Облачные сервисы и российское законодательство

Согласно данным ежегодного исследования рынка облачных услуг в России компании IDC по итогам 2017 года его объем составил порядка $663 млн, что на 49% больше, чем в прошлом. По прогнозам аналитиков, в 2018 году рынок увеличится еще на 20,7%, а к 2022 году его объем может составить порядка $1,5 млрд.
Рынок облаков становится более зрелым на фоне непрерывной оптимизации бизнеса и курса большинства компаний на снижение совокупных ИТ-издержек. Аналитики подтверждают, что данная тенденция сохранится, и формат облачной инфраструктуры продолжит активно заменять традиционные серверы и оборудование.
Однако в России данный процесс должен соответствовать дополнительным требованиям Закона РФ № 152-ФЗ «О персональных данных», вступившего в силу 01 сентября 2015 года.
 

Как использовать облака в соответствии с законодательством

Необходимо разработать решение, обеспечивающее техническую часть системы обработки персональных данных для соответствия требованиям Закона РФ № 152-ФЗ, что занимает много времени

Приходится изменять текущую инфраструктуру под требования законодательства, что приводит к дополнительным затратам

Требуется пакет юридических документов, подтверждающих соответствие системы требованиям Закона

 

CLOUD COMPASS – готовое решение этих задач

Это аутсорсинг обработки персональных данных для облачных сервисов Microsoft, первое в России уникальное комплексное решение по переносу данных в облако, которое соответствует Закону РФ № 52-ФЗ "О персональных данных" на техническом и юридическом языке.
Решение CLOUD COMPASS предоставляет возможность быстро, безопасно и в соответствии с федеральным законодательством использовать облачные сервисы Microsoft на территории России.
Воспользуйтесь всеми преимуществами публичного облака, чтобы оптимизировать затраты и повысить эффективность деятельности компании, а мы обеспечим всестороннюю поддержку в решении ключевых задач на вашем пути диджитал-трансформации.
 

Что включает в себя решение


 

СЕРВИСЫ
НАБОР ОПЦИЙ
Базовый
Стандарт
Премиум
Анализ выбранных информационных систем для определения содержания в них персональных данных
 
включено
включено
Формы для самостоятельного выбора объективов и полей с персональными данными в информации
включено
включено
включено
Стандартное приложение для локализации персональных данных
включено
включено
 
Адаптированное приложение для локализации персональных данных
 
 
включено
Размещение "первичной" базы данных в защищенном ЦОД
включено
включено
включено
Возможность размещения "первичной" базы данных в собственном ЦОД 
 
включено
включено
Разработка архитектурного и технического проекта по оптимизации инфраструктуры и миграции в облако
 
включено
включено
Дополнительный юридический консалтинг
 
 
включено
Пакет юридических документов в соответствии решения "CLOUD COMPASS" Закону № 152-ФЗ
включено
включено
включено
Стоимость в год (млн.рублей)
от 0,5
от 1,5
По запросу

 


Как работает решение

На схеме изображен технический процесс, происходящий в рамках решения:
 
1. Пользователь вносит изменения в объект персональных данных. Например, создает или изменяет карточку клиента в форме.
При сохранении данных запускается приложение, которое определяет поля формы, содержащие персональные данные.
2. Происходит запись персональных данных в "первичную" базу обработки ПДн, расположенную в защищенном пространстве ЦОД на территории России.

3. Идет процесс репликации данных в публичное облако Microsoft Azure. В случае ошибки на этапах 2 или 3 запись не будет сохранена и появится сообщение об ошибке. Потребуется повторное сохранение формы.

4. Записанная информация отображается в консоли пользователя.
Процесс повторяется при любых изменениях  - записи, систематизации, изменении, удалении персональных данных.
Таким образом, "первичная" база данных на территории России всегда актуальна согласно требованиям Закона РФ № 152 - ФЗ "О персональных данных".


 


Юридическое обоснование

Что такое "персональные данные"?
Согласно Федеральному закону № 152-ФЗ "О персональных данных", персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), то есть позволяющая его идентифицировать.
Комментарий:
Адрес электронный почты Zigmund.Yusupov@comparex.ru может быть признан персональными данными, потому что Зигмунд Юсупов, работающий в организации, которой пренадлежит домен второго уровня comparex, легко идентифицируем. При этом электронный адрес zig356@mail.ru не является персональными данными, т.к. не позволяет идентифицировать конкретного человека.
     
Понятие обработки персональных данных (Пдн)
Обработка персональных данных - это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Комментарий:
Например, информационными системами персональных данных (ИСПДн), в которых содержатся и обрабатываются персональные данные, являются lC, Microsoft Dynamics АХ. При этом почтовый сервис Microsoft Exchange специалисты не относят к ИСПДн.
     
Разрешена ли трансграничная передача ПДн?
На трансграничную передачу Пдн на территории стран, являющихся сторонами Конвенции Совета Европы ETS № 108 и иных стран, обеспечивающих адекватную защиту прав субъектов персональных данных, не требуется согласия субъектов персональных данных.
Комментарий:
Государствами, обеспечивающими адекватную защиту прав субъектов ПДн, среди прочих, являются Ирландия, Нидерланды и Китай, в которых размещаются центры обработки данных Microsoft, поддерживающие функционирование облачной вычислительной системы.
     
То есть можно использовать публичное облако для обработки ПДн?
При сборе персональных данных оператор обязан обеспечить обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Комментарий:
Законом предусмотрена обязательная «локализация» обрабатываемых персональных данных, то есть первичная их запись в центрах обработки данных на территории России до передачи в базы данных, расположенные за пределами РФ (читай - «публичное облако»).
     
А какова ответственность при несоблюдении требований?
В случае несоблюдения требований Закона к локализации персональных данных на территории России к оператору могут применены как административные, так и уголовные меры ответственности, к сотрудникам оператора - дисциплинарные меры ответственности.
Комментарий:
Так, за нарушение порядка обработки Пдн в порядке ст.13.11 КОАП РФ устанавливает штраф в размере 50 тысяч рублей за каждый случай нарушения. При этом виновные в неисполнении условий обработки Пдн могут быть привлечены к уголовной ответственности вплоть до лишения свободы сроком до двух лет. Кроме того, регулятором будет выдано предписание об устранении выявленного нарушения, что так или иначе приведет к внедрению легитимных схем обработки ПДн, сроки которого будут ограничены, что повлечет удорожание покупки таких систем.
     

Почему с нами надёжно

COMPAREX, глобальная компания С 30-летним опытом работы в области ИТ-услуг, является одним из ведущих мировых партнеров Microsoft. Одно из ключевых направлений деятельности - разработка инновационных сервисов, которые способствуют снижению издержек и росту продуктивности.
Защищенный ЦОД уровня Tier III
Юридическое заключение о соответствии требованиям
Полный цикл поддержки от COMPAREX

 


Форма обратной связи

 

 

Эксперты COMPAREX готовы рассказать о CLOUD COMPASS и опыте реализации сервисов по защите персональных данных