Облако ФЗ-152

Аренда облачной инфраструктуры для хранения персональных данных сотрудников или клиентов в защищенном облаке, соответствующем требованиям ФЗ-152 о персональных данных.

Хранение персональных данных (хостинг ФЗ-152)

Решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных российских граждан.

Решения для клиентов предоставляется как на базе иностранного, так и отечественного ПО, включая решения импортозамещения.

Бесплатная миграция вашей IT-инфраструктуры с локальных ресурсов или из облака другого провайдера на платформу Cloud4Y. Переносом данных занимаются наши специалисты. В первый месяц, пока осуществляется миграция и тестирование, вы пользуетесь ресурсами бесплатно.

Оставить заявку

Конфигуратор цен

White Paper об обработке данных

Мы обновили White Paper — подробное руководство по защите персональных данных по ФЗ-152.

Скачать White Paper

Какой уровень защищённости вам нужен?

Компании, так или иначе работающие с ПДн, обязаны выполнять требования ФЗ-152, обеспечивая защиту этих данных. В законе перечислены четыре категории персональных данных:

Общедоступные

Данные из открытых источников, которые опубликованы самим человеком или с его согласия. Например, список участников забега, опубликованный на сайте и в соцсетях организатора.

Биометрические

Биологические и физиологические характеристики, позволяющие идентифицировать человека. Например, отпечаток пальца, скан радужки глаза, ДНК.

Специальные

Информация о расовой принадлежности, состоянии здоровья, политических взглядах человека. Например, история болезни, поставленный врачами диагноз.

Иные

Персональные данные, которые не относятся к перечисленным ранее категориям. Это может быть корпоративная информация о партнёрах и сотрудниках, датах их отпуска, зарплате.

Уровень защиты зависит не только от категорий обрабатываемых данных, но и других факторов. Оставьте заявку, чтобы наши специалисты помогли вам определить, какой уровень защищённости вам нужен.

Какие услуги мы предлагаем

В зависимости от категории размещенных информационных систем персональных данных, исполнение требований ФЗ-152 может включать в себя довольно длинный список задач. Специалисты по информационной безопасности Cloud4Y готовы взять на себя следующие обязанности.

Проведение аудита инфраструктуры клиента, определение уровня защищённости персональных данных и требований к защите
Разработка модели угроз в соответствии с методиками ФСБ
Проектирование архитектуры системы защиты персональных данных
Разработка пакета документов (модель угроз, технический дизайн, организационная документация и т. д.)
Внедрение средств информационной защиты
Разработка программы и методологии оценки эффективности мер информационной безопасности в соответствии с 21 приказом ФСТЭК России

Наши лицензии и аттестаты

Лицензия ФСТЭК на деятельность по технической защите информации

Лицензия ФСТЭК на деятельность по разработке средств защиты информации

Лицензия ФСБ на использование и распространение криптографических средств стр1

Преимущества хранения персональных данных в облаке Cloud4Y

Наличие аттестатов УЗ1-4, 1К, 1Г
Средства защиты информации (СЗИ), лицензированные ФСБ и ФСТЭк
Наличие сертификатов на защитные элементы облака
Защита от несанкционированного доступа к данным
Возможность работы с базами данных SQL, 1C

Самостоятельная защита ПДн vs. Хостинг ФЗ-152 в облаке

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищённом облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Самостоятельная защита		Хранение ПДн в частном облаке Cloud4Y
100% юридическая ответственность по ФЗ-152		Освобождение от юридической ответственности по 152-ФЗ (хранение данных)
Высокий CAPEX на закупку оборудования, лицензий профессиональных средств защиты		NO CAPEX, возможность использовать общесистемное и специальное ПО провайдера
Необходимость аттестации инфраструктуры		Защищенная инфраструктура провайдера прошла аттестацию лицензиатами ФСТЭК и подтвердила её соответствие требованиям безопасности 1УЗ, 1Г и 1К
Простой более 30% оборудования		Почасовой биллинг и постоплата исключают плату за неиспользуемые ресурсы+
Необходимость держать в штате специалиста по информационной безопасности		Специалисты технического отдела и отдела ИБ провайдера всегда на связи
Необходимость подготовки аудиторскую и отчётную документацию в исполнительные органы регулярно и / или по запросу		Специалисты ИБ провайдера принимают ответственность за своевременную и качественную подготовку документации

Как организована защита информации в облаке ФЗ-152

Для приведения инфраструктуры ИСПДн в соответствие с требованиями ФЗ-152 часто рассматривают защиту информации на уровне дата-центра и уровне вендора.

Уровень дата-центра

Дата-центры Tier III

24/7 охрана, видеонаблюдение, многоуровневый контроль доступа

Источники бесперебойного питания, дизель-генераторные установки

Автоматическая система тушения пожара

Уровень вендора

Организационные меры

Организационные меры защиты информации включают разработка внутренних документов, регламентирующих обработку персональных данных, определение ответственных лиц, определение уровня защищённости персональных данных и требований по защите

Технические меры

К техническим или программным мерам относятся межсетевой экран, антивирус Dr.Web, анализ защищённости, средства регистрации и учёта, шифрование данных и другое

Почему стоит доверять Cloud4Y

16 лет в «облаках»

С 2009 года компания успешно работает на российском и иностранном рынках облачных услуг.

Надёжная инфраструктура

4 дата-центра уровня TIER III, оборудование и ПО от ведущих вендоров уровня Enterprise.

Базовый SLA 99.982%

Оптическое кольцо, MetroCluster и механизмы резервирования позволяют гарантировать отказоустойчивость сервисов на уровне до SLA 99.99%

Прозрачная система расчетов

Почасовой биллинг и pay-as-you-go позволяют платить только за реально потребленные ресурсы.

Геораспределённое резервное копирование

Автоматическое создание резервной копии (14 точек восстановления) в отдельном геоудаленном ЦОД.

Гибкое масштабирование

Увеличивайте и уменьшайте ресурсы без обращения в техподдержку.

Техническая поддержка 24/7

Специалисты технической поддержки ответят в течении 10 минут на любой запрос.

Партнёрская программа

Зарабатывайте с Cloud4Y до 40% от ежемесячных платежей клиента. White Label доступен.

Скачайте подробную презентацию о продукте. Скачать презентацию

Отзывы

Viasat

Когда компания почувствовала необходимость в развертывании такого же удобного и надежного облачного решения для организации корпоративной почты. Cloud4Y развернул для нас почтовый сервер, что позволило оптимизировать взаимодействие между членами нашей команды.
В Cloud4Y и команде мы видим надежного партнера. Компания развивается, чтобы предвидеть и удовлетворить растущие потребности рынка в эпоху, когда автоматизация и технологизация бизнеса приравниваются к одной из главных составляющих успеха.

Виасат Глобал

ГК «Афинара — ПТ»

У нас была задача — вынести почтовые сервера на внешнее обслуживание, и мы её успешно решили с помощью ООО «Флекс» (Cloud4Y). Процесс сотрудничества был приятным, специалисты провайдера стремились во всём помочь, а техническая поддержка не оставляла нас наедине с проблемами. Если появится новая инфраструктурная задача, в первую очередь обратимся к своему проверенному провайдеру.

Е. В. Полянчиков Генеральный директор

Роснефть-Лояльность

Услуги по предоставлению отказоустойчивой облачной инфраструктуры для CRM системы и аналитического ПО оказываются качественно и в соответствии с действующим договором.

Савицкая Н. А. Генеральный директор ООО "РН-ЛОЯЛЬНОСТЬ"

МикроАрт

ООО «МикроАрт», используя облачный отказоустойчивый сервер на Linux для сбора и передачи данных с температурных датчиков, мы гарантировали стабильную работу собственного сервиса облачной телеметрии с Real-time аналитикой.

А. В. Джинчарадзе Директор

Киномакс

Выбирая облачного провайдера, мы принимали решение скрупулёзно. Нам важно строить открытые долгосрочные отношения со своими Партнерами, одним из которым стал ООО "Флекс" Cloud4Y.
В работе мы ценим честность. Хотя в течение срока совместной работы и случались сложности, мы проходили через них, положившись на профессионализм и человеческие качества команды провайдера.

Нартов Д. А. Генеральный директор АО «Киномакс»

МБИ Евразия

Пользуемся в компании арендой виртуального сервера. Понравился гибкий подход, доступная стоимость и стабильность сервера!

ЗАО МБИ Евразия

Наш Карандаш

Благодаря облачному решению «Корпоративная почта» мы повысили качество внутренних коммуникаций. Почта теперь быстро синхронизируется с мобильными устройствами, благодаря чему информация больше не теряется. А на случай чрезвычайных ситуаций предусмотрена функция восстановления данных из резервных копий, хранящихся сразу в двух ЦОД.

Г. А. Сухих Генеральный директор

Сатурн-Юг

Выражаем искреннюю благодарность нашему партнёру ООО «Флекс» за предоставленные вычислительные мощности, за высокий уровень услуг, профессионализм и просто человеческое отношение. Ваша команда оперативно отвечает на любые вопросы и решает поставленные задачи самым доброжелательным образом, ответственно относится к исполнению своих обязанностей и всегда идёт навстречу. Мы рады найти такого надёжного и добросовестного партнёра в России и надеемся на продолжение успешного сотрудничества. Большое вам спасибо!

Федеральное агентство по делам молодёжи (Росмолодёжь)

Федеральное агентство по делам молодёжи (Росмолодёжь) — федеральный орган исполнительной власти в России, осуществляющий функции по оказанию государственных услуг и управлению государственным имуществом в сфере государственной молодёжной политики, реализации мероприятий, направленных на обеспечение здорового образа жизни молодёжи, нравственного и патриотического воспитания и на содействие реализации молодёжью своих профессиональных возможностей.

Благодарим ООО "Флекс" (Cloud4Y) за многолетнее сотрудничество в области информационных технологий и высокий профессионализм.

К. Д. Разуваева Руководитель ФАДМ

ДомКлик (Сбербанк)

За время нашего сотрудничества у нас не возникло ни одной претензии к технической реализации и качеству услуг. В Cloud4Y мы видим партнера, к которому можно обратиться за технической консультацией в решении ПТ задач бизнеса.
Дополнительно хочется отметить комфортную схему расчетов, оперативную пред и постпродажную поддержку, выгодные опциональные услуги и своевременную реакцию на запросы в техподдержку.

Редер А. Б. Исполнительный директор

Нормативно-Правовая База

Ознакомьтесь с Перечнем нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных по ссылке.

Подзаконные и ведомственные нормативные акты в сфере защиты прав субъектов персональных данных.

План Роскомнадзора по проведению плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей 2017 году можно скачать по ссылке. Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок, доступен здесь.

FAQ

В чем суть услуги облако ФЗ-152?

Мы построили в нашем дата-центре защищённый контур, прошедший аттестацию по требованиям безопасности в соответствии с ФЗ-152 и получивший аттестат соответствия по защите персональных данных до 1 уровня защищённости включительно. И мы помогаем нашим клиентам закрыть вопрос соответствия с технической точки зрения. Государственным учреждениям также могут быть интересны Аттестат соответствия 1-го класса для государственных информационных систем (согласно 17-му приказу ФСТЭК) и аттестат на защиту конфиденциальной информации по классу 1Г (согласно СТР-К).

Кто такой оператор персональных данных по ФЗ-152?

Оператором персональных данных по ФЗ-152 считается юридическое и физическое лицо, государственных или муниципальный орган, осуществляющий обработку и сбор персональных данных для целей отличных от целей трудового законодательства, и определяет цели и содержание такой обработки персональных данных.

В чём цель ФЗ-152 «О персональных данных»?

Цель инициативы ФЗ-152 определяется Статьёй 2 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" «Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

На кого распространяются требования ФЗ-152?

Действие законодательства ФЗ-152 распространяется на каждый бизнес, государственный или муниципальный орган, физическое лицо, осуществляющее обработку персональных данных в целях отличных от соблюдения требования трудового законодательства.

Перечень отраслей, для которых обработка персональных данных является приоритетной:

Медицина (государственная и частная)
Учебные учреждения
Кредитно-финансовые учреждения
Сфера страхования
Операторы сотовой связи
Компании туриндустрии
Агентства по подбору персонала
Пассажирские перевозки
Риэлторские компании
HR отдел и бухгалтерия любой компании

Какая ответственность за нарушение ФЗ-152

Ответственность за несоблюдение требований по ФЗ-152 определяется текстом самого документа, а также недавним Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации».

Каковы меры наказания, в том числе штрафы за нарушение ФЗ-152?

На сегодняшний день штрафы по ФЗ-152 и другие меры ответственности оговариваются Федеральным Законом ФЗ № 405 «О внесении изменений в отдельные законодательные акты Российской Федерации», который вступил в силу 02 декабря 2019 года.

Предмет нарушения «Невыполнение оператором при сборе персональных данных… обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ» 13.11 КоАП.

Административный штраф за первичное нарушение требований законодательства для граждан - до 50 000 рублей, для должностных лиц - до 200 000 рублей и для юридических лиц – до 6 000 000 рублей. Повторное выявление нарушений, влечёт за собой 2х, а то и 4х кратное увеличение размера штрафа. Для граждан - в размере до 100 000 рублей; для должностных лиц —до 800 000 рублей; на юридических лиц — до 18 000 000.

Сколько стоит защитить персональные данные по ФЗ-152?

Стоимость организации защиты зависит от того, решили вы самостоятельно «строить» и аттестовать инфраструктуру, или обратились к облачному провайдеру. По опыту взаимодействия с клиентами, стоимость аренды ресурсов облака зачастую ниже на 30-50% на долгосрочную перспективу 2-5 лет. Стоимость рассчитывается индивидуально под заказчика, с учётом объёмов, уровня защищённости, сроков размещения.

Можете ли вы помочь в подготовке документации?

Да, можем (предоставляем готовые шаблоны или берём на себя весь процесс подготовки под ключ).

Как организован канал передачи данных?

Используется шифрованный по Российскому ГОСТ канал через VipNet-координатор.

Считается ли избыточностью хранение ПДн разных организаций в одной БД

На практике ведение общей базы персональных данных для нескольких организаций является распространённым решением. Но будет ли в данном случае соблюдаться 5 статья 152 ФЗ о персональных данных с точки зрения избыточности данных? Не будут ли ПДн сотрудников одной организации считаться избыточными относительно другой организации? Как правильно оформить документы для каждой организации, если ИСПДн общая и информация в ней избыточна?

На самом деле избыточность касается именно состава персональных данных субъекта. Например, для заключения трудового договора информация о медицинских диагнозах или биометрические данные являются избыточными. Хранение этих данных не соответствует заявленным целям.

Нет ограничений которые бы запрещали обрабатывать персональные данные в одной информационной системе различными юр. лицами. По этой модели работают многие сервисы в Интернете. Например CRM Битрикс24.

Однако в данном случае важно, чтобы администратор информационной системы соответствующим образом построил систему защиты, чтобы данные одних пользователей не были доступны другим пользователям.

Что такое хостинг по ФЗ-152?

Хостинг по ФЗ-152 — это услуга, обеспечивающая хранение и обработку персональных данных граждан Российской Федерации на серверах, расположенных на территории России. Согласно этому закону, операторы персональных данных обязаны использовать такие хостинг-решения для соблюдения требований к защите данных и обеспечения конфиденциальности. Провайдеры хостинга должны гарантировать соответствие требованиям безопасности, установленным ФСТЭК, и обеспечивать защиту информации от несанкционированного доступа.

Можно ли хранить персональные данные за границей?

Согласно Федеральному закону № 152-ФЗ, хранение персональных данных граждан России за границей запрещено. Все базы с персональными данными должны находиться на территории Российской Федерации. Исключения могут быть предусмотрены только для определённых случаев, связанных с трансграничной передачей данных, но в целом закон требует локализации хранения.

Какие требования предъявляются к провайдерам хостинга?

Провайдеры хостинга, работающие с персональными данными, должны соответствовать следующим требованиям:

Регистрация и уведомление: Провайдеры обязаны уведомлять Роскомнадзор о начале своей деятельности за 15 рабочих дней до старта.
Защита информации: Необходимо реализовать требования ФСБ по защите данных, включая назначение ответственного за безопасность и меры по предотвращению вторжений.
Хранение данных: Все персональные данные должны храниться на территории России, а информация о пользователях — в течение 3 лет.
Идентификация пользователей: Провайдеры должны проводить идентификацию и аутентификацию клиентов определенными способами.
Взаимодействие с ФСБ: Обязанность по обеспечению необходимой вычислительной мощности для оперативно-разыскных мероприятий и соблюдение конфиденциальности данных.

Эти требования направлены на защиту персональных данных и обеспечение их безопасности в соответствии с законодательством.

Как проверить, соответствует ли хостинг провайдер требованиям ФЗ-152?

Чтобы проверить, соответствует ли хостинг-провайдер требованиям ФЗ-152, выполните следующие шаги:

Запросите аттестат соответствия: Убедитесь, что провайдер имеет аттестат ФСТЭК, подтверждающий соответствие инфраструктуры требованиям безопасности персональных данных.
Проверьте документы: Ознакомьтесь с нормативно-методической документацией, подтверждающей меры по защите информации и организацию обработки персональных данных.
Узнайте о местоположении серверов: Убедитесь, что серверы провайдера расположены на территории России, что является обязательным условием для хранения персональных данных граждан РФ.
Проведите аудит безопасности: Запросите информацию о проведенных аудиторских проверках и мерах по обеспечению безопасности данных.
Проверьте наличие сертифицированных средств защиты: Убедитесь, что провайдер использует сертифицированные средства защиты информации и соблюдает требования приказа ФСТЭК №21.

Эти действия помогут убедиться в соответствии хостинг-провайдера требованиям законодательства о защите персональных данных.

Если Вы не нашли ответ на свой вопрос, перейдите в нашу базу знаний, задайте его нашим консультантам на сайте, используя онлайн-чат, или напишите запрос в поддержку, используя тикет систему.

Полезные материалы:

16 ошибок и заблуждений при работе с персональными данными Категории персональных данных ФЗ 152 Cloud4Y получила лицензию ФСБ России Облачные технологии на госслужбе