Почему хостинг-провайдер или дата-центр не может взять на себя ваши обязанности по исполнению 152-ФЗ?

Статья 3, 152-ФЗ гласит, что «Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.»

Из всех этих действий зона ответственности сервис-провайдера относительно ПДн, с которыми вы работаете, составляет лишь хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Всё остальное обязан обеспечивать оператор персональных данных.

Другими словами, обращаясь к услугам любого хостинг-провайдера или дата-центра, невозможно передать ему обязанности оператора персональных данных и избавиться от ответственности, разместившись в некоем «защищённом по всем правилам 152-ФЗ» месте.

Именно оператор, а не провайдер ИТ-инфраструктуры определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных и так далее. Провайдер может помочь оператору тем, что обеспечивает, как в нашем случае, соответствие требованиям закона на уровне инфраструктуры, где оператор будет размещать свою ИСПДн. С соответствующими документами вы можете ознакомиться на страницах: «ATLEX и 152-ФЗ» и «Политика в отношении обработки персональных данных ООО "ОКЕЙ-ТЕЛЕКОМ"».

Мы, в свою очередь, всегда рады помочь по мере наших возможностей нашим клиентам, которым необходимо обеспечить соответствие их ИС закону 152-ФЗ, а именно: внести необходимые для их уровня защищённости изменения в предоставляемую им услугу (будь то виртуальный сервер, виртуальный дата-центр, аренда физического сервера или аренда стойки и т.д.), если окажется, что имеющего сейчас уровня не достаточно, а также можем давать рекомендации по специалистам и профильным компаниям, но это не услуга «из коробки», а индивидуальная работа.

Процесс в общем случае выглядит так:

  1. вы описываете (сами или с помощью привлечённых специалистов) свою ИС;
  2. понимаете, какой уровень защищённости вам нужен;
  3. понимаете, какой уровень защищённости у вас сейчас;
  4. составляете (сами или с помощью привлечённых специалистов) перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности ПДн;
  5. если какие-либо требования из перечня будут относиться к предоставляемым нами услугам, то вы обращаетесь с данными требованиями к нам и мы, работая в контакте с вами, делаем всё возможное для их удовлетворения.

Возможно Вас также заинтересует:

База знаний

Должны ли все средства защиты персональных данных быть сертифицированы ФСТЭК России по 152-ФЗ?

База знаний

Достаточно ли защитить сервер или стойку для соответствия 152-ФЗ?

База знаний

Какой уровень защищённости может обеспечить ATLEX по 152-ФЗ?

База знаний

Можно ли купить аттестованную по 152-ФЗ информационную систему (сервер, хостинг и т.д.)?

База знаний

Для кого обязательна аттестация по 152-ФЗ?

Аренда сервера

Аренда стойки

Виртуальные рабочие столы (VDI, DaaS)

Виртуальный дата-центр (VDC, Iaas)

Виртуальный сервер (VDS, VPS)

Виртуальный хостинг (веб-хостинг)

Контейнеры (CaaS)

Облачное хранилище

Сolocation

Managed services

Общее

Метки

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принимаю», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

принимаю подробнее

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить