Pagproseso ng personal na data 1s 8. Pamamaraan para sa pag-update ng secure na software package

Noong Mayo 29, 2014, isang lecture ang naganap sa Moscow sa 1C: Lecture Hall (Moscow, Seleznevskaya St., 34). Ang aming mga mambabasa na hindi nakadalo sa panayam ay nagpadala ng kanilang mga katanungan bilang bahagi ng online na kumperensya ng parehong pangalan. Sa panahon ng kaganapan, sina Yuri Kontemirov, pinuno ng departamento para sa pagprotekta sa mga karapatan ng mga paksa ng personal na data ng Roskomnadzor, at Irina Baimakova, isang dalubhasa mula sa 1C, ay sumagot ng mga tanong tungkol sa proteksyon ng personal na data, at sinuri din ang mga pangunahing pagkakamali na kinilala ng Roskomnadzor sa panahon ng kaganapan. mga aktibidad sa pagkontrol.

User kot : 1C:Enterprise 8.2z para sa maliliit at katamtamang laki ng mga negosyo. Medisina, mga empleyado ng Estado, Militar...? Para kanino at ano ang platform na ito kailangan? Sa user mode dapat itong ilibing sa ilalim ng mga karapatan sa pag-access. Mula sa isang third-party na koneksyon gamit ang isang DBMS?

Sa loob ng 4 na taon ngayon ay hinuhulaan ko na ito ay isang simpleng pagbobomba ng pera katulad ng "problema sa Y2K." Pagdating mo, nag-launch ng program sa computer, may ginawa ito, sabi mo okay na ang lahat at binayaran ka.

Irina Baimakova : Ang mga kinakailangan ng Pederal na Batas "Sa Personal na Data" ay nalalapat sa anumang mga operator ng personal na data, i.e. anumang organisasyon kung saan pinoproseso ang personal na data. Oo, sa katunayan, ang mga kinakailangan para sa proteksyon ng personal na data depende sa kategorya ng data at dami nito ay maaaring mag-iba nang malaki.

: Ano ang espesyal sa bersyon 8.2z? Bakit protektado ang personal na data dito at ano ang mali sa mga tuntunin ng pagprotekta sa personal na data sa ibang mga bersyon ng walong programa?

Irina Baimakova : ZPK "1C:Enterprise, bersyon 8.2z" - sertipikadong bersyon ng platform ng teknolohiyang 1C:Enterprise 8.2. Walang mga pagkakaiba sa pagganap sa pagitan ng sertipikadong bersyon at ng regular. Ang mga pagpapahusay na ginawa na isinasaalang-alang ang mga kinakailangan ng FSTEC ng Russia ay ipinatupad sa parehong regular at sertipikadong mga bersyon ng platform ng teknolohiya.

Ang paggamit ng ZPC "1C:Enterprise, bersyon 8.2z" ay nagbibigay-daan sa iyo upang matupad ang iniaatas na ibinigay para sa Artikulo 2 ng Artikulo 19 ng Pederal na Batas "Sa Personal na Data" tungkol sa mandatoryong paggamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pagtasa sa pagsunod sa kaugnayan sa personal na data na naproseso gamit ang mga produkto ng software 1C.

Hindi nakarehistrong user : Hindi ko talaga maisip kung paano magiging panacea ang programa sa larangan ng proteksyon ng personal na data. Ngunit ano ang tungkol sa kilalang kadahilanan ng tao? Pagkatapos ng lahat, ang mga tao ay nagtatrabaho sa programa.

Irina Baimakova : Sa kasong ito, hindi natin masasabi na ang programa ay isang panlunas sa lahat. Ang secure na software package na "1C:Enterprise, version 8.2z" ay isa sa mga "building blocks" na nagpapahintulot sa iyo na bumuo ng isang information security system at matiyak ang pagsunod sa mga kinakailangan ng kasalukuyang batas ng Russian Federation sa larangan ng personal na data. proteksyon.

Hindi nakarehistrong user : Nagkaroon ba ng anumang mga kaso ng pagtagas ng data ng mga protektadong 1s?

Irina Baimakova : Wala akong ganoong data.

Hindi nakarehistrong user : May pananagutan ba ang 1C para sa pagkawala at pagtagas ng data?

Irina Baimakova : Ang responsibilidad para sa pagkawala ng data ay nakasalalay sa personal na data operator.

Hindi nakarehistrong user : Sino ang kailangang gumamit ng ZPK "1C:Enterprise, 8.2z"? Ano ang kasama sa delivery package ng ZPK?

Irina Baimakova

Ang ZPK "1C:Enterprise, version 8.2z" kit ay may kasamang distribution kit ng platform ng teknolohiya, isang form, at dokumentasyon.

Hindi nakarehistrong user : Anong iba pang mga produkto ng software ang maaaring gamitin upang protektahan ang personal na data?

Irina Baimakova : Mayroong malaking bilang ng mga tool sa seguridad ng impormasyon sa merkado. Ang pangangailangang gumamit ng isang partikular na produkto ay nakasalalay sa mga natukoy na kasalukuyang banta at ang mga kinakailangan para sa proteksyon ng personal na data ng isang partikular na operator.

Hindi nakarehistrong user : Ano ang mga pangunahing potensyal na panganib na nakikita mo para sa personal na data? Ano nga ba ang ginagarantiya o ibinubukod ng proteksyon?

Yuri Kontemirov : Ang pangunahing panganib ay ang pagtagas at iligal na pamamahagi ng personal na data, na maaaring humantong sa mga negatibong kahihinatnan para sa isang tao at isang pagsalakay sa kanyang personal na buhay. Posible upang magarantiya ang aktwal na proteksyon ng personal na data lamang sa isang pinagsamang diskarte sa pag-aayos ng seguridad ng impormasyon, na nagbibigay ng espesyal na pansin sa "tao" na kadahilanan.

Hindi nakarehistrong user : Sa palagay mo, ang mga maliliit na kumpanya ba ay madalas na nakakaranas ng mga paglabas ng data ng accounting?

Yuri Kontemirov : Sa kasamaang palad, wala akong impormasyon sa isyung ito.

Hindi nakarehistrong user : Bakit tinatawag na secure ang “1C:Enterprise 8.2z”? Ano ang pangunahing pagkakaiba nito sa ibang mga produkto?

Irina Baimakova : Sa kasong ito, "protektado" ang pangalan, i.e. nasubok ng isang laboratoryo sa pagsubok para sa kawalan ng hindi idineklara na mga kakayahan at pagsunod sa iba pang mga kinakailangan na tinutukoy ng FSTEC ng Russia.

Ang ZPK "1C:Enterprise, bersyon 8.2z" ay isang espesyal na produkto upang matugunan ang mga kinakailangan ng kasalukuyang batas sa personal na data ng mga organisasyon at negosyante na gumagamit ng mga produkto ng software ng 1C.

User Kaufen : Binili ng organisasyon ang ZPK "1C:Enterprise 8.2z". Ano ang mga pangunahing pagkakaiba sa pagitan ng platform at 1C:Enterprise 8.2, bukod sa pagkakaroon ng isang sertipiko ng FSTEC? May nakatagpo na ba ng ganitong plataporma?

Irina Baimakova : ZPK "1C:Enterprise, bersyon 8.2z" - isang sertipikadong bersyon ng platform ng teknolohiyang 1C:Enterprise 8.2. Walang mga pagkakaiba sa pagganap sa pagitan ng sertipikadong bersyon at ng regular.

Ang pangunahing pagkakaiba ay ang sertipikadong release ay nasubok ng isang pagsubok na laboratoryo at kinukumpirma ang pagsunod sa mga kinakailangan na ibinigay sa sertipiko, at naglalaman din ng mga checksum na ibinigay sa ZPK form na "1C:Enterprise, bersyon 8.2z".

Hindi nakarehistrong user : Kami ay isang institusyon ng badyet. Mayroon bang pagbabago ng ZPK "1C:Enterprise 8.2z" na partikular para sa mga empleyado ng estado at magkano ang halaga ng sinusuportahang bersyon?

Irina Baimakova : Ang ZPK "1C:Enterprise, bersyon 8.2z" ay isang sertipikadong bersyon ng platform ng teknolohiyang 1C:Enterprise 8.2, na maaaring gamitin sa anumang karaniwang mga pagsasaayos, kabilang ang para sa mga institusyong pambadyet (halimbawa, "1C: Mga suweldo at tauhan ng isang pamahalaan institusyon", " 1C: Accounting ng isang institusyon ng estado").

Ang pamamaraan para sa pagbebenta at pag-update ng ZPK 1C: Enterprise version 8.2z" ay tinukoy sa liham ng impormasyon ng kumpanyang 1C No. 12891. Mahahanap mo ito sa sumusunod na link - http://1c.ru/news/info.jsp ?id=12891

Hindi nakarehistrong user : Ang anunsyo ng panayam at online na kumperensya ay nagsasalita tungkol sa mga pangunahing pagkakamali na kinilala ng Roskomnadzor sa panahon ng pagpapatupad ng mga aktibidad sa kontrol. Gusto kong malaman ang higit pa tungkol dito, anong mga error ang madalas na tinutukoy ng departamento?

Yuri Kontemirov : Ang pinakakaraniwang mga paglabag sa batas na natukoy sa panahon ng mga kontrol na aksyon ng Roskomnadzor ay makikita sa taunang mga ulat na inilathala sa website ng ahensya.

Hindi nakarehistrong user : Mangyaring sabihin sa amin ang tungkol sa sertipikasyon ng ZPK na "1C:Enterprise, bersyon 8.2z".

Irina Baimakova : Ang mga tanong tungkol sa mga layunin, pamamaraan, mga resulta ng sertipikasyon na isinagawa ng kumpanya ng 1C ay tinalakay nang detalyado at ipinakita sa website na buh.ru, kasama ang artikulong "Certification ng mga programa para sa layunin ng pagsunod sa batas sa proteksyon ng personal data" sa pangunahing sertipikasyon noong 2010 at sa Ang artikulong "Proteksyon ng personal na data - mula 2011 hanggang 2013 o dalawang taong pagbabago" tungkol sa sertipikasyon na isinagawa noong 2013 at ang pag-renew ng sertipiko.

Hindi nakarehistrong user : Sa iyong palagay, kailangan ba ng mga bagong hakbang upang maiwasan ang pagtagas ng personal na data at pataasin ang antas ng kanilang proteksyon? Kung kinakailangan, alin?

Yuri Kontemirov : Upang maiwasan ang mga pagtagas ng personal na data, ang isang makatwirang pinagsamang diskarte ay mahalaga at ang espesyal na pansin ay dapat bayaran sa "tao" na kadahilanan.

Hindi nakarehistrong user : Makatuwiran ba para sa mga indibidwal na negosyante at maliliit na negosyo na gumamit ng mga katulad na produkto ng software?

Irina Baimakova : Alinsunod sa sub. 3 sugnay 2 ng Artikulo 19 ng Pederal na Batas ng Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data", ang paggamit ng seguridad ng impormasyon ay nangangahulugan na nakapasa sa pamamaraan ng pagtatasa ng pagsunod alinsunod sa itinatag na pamamaraan ay isa sa mga hakbang upang matiyak ang seguridad ng personal na data sa panahon ng kanilang pagproseso.

Ayon sa mga kinakailangan ng Dekreto ng Pamahalaan No. 1119 na may petsang Nobyembre 1, 2012, ang paggamit ng mga tool sa seguridad ng impormasyon na pumasa sa pamamaraan para sa pagtatasa ng pagsunod sa mga kinakailangan ng batas ng Russian Federation sa larangan ng seguridad ng impormasyon ay ipinag-uutos kapag ang ang paggamit ng mga ganitong paraan ay kinakailangan upang neutralisahin ang mga kasalukuyang banta. Kaya, posibleng matukoy ang pangangailangan o kakulangan ng pangangailangang gumamit ng mga tool sa seguridad ng impormasyon na nakapasa sa pagtasa sa pagsunod, kasama ang ZPK "1C:Enterprise, bersyon 8.2z" batay sa modelo ng pagbabanta.

Ang paggamit ng ZPK "1C:Enterprise, bersyon 8.2z" ay nagbibigay-daan sa iyo upang matupad sa pinakamababang halaga ang mga kinakailangan ng kasalukuyang batas na inilarawan sa itaas, pati na rin ang isang bilang ng mga kinakailangan na ibinigay para sa Order ng Federal Service para sa Teknikal at Pagkontrol sa Pag-export ng Russia na may petsang Pebrero 18, 2013 No. 21.

Hindi nakarehistrong user : Anong masamang epekto ang maaaring magkaroon ng paglabag sa data? Halimbawa, para sa mga indibidwal na negosyante na walang empleyado.

Irina Baimakova : Ang pangunahing panganib ay ang pagtagas at iligal na pamamahagi ng personal na data, na maaaring humantong sa mga negatibong kahihinatnan para sa isang tao at isang pagsalakay sa kanyang personal na buhay.

Kung ang isang indibidwal na negosyante ay walang mga empleyado, at, nang naaayon, ay hindi nagpoproseso ng personal na data ng alinman sa mga empleyado o iba pang mga indibidwal, kung gayon sa kasong ito ay halos hindi posible na ipalagay ang isang posibleng pagtagas ng personal na data.

Ang Pederal na Batas No. 152 "Sa Personal na Data" ay nagsimula, na nangangailangan ng lahat ng mga operator ng personal na data na tuparin ang ilang mga kinakailangan para sa proteksyon at pag-iimbak ng personal na data.

Nagbibigay kami ng mga serbisyo para sa pagho-host ng mga sistema ng impormasyon sa 1C para sa pagproseso ng personal na data, alinsunod sa 152-FZ. Anong mga solusyon ang mayroon ka? 1C sa proteksyon ng personal na data (ISPDn)?

Nakatanggap ang kumpanya ng 1C ng certificate of conformity No. 2137, na inisyu ng FSTEC ng Russia, na nagpapatunay na ang secure na software package (ZPK) "1C:Enterprise, version 8.2z" ay kinikilala bilang isang pangkalahatang layunin na software na may built-in paraan ng pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access (NSD) sa impormasyong hindi naglalaman ng impormasyong bumubuo ng isang lihim ng estado.

Batay sa mga resulta ng sertipikasyon, ang pagsunod sa mga kinakailangan ng namamahala na mga dokumento para sa proteksyon laban sa mga aktibidad na hindi nakakaapekto sa klase 5 ay nakumpirma, ayon sa antas ng pagsubaybay sa kawalan ng mga hindi idineklara na kakayahan (NDC) sa antas 4 ng kontrol, ang posibilidad ng gamit para sa paglikha ng mga automated system (AS) hanggang sa security class na 1G (i.e. AC) ay nakumpirma , tinitiyak ang proteksyon ng kumpidensyal na impormasyon sa isang LAN) kasama, pati na rin upang protektahan ang impormasyon sa mga personal data information system (PDIS) hanggang sa klase K1 kasama.

Ang mga sertipikadong kopya ng 1C platform ay minarkahan ng mga marka ng pagsunod mula No. G 420000 hanggang No. G 429999.

Ang 1CAir ay nag-aalok ng mga programang ito para sa upa. Paano simulan ang paggamit nito?

Paano lumikha ng isang sistema para sa pagproseso ng personal na data sa 1C, alinsunod sa 152-FZ?

Ang lahat ng mga configuration na binuo sa "1C:Enterprise 8.2" na platform ay maaaring gamitin upang lumikha ng isang personal na data information system ng anumang klase at walang karagdagang sertipikasyon ng mga solusyon sa aplikasyon ang kinakailangan.

Ang mga karagdagang paglilinaw ay natanggap mula sa 1C:

1. Ang Pederal na Batas Blg. 152-FZ "Sa Personal na Data" mismo ay hindi nagpapataw ng anumang mga kinakailangan para sa software (tulad ng sinususugan na may bisa ngayon).

2. Ang kinakailangan para sa pangangailangan na masuri ang pagsunod sa mga paraan ng seguridad ng impormasyon ay nakapaloob sa talata 5 ng Mga Regulasyon na ipinakilala ng Dekreto ng Pamahalaan ng Russian Federation noong Nobyembre 17, 2007 N 781 "Sa pag-apruba ng Mga Regulasyon sa pagtiyak ng seguridad ng personal na data sa panahon ng kanilang pagproseso sa mga sistema ng impormasyon ng personal na data."

3. Direkta, ang mga kinakailangan para sa software ay ibinibigay ng Order No. 58 ng FSTEC ng Russia. Sa partikular, ang mga kinakailangan ay ibinibigay para sa access control, registration at accounting at integrity control subsystems. Ang mga subsystem na ito ay eksklusibong nauugnay sa platform ng teknolohiya, at hindi sa mga pagsasaayos.

4. Kapag nagsasagawa ng sertipikasyon, una itong binalak na magbigay ng mga kinakailangan para sa mga pagsasaayos (mga teknikal na kondisyon). Gayunpaman, sa pagkumpleto ng sertipikasyon, tumanggi ang testing laboratory na magpakita ng anumang mga kinakailangan para sa mga pagsasaayos.

Kaya, ang kasalukuyang batas ay hindi nagbibigay ng sertipikasyon (o iba pang pagtatasa ng pagsunod) ng mga produkto ng software na hindi mga tool sa seguridad ng impormasyon, na kinabibilangan ng mga karaniwang configuration, at walang mga teknikal na kundisyon para sa mga configuration. Alinsunod dito, ang anumang configuration para sa platform na ito ay maaaring gamitin sa isang secure na software package.

Bukod dito, sa panahon ng sertipikasyon, ang bagay ay hindi lamang mga programa, ngunit ang buong kumplikado ng mga regulasyong pang-administratibo at mga panukala (mga kinakailangan sa seguridad, modelo ng pagbabanta, mga aksyon sa pag-uuri, plano sa proteksyon ng personal na data, atbp.) At ang buong sistema ng impormasyon na ginagamit sa organisasyon.
Ang operator ng pagpoproseso ng personal na data ay dapat magpasya na magtalaga ng naaangkop na klase sa sistema ng personal na data.

Sa kabila ng katotohanan na ang data ay naka-imbak sa labas ng Russian Federation, ang Pederal na Batas No. 152-FZ ay direktang nagbibigay para sa posibilidad ng paglipat ng data ng cross-border, lalo na ang Artikulo 12. "Paglipat ng cross-border ng personal na data sa teritoryo ng mga dayuhang estado na mga partido sa Konseho ng Europe para sa Proteksyon ng mga Indibidwal sa ilalim ng Automated ang pagpoproseso ng personal na data, gayundin ang iba pang mga dayuhang bansa na nagbibigay ng sapat na proteksyon ng mga karapatan ng mga paksa ng personal na data, ay isinasagawa alinsunod sa Pederal na Batas na ito. ..”. Ang personal na data ay iniimbak sa mga data center lamang sa mga bansang European na lumagda sa Convention na ito, ayon sa liham Ministri ng Komunikasyon at Mass Communications ng Russian Federation "Sa pagpapatupad ng cross-border transfer ng personal na data."
Ayon sa Artikulo 12, talata 3 ng Batas Blg. 152-FZ, kami ay kumbinsido na ang sapat na proteksyon ng mga karapatan ng mga personal na paksa ng data ay sinisiguro bago magsimula ang cross-border na paglipat ng personal na data. Ito ay naitala sa aming kasunduan sa mga data center, at makikita sa Client Agreement.

Sa kasalukuyan, ginagamit ang karaniwang platform na "1C:Enterprise, bersyon 8.2", na may mga kinakailangan sa proteksyon ng data tulad ng ipinahiwatig sa itaas. Samakatuwid, sa tulong ng 1CAir, posibleng bumuo ng mga information security system sa mga personal data information system (PDIS) hanggang sa class K2 inclusive.

Sa kabila ng paggamit ng 1CAir, ang iyong organisasyon ay nananatiling operator ng pagproseso ng iyong personal na data, at hindi kami. Gumawa ka ng sarili mong modelo ng seguridad, at alinsunod sa modelong ito, tukuyin ang mga parameter ng proteksyon. Gamit ang mga teknikal na parameter na ito, maaari mong malaman mula sa amin kung nagbibigay kami ng ganoong serbisyo (halimbawa, pag-encrypt), at lumikha ng nais na sistema gamit ang mga programa sa 1CAir.

Sa mga pahina ng magazine, paulit-ulit naming isinulat ang tungkol sa pangangailangang gumawa ng mga hakbang sa organisasyon alinsunod sa Federal Law No. 152-FZ ng Hulyo 27, 2006 "Sa Personal na Data." Mula Enero 1, 2011, ang batas na ito ay magkakabisa at, nang naaayon, ang mga organisasyon ay bibigyan ng karagdagang mga responsibilidad upang matiyak ang proteksyon ng personal na data. Kabilang sa mga ito ay ang pangangailangan na subaybayan ang kawalan ng hindi ipinahayag na mga kakayahan ng software ng seguridad ng impormasyon. Sa iminungkahing artikulo I.A. Sasagutin ng Baymakova (methodologist sa 1C) ang mga madalas itanong sa mga gumagamit ng mga produkto ng 1C software.

Walang gaanong oras na natitira hanggang Enero 1, 2011, ang petsang "Sa Personal na Data" (mula rito ay tinutukoy bilang Federal Law No. 152-FZ) ay ganap na magkakabisa. Parami nang parami ang mga operator ng personal na data, na halos lahat ng mga organisasyon at negosyante, ay nagpaplano at nagsasagawa ng isang hanay ng mga aktibidad upang sumunod sa mga kinakailangan ng batas at regulasyong ito.

1) Anong mga regulasyong legal na aksyon ang ibinibigay para sa sertipikasyon?
2) Sino ang kailangang gumamit ng certified software at kailan?
3) Sino ang maaaring mag-certify ng software?
4) Sapat ba ang paggamit ng isang sertipikadong programa upang matiyak ang proteksyon ng personal na data?

Sertipikasyon ng mga programa para sa layunin ng pagsunod sa batas sa proteksyon ng personal na data

Walang gaanong oras na natitira hanggang Enero 1, 2011, ang petsa ng pagpasok sa buong puwersa ng Pederal na Batas ng Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data" (mula rito ay tinutukoy bilang Federal Law No. 152-FZ ). Parami nang parami ang mga operator ng personal na data, na halos lahat ng mga organisasyon at negosyante, ay nagpaplano at nagsasagawa ng isang hanay ng mga aktibidad upang sumunod sa mga kinakailangan ng batas at regulasyong ito.

Interesado ang mga user ng 1C software products kung certified ang software product na ginagamit nila. Sa artikulong ito sasagutin natin ang tanong na ito, ngunit susubukan muna nating tingnan ang problema nang mas malalim at isaalang-alang ang mga sumusunod na katanungan:

1) Anong mga regulasyong legal na aksyon ang ibinibigay para sa sertipikasyon?
2) Sino ang kailangang gumamit ng certified software at kailan?
3) Sino ang maaaring mag-certify ng software?
4) Sapat ba ang paggamit ng isang sertipikadong programa upang matiyak ang proteksyon ng personal na data?

Nakumpleto ng FSTEC ang sertipikasyon (152-FZ "Sa Personal na Data") ng secure na software complex na "1C:Enterprise, 8.2z", na kinabibilangan ng isang buong hanay ng platform ng teknolohiya na bersyon 8.2 (kabilang ang lahat ng uri ng mga server ng application). Natanggap ang Certificate of conformity No. 2137 para sa 10 libong kopya ng platform (valid hanggang Hulyo 20, 2013). Kinukumpirma ng certificate na ito na ang 1C:Enterprise 8.2z software package ay kinikilala bilang isang pangkalahatang layunin na software na may built-in na paraan ng pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access sa impormasyon na hindi naglalaman ng impormasyon na bumubuo ng isang lihim ng estado. Batay sa mga resulta ng sertipikasyon, nakumpirma ang pagsunod sa mga kinakailangan ng mga namamahala na dokumento:

  • Sa mga tuntunin ng proteksyon laban sa NSD, klase 5
  • Ayon sa antas ng kontrol sa kawalan ng hindi pagsunod sa mga materyales - ayon sa ika-4 na antas ng kontrol
  • Ang posibilidad ng paggamit para sa paglikha ng AS hanggang sa class 1G inclusive, pati na rin para sa pagprotekta ng impormasyon sa mga information system ng personal na data hanggang sa class K1 inclusive, ay nakumpirma na.B

Ang mga sumusunod na programa ay sertipikado:

  • Protektadong hardware at software complex "1C:Enterprise, bersyon 8.2z" para sa pagsunod sa mga kinakailangan ng mga alituntunin para sa proteksyon laban sa hindi awtorisadong pag-access - class 5. Pag-uuri ayon sa antas ng kontrol ng kawalan ng hindi pagsunod sa ika-4 na antas ng kontrol, paggamit sa mga awtomatikong sistema hanggang sa klase ng 1G kasama, pati na rin para sa pagsunod sa mga kinakailangan para sa seguridad ng impormasyon na kasama sa ISPD para sa pagproseso ng personal na data hanggang sa klase K2 kasama (inaasahang oras upang matanggap ang sertipiko ay Enero-Pebrero 2010);
  • Secure software at hardware complex "1C:Enterprise, version 7.7z" para sa pagproseso ng personal na data hanggang K3 inclusive (inaasahang oras para matanggap ang certificate ay Pebrero 2010).

Sa kabila ng katotohanan na ang batas ay magkakabisa lamang sa Enero 1, 2011, isaalang-alang natin kung ano ang eksaktong nakatago sa likod ng pagsunod sa mga nakalistang klase sa proteksyon ng impormasyon.

Pagsunod sa klase K2 para sa proteksyon ng personal na data

Pakitandaan na ang mga sumusunod na kinakailangan ay nalalapat sa K2 class system sa multi-user access mode na may iba't ibang karapatan:

  • Pagkilala at pagpapatunay ng gumagamit kapag nagla-log in sa sistema ng impormasyon gamit ang isang kondisyon na permanenteng password ng hindi bababa sa anim na alphanumeric na character.
  • Pagpaparehistro ng user login (exit) sa system (mula sa system) o pagpaparehistro ng loading at initialization ng operating system at ang software nito ay huminto. Ang pagpaparehistro ng system exit o shutdown ay hindi isinasagawa sa mga sandali ng hardware shutdown ng information system. Ang mga parameter ng pagpaparehistro ay nagpapahiwatig ng petsa at oras ng pag-login ng user (pag-logout) o pag-boot (pag-shutdown) ng system, ang resulta ng pagtatangka sa pag-login (matagumpay o hindi matagumpay), identifier ng user (code o apelyido) na ipinakita kapag sinusubukang i-access
  • Pagsubaybay sa lahat ng protektadong storage media sa pamamagitan ng pagmamarka sa kanila at paglalagay ng mga kredensyal sa accounting log na may tala tungkol sa kanilang pag-isyu (reception)
  • Tinitiyak ang integridad ng software ng sistema ng proteksyon ng personal na data, naprosesong impormasyon, pati na rin ang immutability ng kapaligiran ng software. Sa kasong ito, ang integridad ng software ay nasuri kapag naglo-load ng system gamit ang mga checksum ng mga bahagi ng mga tool sa seguridad ng impormasyon, at ang integridad ng kapaligiran ng software ay sinisiguro sa pamamagitan ng paggamit ng mga tagapagsalin mula sa mga mataas na antas ng wika at ang kawalan. ng mga paraan para sa pagbabago ng object code ng mga programa sa panahon ng pagproseso at (o) pag-iimbak ng protektadong impormasyon
  • Pisikal na seguridad ng sistema ng impormasyon (mga aparato at media ng imbakan), na nagbibigay para sa kontrol ng pag-access sa mga lugar ng sistema ng impormasyon ng mga hindi awtorisadong tao, ang pagkakaroon ng maaasahang mga hadlang sa hindi awtorisadong pagpasok sa lugar ng sistema ng impormasyon at imbakan ng media ng imbakan
  • Pana-panahong pagsubok ng mga pag-andar ng sistema ng proteksyon ng personal na data kapag ang kapaligiran ng software at mga gumagamit ng sistema ng impormasyon ay nagbabago gamit ang mga programa ng pagsubok na gayahin ang hindi awtorisadong mga pagtatangka sa pag-access
  • Ang pagkakaroon ng mga paraan para sa pagpapanumbalik ng sistema ng proteksyon ng personal na data, na nagbibigay para sa pagpapanatili ng dalawang kopya ng mga bahagi ng software ng mga tool sa proteksyon ng impormasyon, ang kanilang pana-panahong pag-update at pagsubaybay sa pagganap

Para makasunod sa klase K2, ipinatupad ng mga kumpanya ng 1C sa mga configuration na tumatakbo sa 1C:Enterprise 8.2 platform ang kakayahang magrehistro ng ilang event, na maaaring i-configure sa tab na “Personal Data Protection.”

Pagsunod sa mga kinakailangan ng mga alituntunin para sa proteksyon laban sa hindi awtorisadong pag-access sa impormasyon (class 1G)

Bilang karagdagan sa klase K2 para sa proteksyon ng personal na data, ang mga kinakailangan para sa klase 1G NSD ay tumutukoy sa mga kinakailangan para sa kontrol sa pag-access, accounting at integridad na mga subsystem. Halimbawa:

  • Pagpaparehistro ng mga pagtatangka sa pag-access ng software tool (mga programa, proseso, gawain, gawain) sa mga protektadong file
  • Pagpaparehistro ng pagpapalabas ng mga naka-print (graphic) na mga dokumento sa isang "hard" na kopya, na nagpapahiwatig ng karagdagang mga parameter ng pagpaparehistro

Pagsunod sa antas ng kontrol ng kawalan ng hindi idineklara na mga kakayahan sa antas 4 ng kontrol

Ang mga kinakailangan para sa antas 4 na kontrol ay kinabibilangan ng:

  • Kontrol sa komposisyon at nilalaman ng dokumentasyon (paglalarawan ng program na nagpapahiwatig ng mga checksum ng mga file na kasama sa software, mga source code ng mga program na kasama sa software)
  • Pagsubaybay sa paunang estado ng software (pagkalkula ng kasalukuyang mga checksum ng software at paghahambing sa paunang estado)
  • Static na pagsusuri ng mga source code ng program (pagsubaybay sa pagkakumpleto at kawalan ng redundancy ng mga source code ng software sa antas ng file, pagsubaybay sa pagsunod ng mga text source ng software sa boot code nito)
  • Pagbuo ng mga ulat para sa 1-3

Kasama sa set ng paghahatid ng ZPK ang:

  • distribution kit ng certified platform na "1C:Enterprise 8.2z"
  • form na may checksum
  • protektadong card ng pagpaparehistro ng produkto
  • pagtutukoy
  • paglalarawan ng aplikasyon
  • dokumentasyon ng pagsubok
  • paglalarawan ng programa
  • kopya ng sertipiko ng FSTEC

I-click upang palakihin

Maaari kang bumili ng 8.2z ngayon!

Maaari kang mag-order ng produkto sa [email protected]

Ang paghahatid sa iyong opisina sa anumang lungsod sa Russia ay walang bayad para sa iyo sa aming gastos.

Noong Hulyo 1, 2017, ang mga susog sa Artikulo 13.11 ng Code of Administrative Offenses ng Russian Federation ay nagsimula, ayon sa kung saan ang mga multa para sa paglabag sa batas sa larangan ng personal na data (PD) ay makabuluhang nadagdagan.

Kapag bumibili sa mga online na tindahan, nag-iiwan ang mga mamimili ng ilang impormasyon tungkol sa kanilang sarili - buong pangalan, address ng paghahatid at iba pang impormasyon sa pakikipag-ugnayan. Samakatuwid, ang mga may-ari ng mga online na tindahan ay dapat na maingat na pag-aralan ang isyung ito at tiyakin ang pagsunod sa mga kinakailangan ng Pederal na Batas na may petsang Hulyo 27, 2006 No. 152-FZ "Sa Personal na Data" kapag nakikipagkalakalan sa Internet.

Sasabihin namin sa iyo kung aling cash register mula sa aming catalog ang angkop para sa iyong negosyo.

Ano ang naaangkop sa personal na data ng isang indibidwal na isang bisita sa isang online na tindahan

Ang personal na data ay anumang impormasyon na direkta o hindi direktang nauugnay sa isang partikular na indibidwal o nagpapahintulot sa kanya na makilala (Clause 1, Artikulo 3 ng Batas "Sa Personal na Data" Blg. 152-FZ).

Sa konteksto ng pag-aayos ng gawain ng isang online na tindahan, ang personal na data, sa prinsipyo, ay maaaring magsama ng Cookies - ginagamit, lalo na, upang i-personalize ang mga alok ng produkto sa mga partikular na user. May mga hudisyal na precedent na nagkukumpirma sa pag-uuri ng naturang mga file bilang personal na data - halimbawa, ang Desisyon ng Moscow Arbitration Court na may petsang Marso 11, 2016 sa kaso No. A40-14902/2016-84-126 11.

Ang personal na data ay maaaring:

  • naproseso;
  • karaniwan;
  • nagbago;
  • ibinigay sa ilang mga tao (ibinunyag);
  • tinanggal.

Ang mga pagkilos na ito ay ginagawa ng personal na data operator. Maaari itong maging anumang indibidwal, organisasyon, o katawan ng pamahalaan ng estado o munisipyo. Kasama, siyempre, ang isang online na tindahan - itinatag ng isang indibidwal (IP) o pag-aari ng isang legal na entity.

Samakatuwid, bilang isang operator ng personal na data, ang online na tindahan ay obligadong sumunod sa mga pamantayan ng Batas Blg. 152-FZ. Ngunit sa anong mga kaso nakakakuha ito ng ganoong katayuan?

Upang makuha ang katayuan ng isang personal na operator ng data, kailangan lamang ng isang entity ng negosyo na kumpletuhin ang anumang pamamaraan na nagpapakita ng kanilang pagpoproseso, sa partikular:

  • koleksyon;
  • pag-record;
  • sistematisasyon;
  • akumulasyon;
  • paglilinaw;
  • aplikasyon;
  • kumakalat.

Iyon ay, na isinasagawa ang hindi bababa sa unang pamamaraan - pagkolekta ng data (sa pagsasanay - pagtanggap mula sa kliyente sa pamamagitan ng isang online na form), ang online na tindahan ay nagiging isang operator, at mayroon itong mga obligasyon na sumunod sa mga probisyon ng Batas No. 152- FZ.

Ang isang hiwalay na bahagi ng mga ligal na relasyon kung saan kinakailangan ang pagsunod sa batas sa personal na data ay ang pakikipag-ugnayan ng isang online na tindahan bilang isang tagapag-empleyo at mga empleyado nito (nagtatrabaho nang malayuan at sa mga offline na departamento ng online na tindahan). Gayunpaman, ang gayong mga ligal na relasyon, sa pangkalahatan, ay isinasagawa sa hurisdiksyon ng mga legal na kaugalian na may kaugnayan sa pakikipag-ugnayan ng mga employer at empleyado (malayuan o offline), anuman ang uri ng aktibidad na kanilang isinasagawa.

Sa turn, ang pagpapalitan ng data sa pagitan ng online na tindahan at mga customer nito ay bumubuo ng isang hiwalay at, sa katunayan, natatangi - sa mga tuntunin ng aplikasyon ng mga pamantayan ng Batas Blg. 152-FZ, isang segment ng mga legal na relasyon kung saan ang isang entidad ng negosyo ay may malawak na hanay ng mga karapatan at obligasyon alinsunod sa batas.

Tingnan natin nang mabuti kung ano mismo ang mga obligasyon na dapat tuparin ng isang online na tindahan kaugnay ng pangangailangang sumunod sa mga probisyon ng Batas Blg. 152-FZ.

Mag-subscribe sa aming channel sa Yandex Zen - Online na cash register !
Maging una na makatanggap ng pinakamainit na balita at mga hack sa buhay!

Ano ang kailangang gawin ng isang online na tindahan upang makasunod sa mga kinakailangan ng Federal Law No. 152-FZ

Ang pangunahing responsibilidad ng sinumang operator ng personal na data (at ang isang online na tindahan ay walang pagbubukod) ay sumunod sa pamamaraan para sa pagproseso nito. Ang pangunahing kondisyon ng pamamaraang ito ay ang pagkuha ng pahintulot mula sa paksa ng personal na data (iyon ay, ang mamimili) para sa naturang pagproseso.

Ang nasabing pahintulot ay maaaring makuha sa anumang mapagkakatiwalaang anyo (Clause 1, Artikulo 9 ng Batas Blg. 152-FZ). Ngunit sa mga kaso na itinakda ng batas, ang naturang pahintulot ay kinakailangan sa pamamagitan ng pagsulat - iyon ay, sa papel o paggamit ng isang elektronikong dokumento na pinatunayan ng isang elektronikong lagda (Clause 4 ng Artikulo 9 ng Batas Blg. 152-FZ).

Ang pagbili ng mga kalakal sa isang online na tindahan ay hindi direktang inuri ng batas bilang mga operasyong nangangailangan ng nakasulat na pahintulot ng paksa ng personal na data. Samakatuwid, ang pagkuha ng naturang pahintulot ay posible, sa prinsipyo, sa anumang anyo - na, gayunpaman, ay dapat gawing posible upang malinaw na patunayan ang katotohanan ng pag-apruba ng indibidwal sa paglipat ng personal na data sa operator.

Ang susunod na tungkulin ng operator ng personal na data ay upang magsagawa ng mga aksyon na naglalayong mapagtanto ang mga legal na karapatan ng mga paksa ng personal na data. Sa partikular, pinag-uusapan natin ang tungkol sa tama:

  • upang kumpirmahin na natanggap ng online na tindahan ang PD at sinimulan na itong iproseso;
  • upang makatanggap ng impormasyon tungkol sa mga layunin at pamamaraan ng pagproseso ng personal na data;
  • upang maging pamilyar sa mga tao (hindi kasama ang mga taong nagtatrabaho sa kawani ng operator) na kasangkot sa pagproseso ng personal na data).

Kabilang sa iba pang mahahalagang responsibilidad ng mga operator ng personal na data ang pagpapanatili ng pagiging kumpidensyal ng data. Kung ang kliyente ng online na tindahan ay hindi nagbigay ng pahintulot sa pamamahagi ng kanyang data sa ibang mga tao, kung gayon ang entidad ng negosyo ay walang karapatan na gawin ito - o kung hindi man ay ibunyag ang personal na data (Artikulo 7 ng Batas Blg. 152-FZ) . Kasabay nito, kahit na nakuha ang pahintulot, ang online na tindahan mismo ay may pananagutan para sa mga aksyon ng mga ikatlong partido na nakatanggap ng personal na data ng kliyente ng online na tindahan (Clause 5 ng Artikulo 6 ng Batas Blg. 152-FZ).

Ang isang mahalagang nuance na nagpapakilala sa pagproseso ng personal na data ay obligasyon ng operator na maglagay ng data sa mga server na matatagpuan sa Russia- maliban kung tinukoy ng batas (sugnay 5 ng artikulo 18 ng Batas Blg. 152-FZ). Ang mga online na tindahan ng Russia ay hindi napapailalim sa mga pagbubukod, at samakatuwid ay dapat sumunod sa panuntunang ito ng batas.

Ang isang hiwalay na isyu ay ang pangangailangan para sa operator ng personal na data na magsumite ng isang abiso na sila ay pinoproseso sa Roskomnadzor - alinsunod sa mga tagubilin ng talata 1 ng Art. 22 ng Batas Blg. 152-FZ. Sa pangkalahatan, kailangan ang naturang notification. Ngunit ang mga probisyon ng talata 2 ng Art. 22 ng Batas Blg. 152-FZ ay nagbibigay ng malawak na hanay ng mga pagbubukod sa panuntunang ito.

Sa partikular, sub. 2 p. 2 sining. 22 ng Batas Blg. 152-FZ ay nagbibigay na ang mga operator ay may karapatang hindi magsumite ng isang abiso kapag nagsasagawa ng isang kasunduan na natapos sa paksa ng personal na data at sa kondisyon na ang personal na data ay hindi ililipat sa mga ikatlong partido nang walang pahintulot ng paksa. Ang kasunduan sa pagbili at pagbebenta na natapos sa pagitan ng tindahan at ng mamimili ay ganap na napapailalim sa naturang pamantayan. Samakatuwid, sa pangkalahatang kaso, ang isang online na tindahan ay hindi kailangang magsumite ng mga abiso na pinag-uusapan kapag nakikipag-ugnayan sa mga customer (ngunit ang mga pagbubukod sa panuntunang ito ay posible - isasaalang-alang namin ang mga ito sa ibang pagkakataon sa artikulo).

Kaya, ang mga pangunahing responsibilidad ng operator ng personal na data ay:

  • upang makakuha ng pahintulot na iproseso ang mga ito;
  • upang matiyak ang pagiging kompidensiyal ng personal na data;
  • upang matupad ang iba pang mga legal na kinakailangan (sa paglalagay ng PD sa teritoryo ng Russia, sa katuparan ng mga kahilingan mula sa mga paksa ng PD tungkol sa kung paano ginagamit ang mga ito).

Pag-aralan natin nang mas detalyado kung paano magagampanan ng isang online na tindahan ang mga responsibilidad na ito.

Mga online na cash register para sa lahat ng uri ng negosyo! Paghahatid sa buong Russia.

Mag-iwan ng kahilingan at tumanggap ng konsultasyon sa loob ng 5 minuto.

Paano makakuha ng pahintulot na iproseso ang personal na data sa pamamagitan ng Internet

Kaya, dahil may kaugnayan sa mga aktibidad ng mga online na tindahan ang batas ay hindi nagtatatag ng mga kinakailangan para sa pagkuha ng nakasulat na pahintulot sa pagproseso ng personal na data, ang naturang pahintulot ay maaaring makuha sa anumang maaasahang paraan. Ngunit alin ang eksaktong?

Ang mga posibleng opsyon dito ay:

  1. Kapag ang isang online na tindahan ay humiling ng personal na data sa pamamagitan ng isang order form.

Sa kasong ito, ang pahintulot sa pagproseso ng data ay maaaring makuha sa pamamagitan ng pagtatakda ng kundisyon kung saan ang pagpapadala ng data ng order sa pamamagitan ng form ay posible lamang kung may lagyan ng tsek (o isa pang elemento ng form na gumaganap ng katulad na function) sa tapat ng linya kung saan ang mga salita tulad ng “ Sumasang-ayon ako sa pagproseso ng personal na data na ipinadala sa operator sa pamamagitan ng form na ito."

Ang Pahintulot ay karaniwang nagpapakita ng:

  • ang layunin ng pagbibigay ng dokumento sa operator (sa kaso ng isang online na tindahan - para sa paghahatid ng mga kalakal at iba pang mga layunin na tinutukoy ng pamamaraan ng pagbili at pagbebenta);
  • listahan ng PD na inilipat sa operator;
  • mga tuntunin at pamamaraan para sa pag-iimbak ng PD;
  • ang pamamaraan para sa paglilipat ng PD sa ilang mga ikatlong partido (halimbawa, isang serbisyo sa paghahatid ng mga kalakal).

Kasabay nito, sa tabi ng checkbox at ang link sa Pahintulot, dapat kang mag-attach ng link sa isang espesyal na dokumento na nagpapaliwanag nang detalyado sa pamamaraan para sa pagproseso ng personal na data ng online na tindahan alinsunod sa Batas Blg. 152-FZ - Patakaran sa Privacy . Maaari itong isumite bilang isang attachment sa form ng order. Ang paglalarawan ng link ay dapat maglaman ng mga salita na maaaring parang "Nabasa ko na ang attachment sa form na ito, na sumasalamin sa pamamaraan para sa pagproseso ng personal na data alinsunod sa batas."

Ang Patakaran sa Privacy ay isang dokumento na dapat i-publish sa pampublikong domain. Bilang karagdagan, maaari itong isaalang-alang bilang bahagi ng lokal na balangkas ng regulasyon ng organisasyon na nagtatatag ng online na tindahan. Ang mga empleyado ng isang entity ng negosyo ay dapat na kailanganing sundin ang naaprubahang Patakaran.

Karaniwang kasama sa Patakaran ang:

  • pangkalahatang probisyon;
  • mga salita na sumasalamin sa mga layunin ng pagkolekta ng PD ng isang pang-ekonomiyang entity;
  • mga probisyon sa legal na batayan para sa pagkolekta ng personal na data;
  • pag-uuri ng PD na ginamit, pamamaraan at mga kondisyon para sa pagtatrabaho sa kanila;
  • ang pamamaraan para sa pagtiyak sa pagpapatupad ng mga paksa ng personal na data ng mga karapatang itinatag ng batas.

Maaaring ipakita ng Patakaran ang:

  • kung paano tinitiyak ng online na tindahan ang mga karapatan ng mga user na humiling ng impormasyon tungkol sa pagproseso ng personal na data;
  • kung paano nakaayos ang pag-iimbak ng data (sa kasong ito, maaaring magbigay ng impormasyon na nagbibigay-daan sa iyo upang maitaguyod ang katotohanan na ang mga server na may PD ng customer ay matatagpuan sa Russia).
  1. Kapag humiling ang isang online na tindahan ng personal na data sa pamamagitan ng isang form sa pag-mail sa advertising (mga subscription sa mga pampakay na materyales mula sa site - halimbawa, mga booklet na may mga diskwento, mga code na pang-promosyon).

Ang koleksyon ng personal na data dito ay maaaring isagawa ayon sa isang katulad na pamamaraan - gamit ang isang checkbox sa tabi ng item na "Sumasang-ayon Ako", isang file ng Pahintulot at isang link sa Patakaran sa Privacy na may mga salita na sumasalamin sa katotohanan na ang bumibili ng online na tindahan ay nabasa ang Patakaran.

Sa mga espesyalista sa IT at eksperto sa larangan ng batas sa personal na data, mayroong isang malawak na pananaw ayon sa kung saan ang pagkuha ng pahintulot ng isang tao sa pagproseso ng personal na data ay dapat isagawa sa isang mode na nagsasangkot ng pagtatatag ng "tumaas na pagiging maaasahan" ng kanyang pagpapahayag ng kalooban. Ang karaniwang pamamaraan na gumagamit ng isang checkbox na may Pahintulot at isang link sa Patakaran sa Privacy ay isinasaalang-alang ng naturang mga eksperto mula sa isang kritikal na posisyon - at, dapat itong sabihin, hindi hindi makatwiran, dahil, ayon sa mga eksperto:

  • ang checkbox ay maaaring masuri nang hindi sinasadya;
  • ang online na form ay maaaring mag-load ng isang error - bilang kahalili, nang walang link sa Patakaran sa Pagkapribado, nang walang marka ng tsek o kasamang mga salita;
  • Ang isang gumagamit ay maaaring hindi sinasadya o sinasadyang magpasok ng personal na data ng ibang tao sa form.

Isinasaalang-alang ang mga nuances na ito, iminungkahi na dagdagan ang system na isinasaalang-alang - habang pinapanatili ang mga pangunahing elemento nito sa anyo ng isang marka ng tsek, Pahintulot at isang link sa Patakaran sa Privacy, na may mekanismo para sa pagkuha ng pangalawang pahintulot. Ang mga opsyon para sa pag-aayos ng gayong mekanismo sa kaso ng isang online na tindahan ay maaaring:

  1. Mandatory ang pagpaparehistro ng user bago bumili.

Ang nasabing pagpaparehistro ay nagsasangkot ng pagpuno, sa katunayan, ang parehong form na may marka ng tsek, Pahintulot at isang link sa Patakaran sa Pagkapribado, kasama ang kasunod na pagpapadala ng online na tindahan sa e-mail na tinukoy ng gumagamit ng isang liham na nagpapatunay sa pagpaparehistro (at sa parehong oras upang patunayan ang katotohanan ng pagbibigay ng pahintulot sa pagproseso ng personal na data at pamilyar sa Patakaran sa Privacy).

Sa kasong ito, ang form ay nangangailangan ng indikasyon ng isang login at password, na gagamitin ng user upang mag-log in sa kanyang account sa website ng online store.

Kung hindi kinumpirma ng user ang pagpaparehistro sa pamamagitan ng liham, kung gayon ang pahintulot sa pagproseso ng personal na data ay hindi ituturing na natanggap (ngunit, sa parehong oras, isasaalang-alang na ang user ay hiniling na basahin ang Patakaran sa Privacy).

Ang isinasaalang-alang na paraan ng pagkuha ng pahintulot upang iproseso ang data na may "tumaas na pagiging maaasahan" ay maaaring gamitin ng tindahan para sa mga layunin ng marketing. Sa pamamagitan ng personal na account ng mamimili, maaari mong ipaalam sa kanya ang tungkol sa iba't ibang mga diskwento at promosyon, makipagpalitan ng mga mensahe sa kanya at malutas ang iba pang mga problema na karaniwan para sa pakikipag-ugnayan sa pagitan ng nagbebenta at ng mamimili.

  1. Pagkumpirma ng pagkumpleto ng isang hiwalay na order sa pamamagitan ng e-mail (nang walang ipinag-uutos na pagpaparehistro ng isang account sa website ng online na tindahan).

Ang algorithm para sa naturang kumpirmasyon ay, sa prinsipyo, ay magiging katulad ng kung saan ay nagpapakilala sa pamamaraan para sa pagrehistro ng account ng mamimili, maliban sa paggamit ng isang user login at password. Sa kasong ito, ang kumpirmasyon ay gagawin, sa katunayan, para sa tanging layunin ng pagkuha ng pahintulot sa pagproseso ng personal na data at pagpapatunay na ang tao ay pamilyar sa kanyang sarili sa panukalang basahin ang Patakaran sa Privacy.

Ang susunod na malakihang gawain ng isang online na tindahan ay upang matiyak ang pagiging kumpidensyal ng personal na data sa pagsasanay.

1. Magtanong sa aming espesyalista ng tanong sa dulo ng artikulo.
2. Kumuha ng detalyadong payo at isang buong paglalarawan ng mga nuances!
3. O maghanap ng handa na sagot sa mga komento ng aming mga mambabasa.

Paano matitiyak ng isang online na tindahan ang pagiging kumpidensyal ng personal na data?

Alinsunod sa talata 1 ng Art. 18.1 ng Batas Blg. 152-FZ, ang operator ng personal na data ay dapat gumawa ng mga hakbang na sapat upang matupad ang mga obligasyong itinakda ng batas. Kasabay nito, independiyenteng tinutukoy ng operator ang listahan ng mga naaangkop na hakbang - maliban kung itinakda ng batas.

Malinaw, pinag-uusapan natin, una sa lahat, ang tungkol sa mga hakbang na idinisenyo upang matiyak ang pagiging kumpidensyal ng personal na data - iyon ay:

  • pagpigil sa pag-access sa kanila ng mga taong walang pahintulot na basahin ang nauugnay na PD;
  • pag-iwas sa hindi awtorisadong paggamit, pagbabago, pamamahagi ng PD;
  • pagtiyak ng kinakailangang proteksyon ng personal na data mula sa iba't ibang banta sa cyber, pagbabago, pamamahagi at iba pang hindi awtorisadong transaksyon na may personal na data dahil sa mga teknikal na pagkabigo.

Ang batas ay nagmumungkahi ng mga sumusunod na hakbang na naglalayong lutasin ang mga problemang ito:

  1. Ang appointment ng operator, na may katayuan ng isang legal na entity, ng isang responsableng empleyado - na nag-aayos ng pagproseso ng personal na data sa enterprise.
  1. Pagbuo ng operator ng mga lokal na regulasyon na namamahala sa pamamaraan para sa pagproseso ng personal na data alinsunod sa mga legal na kinakailangan.
  1. Paglalapat ng mga teknikal na paraan upang matiyak ang proteksyon ng personal na data.
  1. Pagsasagawa ng panloob na kontrol ng mga pamamaraan sa loob ng balangkas ng pagproseso ng PD.
  1. Pagsasagawa ng pagtatasa ng pinsala na maaaring idulot sa mga paksa ng personal na data bilang resulta ng mga paglabag sa batas sa pagproseso ng personal na data at pag-aalis ng mga kahihinatnan ng naturang mga paglabag.
  1. Pagsasagawa ng kinakailangang gawain kasama ang mga empleyado upang mapataas ang kanilang antas ng kaalaman sa larangan ng proteksyon ng personal na data.

Batay sa prinsipyo ng legal na pagkakatulad, ang lahat ng mga panuntunang ito ay naaangkop din sa mga indibidwal na negosyanteng nagbebenta online. Kasama - kung ang indibidwal na negosyante ay nagtatrabaho nang nakapag-iisa, nang hindi kinasasangkutan ng mga empleyado. Posible, sa isang paraan o iba pa, maaari siyang magkaroon ng isang kawani, at sa oras na iyon ay dapat na siya ay may wastong mga lokal na regulasyon na namamahala sa organisasyon ng pagproseso ng personal na data.

Dapat mong malaman na alinsunod sa talata 4 ng Art. 18.1 ng Batas No. 152-FZ, ang mga dokumentong iyon na dapat ilabas ng isang online na tindahan bilang bahagi ng pagpapatupad ng mga tagubilin at rekomendasyon sa itaas ay maaaring hilingin ng Roskomnadzor kapag nagsasagawa ng inspeksyon ng isang entity ng negosyo.

Sa isang paraan o iba pa, ang mga hakbang na naglalayong tiyakin na ang operator ng personal na data ay nakakatugon sa mga kinakailangan ng batas (pangunahin sa mga tuntunin ng pagtiyak ng pagiging kumpidensyal ng personal na data) ay maaaring nahahati sa 2 grupo:

  • organisasyonal (esensyal at pangunahing legal);
  • teknikal.

Pang-organisasyon (legal) na mga hakbang ay pangunahing nauugnay sa dokumentaryo na regulasyon ng aplikasyon ng mga mekanismong ito ng pakikipag-ugnayan sa pagitan ng online na tindahan (kinakatawan ng may-ari o ng kanyang mga empleyado) sa mamimili.

Tandaan na kapag nagpapatupad ng mga pang-organisasyon at legal na hakbang, ito ay inaasahang bubuo

isang kasunduan sa pagbili at pagbebenta (alok) sa pagitan ng tindahan at ng mamimili, batay sa kung saan ang pahintulot sa pagproseso ng personal na data ay ibinibigay sa isang form maliban sa nakasulat - gamit ang isang tik sa form ng order at isang link sa Patakaran sa Privacy .

Ang mga teknikal na hakbang ay maaaring iharap sa isang malawak na hanay - tingnan natin ang mga ito nang mas detalyado.

Teknikal na suporta ng kagamitan. Malulutas namin ang anumang mga problema!

Mag-iwan ng kahilingan at tumanggap ng konsultasyon sa loob ng 5 minuto.

Ano ang teknikal na bahagi ng pagtiyak ng pagiging kumpidensyal ng PD?

Ang pangunahing pinagmumulan ng mga ligal na pamantayan na dapat sundin kapag nilutas ang mga teknikal na problema upang matiyak ang pagiging kompidensiyal ng personal na data ay ang mga probisyon ng Art. 19 ng Batas Blg. 152-FZ.

Ito ay nagsasaad, sa partikular, na ang pagtiyak sa seguridad ng personal na data ay maaaring makamit sa pamamagitan ng:

  1. Pagtatatag ng mga banta sa seguridad ng data bilang bahagi ng kanilang pagproseso gamit ang mga sistema ng impormasyon.

Sa pagsasagawa, ang pagpapatupad ng naturang panukala ay nagsasangkot ng paggamit ng iba't ibang anti-virus at mga pantulong na solusyon - na dapat na ipatupad sa sistema ng pamamahala ng site. Ang mga naturang solusyon ay idinisenyo upang agad na matukoy ang mga pagtatangka ng mga hacker na awtomatiko o manu-manong hindi awtorisadong pag-access sa personal na data na nakolekta gamit ang mga form ng order sa website o naka-imbak sa mga server na pinangangasiwaan ng online na tindahan.

  1. Paggamit ng mga teknikal na paraan upang mapataas ang antas ng seguridad ng personal na data.

Pinag-uusapan natin, una sa lahat, ang tungkol sa iba't ibang mga tool sa pag-encrypt ng data - upang kapag na-access ang mga ito ay ipinakita sila sa isang form kung saan imposible ang kanilang pagbabasa nang walang kasunod na pag-decryption, sa kondisyon na ang pag-decryption mismo ay dapat na awtorisado ng online na tindahan.

  1. Ang paggamit ng mga teknikal na paraan upang maibalik ang tinanggal, nasira o hindi awtorisadong binagong personal na data.

Dito maaari nating pag-usapan ang tungkol sa mga solusyon na ginagamit para sa mga sumusunod na layunin:

  • pagdoble ng personal na data sa kaso ng kanilang pagtanggal mula sa orihinal na medium (pinsala o pagbabago);
  • sa katunayan, pagbawi ng tinanggal (nasira o binago) data mula sa umiiral na media.
  1. Ang paggamit ng mga teknikal na paraan upang pag-iba-ibahin ang pag-access (pagtukoy sa mga antas ng pag-access) sa personal na data depende sa katayuan ng taong may awtoridad na magproseso ng personal na data.

Kaya, halimbawa, ang tagapamahala ng isang online na tindahan ay maaari lamang magkaroon ng access sa impormasyon sa pakikipag-ugnayan ng mamimili (upang makipag-ugnay sa kanya kung sakaling may anumang mga katanungan), at maaari ring ma-access ng tagapamahala ng paghahatid ang address. O - ang una ay maaaring magkaroon lamang ng awtoridad na basahin ang mga contact, at ang pangalawa - upang baguhin ang mga ito.

  1. Application ng mga control system sa mga taong nagpoproseso ng personal na data.

Sa katunayan, ang mga lokal na regulasyon lamang ay hindi sapat upang matiyak ang pagiging kumpidensyal ng personal na data - isang mekanismo para sa pagsubaybay sa kanilang pagpapatupad ay kailangan. Ang mga solusyon dito ay maaaring ibang-iba - mula sa pumipili na pagsubaybay sa mga aksyon ng mga partikular na empleyado ng isang online na tindahan hanggang sa pagpapakilala ng mga tool para sa patuloy na pagsusuri ng trapiko para sa hindi awtorisadong paglilipat ng personal na data.

Kung gaano dapat maging secure ang isang sistema ng impormasyon para sa pagproseso ng personal na data ay tinutukoy batay sa potensyal na pinsala na maaaring idulot sa system dahil sa impluwensya ng mga karaniwang pagbabanta. Ang mga listahan ng naturang mga banta at mga kinakailangan para sa seguridad ng system, na tumutugma sa antas ng mga banta, ay tinukoy sa Decree of the Government of Russia na may petsang Nobyembre 1, 2012 No. 1119.

Tingnan natin ang mga ito nang mas malapitan.

Gaano dapat ka-secure ang isang online na tindahan para sa ligtas na pagproseso ng personal na data?

Upang matukoy kung anong mga partikular na hakbang ang kailangan upang matiyak ang kinakailangang antas ng proteksyon ng personal na data, dapat gamitin ng may-ari ng isang online na tindahan ang talahanayan sa Appendix sa Komposisyon at Nilalaman ng Organisasyon at Teknikal na mga Panukala, na inaprubahan ng Order No. 21.

Tandaan na ang listahang ito ay may kinalaman, una sa lahat, ang parehong mga nuances ng tauhan ng pag-aayos ng gawain ng isang online na tindahan. Ngunit kahit na ang may-ari nito ay isang indibidwal na negosyante na nagtatrabaho nang walang kawani, kung gayon, lalo na, upang matiyak ang proteksyon ng personal na data ng mga customer nang hindi bababa sa antas 1, kailangan niyang:

  • ilapat ang paraan ng pagkakakilanlan at pagpapatunay ng mga gumagamit;
  • pamahalaan ang mga account ng gumagamit;
  • kontrolin ang pag-access sa server kung saan matatagpuan ang PD;
  • gumamit ng antivirus;
  • tukuyin ang mga insidente na nauugnay sa hindi awtorisadong pag-access sa personal na data.

Siyempre, makatuwirang italaga ang isang mahalagang bahagi ng naturang gawain sa isang indibidwal na negosyante (at isang legal na entity, siyempre, din) sa isang third-party na kasosyo - halimbawa, ang may-ari ng hosting kung saan ang website ng online store ay matatagpuan. Ngunit ang paglilipat ng naturang mga kapangyarihan ay dapat na wastong secure na legal - gamit ang mga detalyadong kasunduan na wastong naglalarawan sa mga responsibilidad ng online na tindahan at ng kasosyo nito, na tinitiyak ang proteksyon ng personal na data ng mga customer alinsunod sa batas.

Sa pagsasagawa, marami sa mga modernong CMS site management system ang may kinakailangang functionality upang matiyak na ang pagpapatakbo ng isang online na tindahan ay sumusunod sa mga kinakailangan sa itaas tungkol sa pagtatatag ng mga antas ng seguridad para sa pagproseso ng personal na data.

Ngunit, siyempre, sa maraming mga kaso ang kanilang pagbabago at pagdaragdag ay kinakailangan. Bilang panuntunan, sinusubukan ng pinakamalaking provider ng mga solusyon sa pamamahala ng website at mga serbisyo sa pagho-host ang kanilang mga kliyente ng mga produkto na pinakamahusay na nakakatugon sa mga kinakailangan na itinatag ng Batas Blg. 152 at mga pamantayan ng departamento. Gayunpaman, kapag pumipili ng isang partikular na CMS system, palaging magandang ideya na humingi ng karagdagang payo ng eksperto tungkol sa pagsunod nito sa mga batas sa proteksyon ng personal na data.

Ito ang mga pangunahing nuances na nagpapakilala sa pagsunod ng online na tindahan sa mga kinakailangan ng Batas Blg. 152-FZ at kasamang mga legal na aksyon tungkol sa pakikipag-ugnayan sa mga mamimili ng mga kalakal. Gayunpaman, ang ganitong pakikipag-ugnayan ay maaari ding mangyari sa ibang mga legal na konteksto. Sa partikular, sumasalamin sa mga pakikipag-ayos sa pagitan ng tindahan at ng mamimili gamit ang isang makabagong uri ng cash register

Gaya ng nabanggit na natin sa simula ng artikulo, ayon sa Batas Blg. 152-FZ, kasama sa personal na data ang anumang impormasyon na maaaring direkta o hindi direktang nauugnay sa isang partikular na tao (o pagkilala sa isang tao). Malinaw, ang e-mail o telepono ay maaaring, sa pinakamababa, hindi direktang pagkakakilanlan.

Tulad ng para sa e-mail, maaari itong kunin ang form tulad ng [email protected], at kung ang naturang email address ay na-leak mula sa mga database ng isang online na tindahan, madaling maunawaan ng mga third party na ang mga pagbili sa tindahan ay ginawa ni Stepan Petrov, na ipinanganak noong 1976 sa Moscow at nag-aaral sa Unibersidad ng Massachusetts.

Ito ay mas kumplikado sa isang telepono - ngunit kung gusto mo, maaari mo itong bilangin bilang isang hindi direktang pagkakakilanlan. Halimbawa, ang isang tao na hindi awtorisadong nakatanggap ng isang numero mula sa isang online na tindahan ay maaaring tumawag dito at, na nagpapanggap bilang isang tao mula sa isang serbisyo ng courier, hilingin sa subscriber na tukuyin ang kanyang buong pangalan at address ng paghahatid - ngunit sa katunayan, mag-isyu ng isang mapanghimasok na advertising pagpapadala ng koreo.

Kaya, sa kabila ng katotohanan na, ayon sa Batas No. 54-FZ, na kumokontrol sa paggamit ng mga online na cash register, ang mga mamimili ng mga online na tindahan ay iniiwan ang kanilang mga contact upang makatanggap ng mga tseke nang kusang-loob, pinag-uusapan natin ang paglipat ng personal na data sa nagbebenta.

Nangangahulugan ba ito na ang mga operasyon na may ganoong data ay sasailalim sa parehong mga kinakailangan na nagpapakilala sa pagproseso ng iba pang personal na data?

Pakitandaan na nananatiling may kaugnayan ang ilan sa mga kinakailangang ito. Halimbawa, ang isang online na tindahan na nagbabayad sa pamamagitan ng online na cash register ay dapat:

  • ginagarantiyahan ang mga mamimili ng karapatang makatanggap ng impormasyon tungkol sa pagproseso ng personal na data;
  • tiyakin ang pagiging kompidensiyal ng data;
  • sumunod sa iba pang mga kinakailangan ng Batas No. 152-FZ (sa partikular, sa paglalagay ng personal na data sa mga server ng Russia).

Ang pinaka-kapansin-pansin na bagay ay ang mga naturang kinakailangan ay hindi kasama ang pagkuha ng pahintulot sa pagproseso ng personal na data.

Ang katotohanan ay sa talata 1 ng Art. 6 ng Batas Blg. 152-FZ ay naglilista ng ilang mga pagbubukod sa tuntunin sa pangangailangang makakuha ng pahintulot. Kasama sa naturang mga pagbubukod ang pagproseso ng data sa loob ng balangkas ng pagganap ng operator ng mga pag-andar at tungkulin na itinalaga sa kanya ng batas. Ang ganitong mga pag-andar at responsibilidad ng isang online na tindahan ay kinabibilangan ng mga kinakailangan ng Batas Blg. 54-FZ - sa pagbuo ng mga resibo ng pera para sa mga pakikipag-ayos sa mga customer.

Kaya, ang online na tindahan ay hindi kinakailangang humingi ng pahintulot sa mamimili na makatanggap ng e-mail at numero ng telepono - bilang mga uri ng personal na data.

Siyempre, walang legal na hadlang sa paghingi ng pahintulot sa mga mamimili sa pagproseso ng personal na data na ibinigay ng e-mail at telepono, kasabay ng paghiling ng pahintulot sa pagproseso ng iba pang personal na data. Iyon ay, sa Pahintulot - na na-download kapag nagkukumpirma sa form ng pag-order, at sa kasamang Patakaran sa Personal na Data, maipapakita na ang bahagi ng data - ang e-mail at numero ng telepono ng mamimili - ay gagamitin ng online na tindahan upang makasunod sa mga probisyon ng Batas Blg. 54-FZ. Iyon ay, upang magpadala ng mga resibo ng electronic cash sa mamimili.

Ngunit ang pamamaraang ito, mahigpit na pagsasalita, ay opsyonal mula sa punto ng view ng batas - kahit na hindi ito kumplikado.

Kasabay nito, dapat tandaan ng nagbebenta na ang pagkuha ng personal na data upang makasunod sa mga pamantayan ng Batas Blg. 54-FZ ay hindi napapailalim sa mga pagbubukod na inireseta sa talata 2 ng Art. 22 ng Batas No. 152-FZ - ang mga nauugnay sa obligasyon na ipaalam sa Roskomnadzor ang tungkol sa pagtanggap ng personal na data. Yan ay - Kapag tumatanggap ng pagbabayad online, ang naturang abiso ay kailangang isumite. Ang departamento, na nakatanggap ng isang abiso mula sa online na tindahan, ay ipinasok ito sa rehistro ng mga operator ng personal na data.

Dapat ipahiwatig ng paunawa:

  1. Ang pangalan ng dokumento ay "Paunawa sa pagproseso ng personal na data."
  1. Ang pangalan ng operator, ang legal na address nito.
  1. Legal na batayan, mga layunin ng pagproseso ng data.
  1. Mga uri ng data na naproseso.
  1. Mga kategorya ng mga taong naging paksa ng personal na data.
  1. Mga pamamaraan sa pagproseso ng data.
  1. Mga hakbang upang matiyak ang seguridad ng pagproseso ng data.
  1. Impormasyon tungkol sa lokasyon ng mga server kung saan nakaimbak ang personal na data.
  1. Mga petsa para sa pagsisimula ng pagproseso ng data.
  1. Mga kondisyon para sa pagwawakas ng pagproseso ng data.

Ang buong pangalan at posisyon ng may-akda ng abiso ay dapat ipahiwatig. Inilagay niya ang petsa kung kailan ginawa ang dokumento at pinirmahan ito.

Kaya, ang batas ay nagpapataw ng isang kahanga-hangang halaga ng mga obligasyon sa mga may-ari ng online na tindahan. At ang mga parusa para sa hindi pagsunod ay medyo seryoso. Pag-aralan natin sila.

Pananagutan at bagong multa

Para sa paglabag sa mga legal na kinakailangan sa isyung ito, ibinibigay ang mga sumusunod na parusa:

  1. Administratibong multa.

Ang kanilang pangunahing listahan ay tinukoy sa Art. 13.11 Code of Administrative Offenses ng Russian Federation. Ngunit ang ilan ay binabaybay sa kaukulang mga artikulo ng Kodigo.

Kasama sa mga karaniwang multa ang:

  • para sa pagproseso ng personal na data nang walang pahintulot ng kanilang may-ari - hanggang sa 20 libong rubles para sa mga opisyal at indibidwal na negosyante, hanggang 75 libong rubles - para sa mga ligal na nilalang (Artikulo 13.11 ng Code of Administrative Offenses ng Russian Federation);
  • para sa pagtanggi na magbigay ng impormasyon sa isang indibidwal kung saan siya ay may karapatan na maging pamilyar sa batas - hanggang sa 10 libong rubles para sa mga opisyal at indibidwal na negosyante (Artikulo 5.39 ng Code of Administrative Offenses ng Russian Federation);
  • para sa labag sa batas (hindi ibinigay para sa mga itinalagang layunin) pagproseso ng personal na data - hanggang sa 10 libong rubles para sa mga opisyal at indibidwal na negosyante, hanggang 50 libong rubles para sa mga ligal na nilalang (Artikulo 13.11 ng Code of Administrative Offenses ng Russian Federation);
  • para sa kawalan ng isang nai-publish na Patakaran sa Pagiging Kumpidensyal - hanggang sa 6 na libong rubles para sa mga opisyal, para sa mga indibidwal na negosyante - hanggang sa 10 libong rubles, para sa mga ligal na nilalang - hanggang sa 30 libong rubles (Artikulo 13.11 ng Code of Administrative Offenses ng Russian Federation) ;
  • para sa pagtanggi na gawing pamilyar ang isang indibidwal sa impormasyon tungkol sa pagproseso ng kanyang personal na data - hanggang sa 6 na libong rubles para sa mga opisyal, hanggang sa 15 libong rubles para sa mga indibidwal na negosyante, hanggang sa 40 libong rubles para sa mga ligal na nilalang (Artikulo 13.11 ng Code of Administrative Offenses ng Russian Federation).
  1. Pananagutan sa kriminal.

Alinsunod sa Art. 137 ng Criminal Code ng Russian Federation, ang iligal na pagkolekta ng personal na data na bumubuo ng personal na lihim ng isang mamamayan ay maaaring humantong sa multa ng hanggang 200 libong rubles o pagtatalaga ng correctional labor, diskwalipikasyon, o pagkakulong hanggang 2 taon.

  1. Determinado sa sibil na paglilitis.

Dito maaari nating pag-usapan ang tungkol sa iba't ibang mga parusa, ngunit ang mga tipikal ay kinabibilangan ng:

  • obligasyon na bayaran ang mga pagkalugi na dulot ng paksa ng PD bilang resulta ng paglabag ng operator sa mga probisyon ng Batas Blg. 152-FZ;
  • obligasyon na bayaran ang moral na pinsala sa paksa ng personal na data.

Sa isang paraan o iba pa, malamang, kung ang isang online na tindahan ay lumalabag sa mga pamantayan ng Batas Blg. 152-FZ, ang mga parusang pang-administratibo ay ilalapat dito. Kasabay nito, dapat tandaan na ang pinaka mahigpit sa kanila - lalo na, isang multa para sa kabiguan na makakuha ng pahintulot sa pagproseso ng data (hanggang sa 75 libong rubles) ay inilalapat sa kaso ng paglabag sa mga kinakailangan para sa nakasulat na pahintulot sa pagproseso ng personal na data. Kung pinahihintulutan na makakuha ng pahintulot sa anumang maaasahang anyo, kung gayon kung hindi nakuha ang naturang pahintulot, ang isang parusa ay inilalapat sa anyo ng isang multa para sa labag sa batas na pagproseso ng data (hanggang sa 50 libong rubles).

May posibilidad na maraming karagdagang administratibong parusa ang ilalapat sa operator. Halimbawa:

  • sa anyo ng multa para sa hindi pagsunod sa mga kinakailangan sa proteksyon ng data - hanggang sa 2 libong rubles para sa mga opisyal at indibidwal na negosyante, hanggang 15 libong rubles para sa mga ligal na nilalang (Artikulo 13.12 ng Code of Administrative Offenses ng Russian Federation);
  • sa anyo ng multa para sa kabiguang magbigay ng abiso sa Roskomnadzor - hanggang 500 rubles para sa mga opisyal at indibidwal na negosyante, hanggang 5,000 rubles para sa mga ligal na nilalang (Artikulo 19.7 ng Code of Administrative Offenses ng Russian Federation).

Sa teoryang posible na harangan ang website ng isang online na tindahan sa pamamagitan ng desisyon ng korte. Halimbawa, kung pinapayagan niya ang labag sa batas na paglalathala ng personal na data ng mga customer nang walang pahintulot nila sa mga pagsusuri ng mga pagbili.

Depende sa partikular na paglabag at saklaw ng mga legal na relasyon kung saan ginawa ang paglabag, ang iba't ibang mga parusa ay maaaring simulan laban sa personal na data operator.