Если вы разработчик облачной системы

Вы предоставляете свою облачную систему (сервис) в пользование своим клиентам. Пользователи могут хранить в ней персональные данные своих клиентов. В данном случае ваша задача - создать необходимую техническую защиту сервера и системы для соответствия требованиям определенного уровня защищенности ИСПДн. Т.е. вы должны заранее определиться, какие именно категории данных потенциально могут хранить в системе пользователи, в каком количестве, на основании Постановления №1119 определить уровень защищенности ИСПДн и выполнить требования регуляторов для этого уровня защищенности (на основании Приказа №21 ФСТЭК). Также вы можете изучить проект ГОСТа по информационной безопасности для облачных систем (Проект ГОСТ Р Защита информации. Требования по защите информации, обрабатываемой с использованием технологий "Облачных вычислений". Основные положения http://docs.cntd.ru/document/1200102839), чтобы постараться сделать свою систему в соответствие с ним.

Обеспечив необходимую техническую безопасность, вы можете в договоре с пользователем или в пользовательском соглашении указать свои гарантии в части безопасности персональных данных, а также дать пользователю рекомендации, какие действия он должен произвести со своей стороны (брать согласия на обработку ПД со своих клиентов, выполнять требования 152-ФЗ "О персональных данных").

Кроме того, вы должны обеспечить в своей организации меры организационно-распорядительного характера, провести разъяснительную работу с сотрудниками и разработчиками, принять матрицу доступа, в которой, возможно, ограничить доступ администраторов или ряда разработчиков к персональным данным пользователей сервиса, тем самым уменьшив риски утечки информации.

Если вам требуется помощь в разработке документов по защите персональных данных - у нас есть такой опыт.

Если вы пользователь облачной системы

Первое, что вы должны понимать, если собираетесь обрабатывать ПД в облачной системе - это то, что база данных, находящаяся в облаке - ваша ИСПДн, а не разработчика сервиса. Оператором ее являетесь вы, а не разработчик. Поэтому вы отвечаете за безопасность ПД со своей стороны, и должны иметь гарантии разработчика относительно соответствия технической защищенности сервиса требованиям уровня защищенности, который вы определили для своей ИСПДн. Поэтому в договоре на использование облачного сервиса обязательно должен быть пункт о таких гарантиях разработчика.

Как и в других случаях, у вас должно быть согласие вашего клиента на обработку его персональных данных, а также вы должны соблюдать все прочие рекомендации касательно допуска своих сотрудников к работе с персональными данными (в т.ч в используемой вами облачной системе), которые регламентируются принятыми организационно-распорядительными документами. Если вам нужна помощь в разработке документов по защите персональных данных, обратите внимание на предлагаемые нами готовые шаблоны документов.

Также воспользуйтесь нашей методичкой по заполнению уведомления в Роскомнадзор для пользователей облачных сервисов.
Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.

Документы обновляются ежегодно по итогам проверок наших клиентов

Разработка пакета документов дистанционно под вашу организацию - 50000 руб.

Чтобы заказать пакет документов, свяжитесь по телефону +7-961-7500-977 или электронной почте it45@it45.ru