن إجراء جمع البيانات الشخصية هنا وفقًا لمخطط مماثل - باستخدام مربع الاختيار بجوار عنصر "أوافق"، وملف موافقة ورابط لسياسة الخصوصية مع صياغة تعكس حقيقة أن مشتري المتجر عبر الإنترنت لقد قرأ السياسة.

بين المتخصصين في تكنولوجيا المعلومات والخبراء في مجال التشريعات المتعلقة بالبيانات الشخصية، هناك وجهة نظر واسعة النطاق مفادها أن الحصول على موافقة الشخص على معالجة البيانات الشخصية يجب أن يتم بطريقة تنطوي على إنشاء "موثوقية متزايدة" لبياناته الشخصية. التعبير عن الإرادة. المخطط المشترك الذي يستخدم مربع الاختيار مع الموافقة ورابطًا لسياسة الخصوصية يعتبره هؤلاء الخبراء من موقف حرج - ويجب أن يقال، ليس من غير المعقول، لأنه وفقًا للخبراء:

  • قد يتم تحديد خانة الاختيار عن طريق الخطأ؛
  • قد يتم تحميل النموذج عبر الإنترنت مع وجود خطأ - أو بدون رابط لسياسة الخصوصية، مع عدم وجود علامة اختيار أو الصياغة المصاحبة؛
  • يجوز للمستخدم إدخال البيانات الشخصية لشخص آخر في النموذج عن طريق الخطأ أو عن قصد.

مع الأخذ في الاعتبار هذه الفروق الدقيقة، يُقترح استكمال النظام قيد النظر - مع الحفاظ على عناصره الرئيسية في شكل علامة اختيار وموافقة ورابط لسياسة الخصوصية، مع آلية للحصول على موافقة ثانوية. يمكن أن تكون خيارات تنظيم مثل هذه الآلية في حالة المتجر عبر الإنترنت:

  1. تسجيل المستخدم الإلزامي قبل إجراء عملية الشراء.

يتضمن هذا التسجيل، في الواقع، ملء نفس النموذج بعلامة اختيار وموافقة ورابط لسياسة الخصوصية، ثم إرسال المتجر عبر الإنترنت لاحقًا إلى البريد الإلكتروني الذي حدده المستخدم لخطاب يؤكد التسجيل (و وفي الوقت نفسه للتأكيد على حقيقة تقديم الموافقة على معالجة البيانات الشخصية والتعرف على سياسة الخصوصية).

في هذه الحالة، يتطلب النموذج الإشارة إلى تسجيل الدخول وكلمة المرور، والتي سيستخدمها المستخدم لتسجيل الدخول لاحقًا إلى حسابه على موقع المتجر عبر الإنترنت.

إذا لم يؤكد المستخدم التسجيل برسالة، فلن تعتبر الموافقة على معالجة البيانات الشخصية مستلمة (ولكن، في الوقت نفسه، سيتم اعتبار أنه قد طُلب من المستخدم قراءة سياسة الخصوصية).

يمكن للمتجر استخدام الطريقة المدروسة للحصول على الموافقة لمعالجة البيانات "بموثوقية متزايدة" لأغراض التسويق. من خلال الحساب الشخصي للمشتري، يمكنك إعلامه بالخصومات والعروض الترويجية المختلفة، وتبادل الرسائل معه وحل المشكلات الأخرى النموذجية للتفاعل بين البائع والمشتري.

  1. تأكيد إكمال طلب منفصل عن طريق البريد الإلكتروني (بدون التسجيل الإلزامي للحساب على موقع المتجر الإلكتروني).

ستكون خوارزمية هذا التأكيد، من حيث المبدأ، مشابهة لتلك التي تميز إجراءات تسجيل حساب المشتري، باستثناء استخدام تسجيل دخول المستخدم وكلمة المرور. في هذه الحالة، سيتم التأكيد، في الواقع، لغرض وحيد هو الحصول على الموافقة على معالجة البيانات الشخصية والتحقق من أن الشخص قد اطلع على اقتراح قراءة سياسة الخصوصية.

المهمة التالية واسعة النطاق للمتجر عبر الإنترنت هي ضمان سرية البيانات الشخصية في الممارسة العملية.

1. اطرح سؤالاً على متخصصنا في نهاية المقال.
2. احصل على نصيحة مفصلة ووصف كامل للفروق الدقيقة!
3. أو ابحث عن إجابة جاهزة في تعليقات قرائنا.

كيف يمكن للمتجر الإلكتروني ضمان سرية البيانات الشخصية؟

وفقا للفقرة 1 من الفن. 18.1 من القانون رقم 152-FZ، يجب على مشغل البيانات الشخصية اتخاذ التدابير الكافية للوفاء بالالتزامات المنصوص عليها في القانون. وفي الوقت نفسه، يحدد المشغل قائمة التدابير المناسبة بشكل مستقل - ما لم ينص القانون على خلاف ذلك.

من الواضح أننا نتحدث أولاً وقبل كل شيء عن التدابير المصممة لضمان سرية البيانات الشخصية - أي:

  • منع الوصول إليها من قبل الأشخاص الذين ليس لديهم إذن لقراءة PD ذات الصلة؛
  • منع الاستخدام غير المصرح به، وتعديل، وتوزيع PD؛
  • ضمان الحماية اللازمة للبيانات الشخصية من التهديدات السيبرانية المختلفة والتعديل والتوزيع وغيرها من المعاملات غير المصرح بها مع البيانات الشخصية بسبب الأعطال الفنية.

يقترح القانون التدابير التالية التي تهدف إلى حل هذه المشاكل:

  1. تعيين المشغل الذي يتمتع بوضع كيان قانوني لموظف مسؤول - ينظم معالجة البيانات الشخصية في المؤسسة.
  1. تطوير المشغل للوائح المحلية التي تحكم إجراءات معالجة البيانات الشخصية وفقًا للمتطلبات القانونية.
  1. تطبيق الوسائل التقنية لضمان حماية البيانات الشخصية.
  1. إجراء الرقابة الداخلية على الإجراءات في إطار معالجة PD.
  1. إجراء تقييم للضرر الذي قد يلحق بموضوعات البيانات الشخصية نتيجة لانتهاكات التشريعات المتعلقة بمعالجة البيانات الشخصية والقضاء على عواقب هذه الانتهاكات.
  1. القيام بالأعمال اللازمة مع الموظفين لزيادة مستوى معرفتهم في مجال حماية البيانات الشخصية.

واستنادًا إلى مبدأ القياس القانوني، تنطبق جميع هذه القواعد أيضًا على رواد الأعمال الأفراد الذين يبيعون عبر الإنترنت. بما في ذلك - إذا كان رجل الأعمال الفردي يعمل بشكل مستقل، دون إشراك الموظفين. من المحتمل، بطريقة أو بأخرى، قد يكون لديه موظفين، وبحلول ذلك الوقت يجب أن يكون لديه لوائح محلية صالحة تحكم تنظيم معالجة البيانات الشخصية.

يجب أن تعلم أنه وفقًا للفقرة 4 من الفن. 18.1 من القانون رقم 152-FZ، تلك المستندات التي يجب على المتجر عبر الإنترنت إصدارها كجزء من تنفيذ التعليمات والتوصيات المذكورة أعلاه قد تطلبها Roskomnadzor عند إجراء فحص لكيان تجاري.

بطريقة أو بأخرى، يمكن تقسيم التدابير التي تهدف إلى ضمان استيفاء مشغل البيانات الشخصية لمتطلبات القانون (في المقام الأول من حيث ضمان سرية البيانات الشخصية) إلى مجموعتين:

  • تنظيمية (قانونية في الأساس) ؛
  • اِصطِلاحِيّ.

تتعلق التدابير التنظيمية (القانونية) بشكل أساسي بالتنظيم المستندي لتطبيق آليات التفاعل هذه بين المتجر الإلكتروني (ممثلًا بالمالك أو موظفيه) مع المشتري.

علماً أنه عند تنفيذ الإجراءات التنظيمية والقانونية، من المتوقع أن تتطور

اتفاقية شراء وبيع (عرض) بين المتجر والمشتري، وعلى أساسها يتم إصدار الموافقة على معالجة البيانات الشخصية بشكل غير مكتوب - باستخدام علامة اختيار في نموذج الطلب ورابط لسياسة الخصوصية .

يمكن تقديم التدابير الفنية في نطاق واسع - فلننظر إليها بمزيد من التفصيل.

الدعم الفني للمعدات. سوف نقوم بحل أي مشاكل!

اترك طلبًا واحصل على استشارة خلال 5 دقائق.

ما هو الجانب الفني لضمان سرية PD؟

المصدر الرئيسي للمعايير القانونية التي يجب اتباعها عند حل المشكلات الفنية لضمان سرية البيانات الشخصية هو أحكام المادة. 19 من القانون رقم 152-FZ.

وتنص، على وجه الخصوص، على أن ضمان أمن البيانات الشخصية يمكن تحقيقه من خلال:

  1. تحديد التهديدات التي تواجه أمن البيانات كجزء من معالجتها باستخدام نظم المعلومات.

من الناحية العملية، يتضمن تنفيذ مثل هذا الإجراء استخدام العديد من الحلول المضادة للفيروسات والحلول التكميلية - والتي من المفترض أن يتم تنفيذها في نظام إدارة الموقع. تم تصميم هذه الحلول للكشف الفوري عن محاولات المتسللين للوصول غير المصرح به تلقائيًا أو يدويًا إلى البيانات الشخصية التي تم جمعها باستخدام نماذج الطلب على موقع الويب أو المخزنة على الخوادم التي يديرها المتجر عبر الإنترنت.

  1. استخدام الوسائل التقنية لزيادة مستوى أمان البيانات الشخصية.

نحن نتحدث، أولا وقبل كل شيء، عن أدوات تشفير البيانات المختلفة - بحيث يتم تقديمها عند الوصول إليها في شكل تكون فيه قراءتها دون فك التشفير اللاحق مستحيلة، بشرط أن يتم ترخيص فك التشفير نفسه من قبل المتجر عبر الإنترنت.

  1. استخدام الوسائل التقنية لاستعادة البيانات الشخصية المحذوفة أو التالفة أو المعدلة بشكل غير مصرح به.

هنا يمكننا الحديث عن الحلول التي تستخدم للأغراض التالية:

  • تكرار البيانات الشخصية في حالة حذفها من الوسيط الأصلي (تلف أو تعديل)؛
  • في الواقع، استعادة البيانات المحذوفة (التالفة أو المعدلة) من الوسائط الموجودة.
  1. استخدام الوسائل التقنية لتمييز الوصول (تحديد مستويات الوصول) إلى البيانات الشخصية اعتمادًا على حالة الشخص الذي لديه سلطة معالجة البيانات الشخصية.

لذلك، على سبيل المثال، يمكن لمدير متجر عبر الإنترنت الوصول فقط إلى معلومات الاتصال الخاصة بالمشتري (من أجل الاتصال به في حالة وجود أي أسئلة)، ويمكن لمدير التسليم أيضًا الوصول إلى العنوان. أو - قد يكون للأول صلاحية قراءة جهات الاتصال فقط، والثاني - لتغييرها.

  1. تطبيق أنظمة الرقابة على الأشخاص الذين يقومون بمعالجة البيانات الشخصية.

والواقع أن اللوائح المحلية وحدها لا تكفي لضمان سرية البيانات الشخصية، بل هناك حاجة إلى آلية لمراقبة تنفيذها. يمكن أن تكون الحلول هنا مختلفة تمامًا - بدءًا من المراقبة الانتقائية لتصرفات موظفين محددين في متجر عبر الإنترنت وحتى إدخال أدوات التحليل المستمر لحركة المرور للنقل غير المصرح به للبيانات الشخصية.

يتم تحديد مدى الأمان الذي يجب أن يتمتع به نظام المعلومات لمعالجة البيانات الشخصية بناءً على الضرر المحتمل الذي يمكن أن يحدث للنظام بسبب تأثير التهديدات النموذجية. تم تحديد قوائم هذه التهديدات ومتطلبات أمان النظام، التي تتوافق مع درجة التهديدات، في المرسوم الصادر عن حكومة روسيا بتاريخ 1 نوفمبر 2012 رقم 1119.

دعونا نلقي نظرة فاحصة عليهم.

ما مدى الأمان الذي يجب أن يتمتع به المتجر عبر الإنترنت للمعالجة الآمنة للبيانات الشخصية؟

من أجل تحديد التدابير المحددة اللازمة لضمان المستوى المطلوب لحماية البيانات الشخصية، يجب على مالك المتجر عبر الإنترنت استخدام الجدول الموجود في ملحق تكوين ومحتوى التدابير التنظيمية والفنية، والذي تمت الموافقة عليه بموجب الأمر رقم 100. 21.

لاحظ أن هذه القائمة تتعلق في المقام الأول بنفس الفروق الدقيقة في تنظيم عمل المتجر عبر الإنترنت. ولكن حتى لو كان مالكها رجل أعمال فردي يعمل بدون موظفين، فمن أجل ضمان حماية البيانات الشخصية للعملاء على الأقل في المستوى 1، سيتعين عليه:

  • تطبيق وسائل تحديد هوية المستخدمين والمصادقة عليهم؛
  • إدارة حسابات المستخدمين؛
  • التحكم في الوصول إلى الخادم الذي يوجد عليه PD؛
  • استخدام برامج مكافحة الفيروسات.
  • تحديد الحوادث المتعلقة بالوصول غير المصرح به إلى البيانات الشخصية.

بالطبع، من المنطقي تفويض جزء كبير من هذا العمل إلى رجل أعمال فردي (وكيان قانوني بالطبع أيضًا) لشريك خارجي - على سبيل المثال، مالك الاستضافة التي يعمل عليها موقع المتجر عبر الإنترنت يقع. ولكن يجب تأمين نقل هذه الصلاحيات بشكل صحيح من الناحية القانونية - باستخدام اتفاقيات مفصلة تحدد بشكل صحيح مسؤوليات المتجر عبر الإنترنت وشريكه، مما يضمن حماية البيانات الشخصية للعملاء وفقًا للقانون.

من الناحية العملية، تتمتع العديد من أنظمة إدارة موقع CMS الحديثة بالوظائف اللازمة لضمان امتثال تشغيل المتجر عبر الإنترنت للمتطلبات المذكورة أعلاه فيما يتعلق بإنشاء مستويات الأمان لمعالجة البيانات الشخصية.

ولكن، بالطبع، في كثير من الحالات، يلزم تعديلها وإضافتها. كقاعدة عامة، يحاول أكبر مقدمي حلول إدارة مواقع الويب وخدمات الاستضافة تقديم منتجات لعملائهم تلبي المتطلبات التي حددها القانون رقم 152 ومعايير الإدارات على أفضل وجه. ومع ذلك، عند اختيار نظام CMS معين، فمن الجيد دائمًا طلب مشورة خبراء إضافية فيما يتعلق بامتثاله لقوانين حماية البيانات الشخصية.

هذه هي الفروق الدقيقة الرئيسية التي تميز امتثال المتجر عبر الإنترنت لمتطلبات القانون رقم 152-FZ والإجراءات القانونية المصاحبة له فيما يتعلق بالتفاعل مع مشتري البضائع. ومع ذلك، يمكن أن يحدث هذا التفاعل أيضًا في سياقات قانونية أخرى. على وجه الخصوص، تعكس التسويات بين المتجر والمشتري باستخدام نوع مبتكر من ماكينة تسجيل النقد

كما أشرنا سابقًا في بداية المقال، وفقًا للقانون رقم 152-FZ، تتضمن البيانات الشخصية أي معلومات قد تتعلق بشكل مباشر أو غير مباشر بشخص معين (أو تحدد هوية شخص ما). ومن الواضح أن البريد الإلكتروني أو الهاتف يمكن أن يكون، على الأقل، معرفات غير مباشرة.

أما بالنسبة للبريد الإلكتروني فيمكن أن يأخذ الشكل مثل [البريد الإلكتروني محمي]، وإذا تم تسريب عنوان البريد الإلكتروني هذا من قواعد بيانات أحد المتاجر عبر الإنترنت، فيمكن لأطراف ثالثة أن تفهم بسهولة أن عمليات الشراء في المتجر تمت بواسطة ستيبان بيتروف، الذي ولد عام 1976 في موسكو ويدرس في جامعة ماساتشوستس.

الأمر أكثر تعقيدًا مع الهاتف - ولكن إذا كنت ترغب في ذلك، يمكنك اعتباره معرفًا غير مباشر. على سبيل المثال، يمكن للشخص الذي تلقى رقمًا بشكل غير مصرح به من متجر عبر الإنترنت الاتصال به، ويتظاهر بأنه شخص من خدمة البريد السريع، ويطلب من المشترك تحديد اسمه الكامل وعنوان التسليم - ولكن في الواقع، إصدار إعلان متطفل المراسلات.

وبالتالي، على الرغم من أنه وفقًا للقانون رقم 54-FZ، الذي ينظم استخدام سجلات النقد عبر الإنترنت، فإن مشترو المتاجر عبر الإنترنت يتركون جهات اتصالهم لتلقي الشيكات طوعًا، إلا أننا نتحدث عن نقل البيانات الشخصية إلى البائع.

هل هذا يعني أن العمليات باستخدام هذه البيانات ستخضع لنفس المتطلبات التي تميز معالجة البيانات الشخصية الأخرى؟

يرجى ملاحظة أن بعض هذه المتطلبات لا تزال ذات صلة. على سبيل المثال، يجب على المتجر عبر الإنترنت الذي يقوم بالدفع من خلال ماكينة تسجيل النقد عبر الإنترنت:

  • ضمان حق المشترين في تلقي معلومات حول معالجة البيانات الشخصية؛
  • ضمان سرية البيانات؛
  • الامتثال للمتطلبات الأخرى للقانون رقم 152-FZ (على وجه الخصوص، بشأن وضع البيانات الشخصية على الخوادم الروسية).

والأمر الجدير بالملاحظة هو أن هذه المتطلبات لن تشمل الحصول على الموافقة على معالجة البيانات الشخصية.

والحقيقة هي أنه في الفقرة 1 من الفن. يسرد 6 من القانون رقم 152-FZ عددًا من الاستثناءات لقاعدة الحاجة إلى الحصول على الموافقة. وتشمل هذه الاستثناءات معالجة البيانات في إطار أداء المشغل للمهام والواجبات الموكلة إليه بموجب القانون. تتضمن هذه الوظائف والمسؤوليات الخاصة بالمتجر عبر الإنترنت متطلبات القانون رقم 54-FZ - بشأن إنشاء الإيصالات النقدية للتسويات مع العملاء.

وبالتالي، لا يلزم المتجر عبر الإنترنت أن يطلب من المشتري الموافقة على تلقي البريد الإلكتروني ورقم الهاتف - كأنواع من البيانات الشخصية.

وبطبيعة الحال، لا توجد عقبات قانونية أمام مطالبة المشترين بالموافقة على معالجة البيانات الشخصية المقدمة عن طريق البريد الإلكتروني والهاتف، في نفس الوقت الذي يتم فيه طلب الموافقة على معالجة البيانات الشخصية الأخرى. أي أنه في الموافقة - التي يتم تنزيلها عند تأكيد نموذج الطلب، وفي سياسة البيانات الشخصية المرفقة، يمكن أن يعكس ذلك الجزء من البيانات - البريد الإلكتروني ورقم الهاتف للمشتري - سيتم استخدامه بواسطة المتجر عبر الإنترنت من أجل الامتثال لأحكام القانون رقم 54-FZ. أي إرسال إيصالات نقدية إلكترونية إلى المشتري.

لكن هذا الإجراء، بالمعنى الدقيق للكلمة، اختياري من وجهة نظر التشريع - على الرغم من أنه ليس معقدا على الإطلاق.

في الوقت نفسه، يجب على البائع أن يضع في اعتباره أن الحصول على البيانات الشخصية من أجل الامتثال لقواعد القانون رقم 54-FZ لا يندرج تحت الاستثناءات المنصوص عليها في الفقرة 2 من المادة. 22 من القانون رقم 152-FZ - تلك المتعلقة بالالتزام بإبلاغ Roskomnadzor باستلام البيانات الشخصية. إنه - عند قبول الدفع عبر الإنترنت، يجب تقديم هذا الإخطار. بعد أن تلقى القسم إشعارًا من المتجر عبر الإنترنت، يقوم بإدخاله في سجل مشغلي البيانات الشخصية.

يجب أن يشير الإشعار إلى:

  1. اسم المستند هو "إشعار بشأن معالجة البيانات الشخصية".
  1. اسم المشغل وعنوانه القانوني.
  1. الأساس القانوني وأغراض معالجة البيانات.
  1. أنواع البيانات التي تتم معالجتها.
  1. فئات الأشخاص الذين يصبحون موضوعات للبيانات الشخصية.
  1. طرق معالجة البيانات.
  1. تدابير لضمان أمن معالجة البيانات.
  1. معلومات حول موقع الخوادم التي يتم تخزين البيانات الشخصية عليها.
  1. مواعيد البدء بمعالجة البيانات.
  1. شروط إنهاء معالجة البيانات.

ويجب الإشارة إلى الاسم الكامل ومنصب صاحب الإخطار. ويسجل تاريخ تحرير الوثيقة ويوقعها.

وبالتالي، يفرض القانون قدرًا هائلاً من الالتزامات على أصحاب المتاجر عبر الإنترنت. والعقوبات على عدم الامتثال خطيرة للغاية. دعونا ندرسهم.

المسؤولية والغرامات الجديدة

في حالة انتهاك المتطلبات القانونية بشأن هذه المسألة، يتم فرض العقوبات التالية:

  1. الغرامات الإدارية.

يتم تعريف قائمتهم الرئيسية في الفن. 13.11 قانون الجرائم الإدارية للاتحاد الروسي. ولكن تم توضيح بعضها في المواد المقابلة من القانون.

تشمل الغرامات النموذجية ما يلي:

  • لمعالجة البيانات الشخصية دون موافقة مالكها - ما يصل إلى 20 ألف روبل للمسؤولين ورجال الأعمال الأفراد، ما يصل إلى 75 ألف روبل - للكيانات القانونية (المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي)؛
  • لرفض تزويد الفرد بالمعلومات التي يحق له التعرف عليها بموجب القانون - ما يصل إلى 10 آلاف روبل للمسؤولين ورجال الأعمال الأفراد (المادة 5.39 من قانون الجرائم الإدارية للاتحاد الروسي) ؛
  • للمعالجة غير القانونية (غير المنصوص عليها للأغراض المحددة) للبيانات الشخصية - ما يصل إلى 10 آلاف روبل للمسؤولين ورجال الأعمال الأفراد، وما يصل إلى 50 ألف روبل للكيانات القانونية (المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي)؛
  • في حالة عدم وجود سياسة سرية منشورة - ما يصل إلى 6 آلاف روبل للمسؤولين، لأصحاب المشاريع الفردية - ما يصل إلى 10 آلاف روبل، للكيانات القانونية - ما يصل إلى 30 ألف روبل (المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي) ;
  • لرفض تعريف الفرد بمعلومات حول معالجة بياناته الشخصية - ما يصل إلى 6 آلاف روبل للمسؤولين، وما يصل إلى 15 ألف روبل لأصحاب المشاريع الفردية، وما يصل إلى 40 ألف روبل للكيانات القانونية (المادة 13.11 من قانون الجرائم الإدارية) للاتحاد الروسي).
  1. المسؤولية الجنائية.

وفقا للفن. 137 من القانون الجنائي للاتحاد الروسي، يمكن أن يؤدي الجمع غير القانوني للبيانات الشخصية التي تشكل سرًا شخصيًا للمواطن إلى غرامة تصل إلى 200 ألف روبل أو تكليف العمل الإصلاحي أو الاستبعاد أو السجن لمدة تصل إلى عامين.

  1. المقرر في الدعوى المدنية.

يمكننا هنا أن نتحدث عن مجموعة متنوعة من العقوبات، ولكن العقوبات النموذجية تشمل:

  • الالتزام بالتعويض عن الخسائر التي لحقت بشخص PD نتيجة لانتهاك المشغل لأحكام القانون رقم 152-FZ؛
  • الالتزام بالتعويض عن الضرر المعنوي الذي يلحق بموضوع البيانات الشخصية.

بطريقة أو بأخرى، على الأرجح، إذا كان المتجر عبر الإنترنت ينتهك قواعد القانون رقم 152-FZ، فسيتم تطبيق العقوبات الإدارية عليه. في الوقت نفسه، يجب أن يؤخذ في الاعتبار أن أكثرها صرامة - على وجه الخصوص، غرامة عدم الحصول على موافقة على معالجة البيانات (ما يصل إلى 75 ألف روبل) يتم تطبيقها في حالة انتهاك متطلبات الموافقة الكتابية لمعالجة البيانات الشخصية. إذا كان يجوز الحصول على موافقة بأي شكل موثوق، فإذا لم يتم الحصول على هذه الموافقة، يتم تطبيق عقوبة في شكل غرامة على المعالجة غير القانونية للبيانات (ما يصل إلى 50 ألف روبل).

هناك احتمال أن يتم تطبيق عدد من العقوبات الإدارية الإضافية على المشغل. على سبيل المثال:

  • في شكل غرامة لعدم الامتثال لمتطلبات حماية البيانات - ما يصل إلى 2 ألف روبل للمسؤولين ورجال الأعمال الأفراد، وما يصل إلى 15 ألف روبل للكيانات القانونية (المادة 13.12 من قانون الجرائم الإدارية للاتحاد الروسي)؛
  • في شكل غرامة لعدم تقديم إخطار إلى Roskomnadzor - ما يصل إلى 500 روبل للمسؤولين ورجال الأعمال الأفراد، وما يصل إلى 5000 روبل للكيانات القانونية (المادة 19.7 من قانون الجرائم الإدارية للاتحاد الروسي).

من الممكن نظريًا حظر موقع الويب الخاص بمتجر عبر الإنترنت بقرار من المحكمة. على سبيل المثال، إذا سمح بالنشر غير القانوني للبيانات الشخصية للعملاء دون موافقتهم في مراجعات المشتريات.

اعتمادًا على الانتهاك المحدد ونطاق العلاقات القانونية التي تم ارتكاب الانتهاك فيها، قد يتم فرض عقوبات مختلفة ضد مشغل البيانات الشخصية.