Если вся обработка протекает на сервере в США, то есть само веб-приложение там, БД тоже там, сотрудники получают доступ к такой системе к примеру через обычный SSL с помощью самого обычного браузера. В этом случае ведь придраться не получится. Выходит в этом случае, можно избежать денежных вымогательств наших доблестных Госнанораспилов, которые они прикрыли этим странным законом.Сообщение от BeatBoxer
Или я ошибаюсь?
- Miker - сейчас нет типовых ИС. ВСе ИСПДн- специальные. и специальные не потому что там обрабатывается что либо кроме фио и паспортов- а потому что нет ИСПДн где не надо было бы обеспечить помимо конфиденциальности еще какие либо условия- типа целостности и доступности. подробнее- смотри определение специальной и типовой ИСПДн
- BeatBoxer- если хоть какаято часть вашей ИСПДн (информационной системы персональных данных) находится за бугром- будь то сервер или что либо еще- то как вы тут пишете- вам же хуже. при составлении модели угроз- вам придется это указать и соответственно применять методы шифрования сертифицированные ФСБ- а это кучи необходимого бабла.
- smooth - по поводу сертификации все зависит от категории ПД- которую вы определяете сами. так что если вы прямо сейчас определите что у вас к примеру 4ртая система- ничего не надо. на 3тей- уже есть требования которые при должной смекалке легко обойти- почитайте гденить про искусственный реинженеринг ИСПДн.
А вообще пока не подали уведомление в роскомнадзор что обрабатываете ПД- ничего делать не надо. с одной стороны. с другой если не подали уведомление а на вас стуканули и пришли ребятки с контролирующих органов- может быть еще хуже.
Какая часть, какие бугры, кому хуже? у меня всё здесь, на своей земле.
топик открыл человек, интересующийся данным вопросом. Про модели угроз мне рассказывать не надо, этим пусть озадачиваются те, кто обрабатывает персональные данные. Человек спросил, стоит ли ему заморачиваться вопросом - я сказал, что его клиенты могут просто воспользоваться зарубежным хостингом, подальше от лап надзора и регуляторов, если нет желания и денег для приведения своего бизнеса к требованиям фз-152. И цитирую свой же пост: "а дальше видно будет....когда Роскомнадзор придёт" Вот чтобы малому предпринимателю не перекрыли кислород путём приостановки услуг по предоставлению тех.ресурсов для работающего сайта с бд, кто-то так и делает. Разговор шёл лишь об этом. Другой вопрос - насколько это оправданно, легитимно и разумно. Каждый решает сам.
Если всё делать правильно и по уму, то и дураку понятно, что передача и хранение данных на иностранных ресурсах в принципе не вариант по многим причинам, т.к при трансграничной передаче пд применяется сертифицированное в РФ криптографическое ПО. Так что и без чужих советов знаю, что делать и как.
Капитан очевидность такой капитан очевидность.
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)
Ваши права
Ответить с цитированием