การปกป้องข้อมูลส่วนบุคคล UPP 1 วินาที ร้านค้าออนไลน์ควรมีความปลอดภัยเพียงใดสำหรับการประมวลผลข้อมูลส่วนบุคคลอย่างปลอดภัย

ได้รับการคุ้มครอง แพคเกจซอฟต์แวร์"1C: องค์กร 8.3z" (x86-64) รุ่น 64 บิต

แพ็คเกจนี้ประกอบด้วยแพลตฟอร์มเทคโนโลยี "1C:Enterprise 8.3" เวอร์ชันที่ผ่านการรับรองและชุดเอกสารประกอบ

"1C:Enterprise 8.3z" ได้รับการรับรองในระบบการรับรองความปลอดภัยของข้อมูลตามข้อกำหนดด้านความปลอดภัยของข้อมูลหมายเลข ROSS RU.0001.01BI00 และมีใบรับรองความสอดคล้องหมายเลข 3442 (ออกโดย FSTEC ของรัสเซียเมื่อวันที่ 2 กันยายน 2015) ตามใบรับรองผลิตภัณฑ์ตรงตามข้อกำหนด เอกสารคำแนะนำ"การป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต ตอนที่ 1 ซอฟต์แวร์สำหรับเครื่องมือรักษาความปลอดภัยข้อมูล การจำแนกประเภทตามระดับการควบคุมความสามารถที่ไม่ได้ประกาศ" (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย, 1999) - ตามระดับการควบคุมที่ 4, เอกสารคำแนะนำ " เทคโนโลยีคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต ตัวบ่งชี้ความปลอดภัยจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต" (คณะกรรมการเทคนิคแห่งรัฐรัสเซีย, 1992) - ตามระดับความปลอดภัย 5 เมื่อปฏิบัติตามคู่มือการใช้งานที่ให้ไว้ในส่วนที่ 12 ของแบบฟอร์มที่มาพร้อมกับผลิตภัณฑ์ .

สำเนาที่ได้รับการรับรองของแพลตฟอร์มจะมีเครื่องหมายแสดงความสอดคล้องตั้งแต่หมายเลข K 605432 ถึง K 615431

การกำหนดค่าทั้งหมดที่พัฒนาบนแพลตฟอร์ม 1C:Enterprise 8.3 (เช่น 1C:Management องค์กรการผลิต" หรือ "1C: การจัดการเงินเดือนและบุคลากร 8" ฯลฯ) สามารถใช้เพื่อสร้างระบบข้อมูลส่วนบุคคลของชั้นเรียนใดก็ได้ และไม่จำเป็นต้องมีการรับรองเพิ่มเติมสำหรับโซลูชันแอปพลิเคชัน

เป้าหมายและขั้นตอนการใช้แพ็คเกจซอฟต์แวร์รักษาความปลอดภัย "1C:Enterprise เวอร์ชัน 8.3z"

ชุดซอฟต์แวร์รักษาความปลอดภัย "1C:Enterprise เวอร์ชัน 8.3z" สามารถใช้เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลตามองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อให้มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคล ได้รับการอนุมัติตามคำสั่งของ FSTEC แห่งรัสเซียลงวันที่ 18 กุมภาพันธ์ 2556 ฉบับที่ 21 ในระบบข้อมูลส่วนบุคคลข้อมูลทุกระดับความปลอดภัย ZPK "1C:Enterprise เวอร์ชัน 8.3z" สามารถใช้ได้ทั้งในองค์กรที่เป็นผู้ดำเนินการข้อมูลส่วนบุคคลและประมวลผลข้อมูลส่วนบุคคลอย่างอิสระ และในองค์กรที่ให้บริการสำหรับการบำรุงรักษา ISPD ของผู้ให้บริการหลายราย ZPK "1C:Enterprise เวอร์ชัน 8.3z" สามารถใช้ได้ทั้งในการประมวลผลข้อมูลสำหรับนิติบุคคลหรือผู้ประกอบการรายเดียว และสำหรับกลุ่มบริษัท (โฮลดิ้ง)

ขั้นตอนการขายผลิตภัณฑ์ซอฟต์แวร์ ชุดซอฟต์แวร์ที่ปลอดภัย "1C:Enterprise เวอร์ชัน 8.3z"

การซื้อ ZPK "1C:Enterprise เวอร์ชัน 8.3z" จะได้รับอนุญาตเพิ่มเติมจากผลิตภัณฑ์ซอฟต์แวร์ที่ลงทะเบียนของระบบ 1C:Enterprise รวมถึงผลิตภัณฑ์ 1C-Joint เท่านั้น

หากผลิตภัณฑ์ที่ซื้อ ZPC "1C:Enterprise เวอร์ชัน 8.3z" ได้มีการแนะนำบริการสนับสนุนเทคโนโลยีสารสนเทศ (ITS) ที่จำเป็นแล้ว ผู้ใช้ที่ลงทะเบียนจะต้องสมัครสมาชิก ITS ณ เวลาที่ซื้อ ZPC

ชุดการส่งมอบ ZPK ประกอบด้วย:

• การกระจายแพลตฟอร์มที่ได้รับการรับรองโดยตรงบนดิสก์
• สติ๊กเกอร์ FSTEC แห่งรัสเซีย;
• แบบฟอร์มที่มีเช็คซัม
• บัตรลงทะเบียนผลิตภัณฑ์ที่ได้รับการคุ้มครอง
• ข้อกำหนด;
• คำอธิบายโปรแกรม
• คำอธิบายของแอปพลิเคชัน
• สำเนาใบรับรอง FSTEC

โปรดทราบ:

ZPK "1C:Enterprise เวอร์ชัน 8.3z" สามารถใช้ได้เฉพาะในกรณีที่คุณมีใบอนุญาตและคีย์การป้องกันที่มีอยู่ซึ่งเป็นส่วนหนึ่งของผลิตภัณฑ์ซอฟต์แวร์ 1C:Enterprise 8 ที่ซื้อก่อนหน้านี้

การใช้ ZPK "1C:Enterprise เวอร์ชัน 8.3z" ไม่จำเป็นต้องออกใบอนุญาตที่ซื้อไว้ก่อนหน้านี้อีกครั้ง

คีย์การป้องกันไม่รวมอยู่ในการจัดส่ง ZPK "1C:Enterprise เวอร์ชัน 8.3z"

ขั้นตอนการอัพเดตแพ็คเกจซอฟต์แวร์ที่ได้รับการป้องกัน

บริษัท 1C จะรับรองชุดซอฟต์แวร์ที่ออกใหม่ "1C:Enterprise เวอร์ชัน 8.3z" ที่ออกใหม่อย่างเป็นระบบ เพื่อที่จะได้รับการอัปเดตสำหรับแพลตฟอร์มที่ได้รับการรับรอง 1C จะเรียกเก็บค่าธรรมเนียมการบำรุงรักษารายปี

มีวิธีการรับการอัปเดตดังต่อไปนี้: สมัครสมาชิกด้วยตนเองเป็นเวลา 6 หรือ 12 เดือนบนเว็บไซต์ http://www.online.1c.ru เพื่อรับการอัปเดตใน แบบฟอร์มอิเล็กทรอนิกส์(ข้อมูลจะถูกโพสต์บนเว็บไซต์เมื่อมีการอัพเดท);

ไม่มีค่าบริการเป็นเวลาหนึ่งปี (ปีแรก) นับจากวันที่จัดส่งแพลตฟอร์มที่ได้รับการรับรองจากคลังสินค้า 1C

ชุดเนื้อหาการอัปเดตจะรวมข้อมูลล่าสุดเกี่ยวกับการจัดระเบียบการปกป้องข้อมูลส่วนบุคคล คู่มือระเบียบวิธีและคำอธิบาย

ค่าใช้จ่ายในการสมัครสมาชิกแบบชำระเงิน: การอัปเดต ZPK "1C: Enterprise 8.3z" (การสมัครสมาชิกออนไลน์) เป็นเวลา 6 เดือนและ 12 เดือนสามารถตรวจสอบกับผู้จัดการขององค์กรของเราได้

หากมีการแนะนำบริการสนับสนุนเทคโนโลยีสารสนเทศ (ITS) ที่จำเป็นสำหรับผลิตภัณฑ์ที่ซื้อ ZPC ผู้ใช้ที่ลงทะเบียนจะต้องสมัครสมาชิก ITS ในขณะที่ซื้อการอัปเดต ZPC "1C:Enterprise เวอร์ชัน 8.3z" .

เมื่อวันที่ 1 กรกฎาคม 2017 การแก้ไขมาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียมีผลใช้บังคับ โดยค่าปรับสำหรับการละเมิดกฎหมายในด้านข้อมูลส่วนบุคคล (PD) เพิ่มขึ้นอย่างมีนัยสำคัญ

เมื่อซื้อสินค้าในร้านค้าออนไลน์ ผู้ซื้อจะทิ้งข้อมูลบางอย่างเกี่ยวกับตนเอง - ชื่อนามสกุล ที่อยู่จัดส่ง และข้อมูลติดต่ออื่น ๆ ดังนั้นเจ้าของร้านค้าออนไลน์ควรศึกษาปัญหานี้อย่างรอบคอบและปฏิบัติตามข้อกำหนด กฎหมายของรัฐบาลกลางลงวันที่ 27 กรกฎาคม 2549 เลขที่ 152-FZ “เกี่ยวกับข้อมูลส่วนบุคคล” เมื่อทำการซื้อขายบนอินเทอร์เน็ต

เราจะแจ้งให้คุณทราบว่าเครื่องบันทึกเงินสดรุ่นใดจากแค็ตตาล็อกของเราที่เหมาะกับธุรกิจของคุณ

สิ่งที่ใช้กับข้อมูลส่วนบุคคลของบุคคลที่เป็นผู้เยี่ยมชมร้านค้าออนไลน์

ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลใดบุคคลหนึ่งหรืออนุญาตให้ระบุตัวตนได้ (ข้อ 1 มาตรา 3 ของกฎหมาย “เกี่ยวกับข้อมูลส่วนบุคคล” หมายเลข 152-FZ)

ในบริบทของการจัดระเบียบงานของร้านค้าออนไลน์ โดยหลักการแล้วข้อมูลส่วนบุคคลอาจรวมถึงคุกกี้ที่ใช้โดยเฉพาะเพื่อปรับแต่งข้อเสนอผลิตภัณฑ์ให้กับผู้ใช้เฉพาะราย มีกรณีของศาลที่ยืนยันการจัดประเภทของไฟล์ดังกล่าวเป็นข้อมูลส่วนบุคคล - ตัวอย่างเช่น คำตัดสิน ศาลอนุญาโตตุลาการกรุงมอสโก ลงวันที่ 11 มีนาคม 2559 กรณีหมายเลข A40-14902/2016-84-126 11.

ข้อมูลส่วนบุคคลอาจเป็น:

• ประมวลผล;
• ทั่วไป;
• เปลี่ยน;
• ให้กับบุคคลบางคน (เปิดเผย);
• ลบแล้ว

การดำเนินการเหล่านี้ดำเนินการโดยผู้ดำเนินการข้อมูลส่วนบุคคล อาจเป็นบุคคล องค์กร หรือหน่วยงานของรัฐหรือเทศบาลก็ได้ รวมถึงร้านค้าออนไลน์ที่ก่อตั้งโดยบุคคล (IP) หรือเป็นเจ้าของโดยนิติบุคคลด้วย

ดังนั้นในการเป็นผู้ดำเนินการข้อมูลส่วนบุคคล ร้านค้าออนไลน์จึงจำเป็นต้องปฏิบัติตามบรรทัดฐานของกฎหมายหมายเลข 152-FZ แต่จะได้รับสถานะดังกล่าวในกรณีใดบ้าง?

ในการรับสถานะผู้ดำเนินการข้อมูลส่วนบุคคล องค์กรธุรกิจจำเป็นต้องดำเนินการตามขั้นตอนใด ๆ ที่มีลักษณะเฉพาะในการประมวลผลให้เสร็จสิ้น โดยเฉพาะ:

• ของสะสม;
• การบันทึก;
• การจัดระบบ;
• การสะสม;
• ชี้แจง;
• แอปพลิเคชัน;
• การแพร่กระจาย

นั่นคือได้ดำเนินการอย่างน้อยขั้นตอนแรก - การรวบรวมข้อมูล (ในทางปฏิบัติ - รับจากลูกค้าผ่านแบบฟอร์มออนไลน์) ร้านค้าออนไลน์จะกลายเป็นผู้ดำเนินการและมีภาระผูกพันที่จะต้องปฏิบัติตามบทบัญญัติของกฎหมายฉบับที่ 152 -ฟซ.

ส่วนที่แยกต่างหากของความสัมพันธ์ทางกฎหมายที่จำเป็นต้องปฏิบัติตามกฎหมายว่าด้วยข้อมูลส่วนบุคคลคือการโต้ตอบของร้านค้าออนไลน์ในฐานะนายจ้างและพนักงาน (ทำงานทั้งจากระยะไกลและในแผนกออฟไลน์ของร้านค้าออนไลน์) อย่างไรก็ตาม โดยทั่วไปแล้ว ความสัมพันธ์ทางกฎหมายดังกล่าวจะดำเนินการในเขตอำนาจศาลของบรรทัดฐานทางกฎหมายที่เกี่ยวข้องกับปฏิสัมพันธ์ของนายจ้างและลูกจ้าง (ทางไกลหรือออฟไลน์) ไม่ว่าพวกเขาจะทำกิจกรรมประเภทใดก็ตาม

ในทางกลับกันการแลกเปลี่ยนข้อมูลโดยเฉพาะระหว่างร้านค้าออนไลน์และลูกค้าจะแยกจากกันและในความเป็นจริงไม่ซ้ำใคร - ในแง่ของการใช้บรรทัดฐานของกฎหมายหมายเลข 152-FZ ซึ่งเป็นส่วนของความสัมพันธ์ทางกฎหมายที่ธุรกิจ กิจการมีสิทธิและภาระผูกพันที่หลากหลายตามกฎหมาย

เรามาดูรายละเอียดกันดีกว่าว่าร้านค้าออนไลน์ต้องปฏิบัติตามภาระหน้าที่ใดบ้างที่เกี่ยวข้องกับความจำเป็นในการปฏิบัติตามบทบัญญัติของกฎหมายหมายเลข 152-FZ

สมัครสมาชิกช่องของเราใน Yandex Zen - เครื่องบันทึกเงินสดออนไลน์ !
เป็นคนแรกที่ได้รับข่าวสารที่ร้อนแรงที่สุดและเคล็ดลับชีวิต!

ร้านค้าออนไลน์ต้องทำอย่างไรเพื่อให้เป็นไปตามข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 152-FZ

ความรับผิดชอบหลักของผู้ดำเนินการข้อมูลส่วนบุคคล (และร้านค้าออนไลน์ก็ไม่มีข้อยกเว้น) คือการปฏิบัติตามขั้นตอนในการประมวลผล สภาพหลัก ของคำสั่งนี้- ได้รับความยินยอมจากเรื่องของข้อมูลส่วนบุคคล (นั่นคือผู้ซื้อ) สำหรับการประมวลผลดังกล่าว

ความยินยอมดังกล่าวสามารถรับได้ในรูปแบบที่เชื่อถือได้ (ข้อ 1 มาตรา 9 ของกฎหมายหมายเลข 152-FZ) แต่ในกรณีที่กฎหมายกำหนด ต้องได้รับความยินยอมเป็นลายลักษณ์อักษร - นั่นคือบนกระดาษหรือใช้เอกสารอิเล็กทรอนิกส์ที่รับรองโดยลายเซ็นอิเล็กทรอนิกส์ (ข้อ 4 ของมาตรา 9 ของกฎหมายหมายเลข 152-FZ)

การซื้อสินค้าในร้านค้าออนไลน์ไม่ได้จัดประเภทโดยตรงตามกฎหมายว่าเป็นการดำเนินการที่ต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจากเรื่องของข้อมูลส่วนบุคคล ดังนั้น โดยหลักการแล้ว การได้รับความยินยอมดังกล่าวจึงเป็นไปได้ไม่ว่าจะในรูปแบบใดก็ตาม ซึ่งอย่างไรก็ตาม ควรทำให้สามารถรับรองข้อเท็จจริงของการอนุมัติโดยบุคคลในการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ปฏิบัติงานได้อย่างชัดเจน

หน้าที่ต่อไปของผู้ดำเนินการข้อมูลส่วนบุคคลคือการดำเนินการเพื่อให้บรรลุถึงสิทธิทางกฎหมายของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเรากำลังพูดถึงสิทธิ:

• เพื่อยืนยันว่าร้านค้าออนไลน์ได้รับ PD และเริ่มดำเนินการแล้ว
• เพื่อรับข้อมูลเกี่ยวกับวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล
• เพื่อทำความคุ้นเคยกับบุคคล (ไม่รวมบุคคลที่ทำงานในเจ้าหน้าที่ของผู้ปฏิบัติงาน) ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล)

ความรับผิดชอบที่สำคัญอื่นๆ ของผู้ดำเนินการข้อมูลส่วนบุคคล ได้แก่ การรักษาความลับของข้อมูล หากลูกค้าของร้านค้าออนไลน์ไม่ให้ความยินยอมในการเผยแพร่ข้อมูลของเขาให้กับบุคคลอื่น องค์กรธุรกิจจะไม่มีสิทธิ์ทำเช่นนี้ - หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 7 ของกฎหมายหมายเลข 152-FZ) . ในเวลาเดียวกัน แม้ว่าจะได้รับความยินยอม ร้านค้าออนไลน์เองก็รับผิดชอบต่อการกระทำของบุคคลที่สามที่ได้รับข้อมูลส่วนบุคคลของลูกค้าของร้านค้าออนไลน์ (ข้อ 5 ของมาตรา 6 ของกฎหมายหมายเลข 152-FZ)

ความแตกต่างที่สำคัญที่บ่งบอกถึงการประมวลผลข้อมูลส่วนบุคคลคือ ภาระผูกพันของผู้ดำเนินการในการวางข้อมูลบนเซิร์ฟเวอร์ที่ตั้งอยู่ในรัสเซีย- เว้นแต่กฎหมายจะระบุไว้เป็นอย่างอื่น (ข้อ 5 ของข้อ 18 ของกฎหมายหมายเลข 152-FZ) ร้านค้าออนไลน์ของรัสเซียไม่อยู่ภายใต้ข้อยกเว้น ดังนั้นจึงต้องปฏิบัติตามหลักนิติธรรมนี้

อีกประเด็นหนึ่งคือความจำเป็นที่ผู้ดำเนินการข้อมูลส่วนบุคคลต้องส่งการแจ้งเตือนว่ากำลังประมวลผลไปยัง Roskomnadzor ตามคำแนะนำในวรรค 1 ของศิลปะ กฎหมายฉบับที่ 22 ฉบับที่ 152-FZ โดยทั่วไปจำเป็นต้องมีการแจ้งเตือนดังกล่าว แต่บทบัญญัติของมาตรา 2 แห่งมาตรา มาตรา 22 ของกฎหมายหมายเลข 152-FZ กำหนดให้มีข้อยกเว้นหลายประการสำหรับกฎนี้

โดยเฉพาะย่อย 2 น. 2 ศิลปะ กฎหมายฉบับที่ 22 ฉบับที่ 152-FZ ระบุว่าผู้ประกอบการมีสิทธิ์ที่จะไม่ส่งการแจ้งเตือนเมื่อดำเนินการข้อตกลงที่ได้ข้อสรุปเกี่ยวกับข้อมูลส่วนบุคคล และโดยมีเงื่อนไขว่าข้อมูลส่วนบุคคลจะไม่ถูกถ่ายโอนไปยังบุคคลที่สามโดยไม่ได้รับความยินยอมจากบุคคลนั้น ข้อตกลงการซื้อและการขายที่ทำขึ้นระหว่างร้านค้าและผู้ซื้ออยู่ภายใต้เกณฑ์ดังกล่าวโดยสมบูรณ์ ดังนั้นในกรณีทั่วไป ร้านค้าออนไลน์ไม่จำเป็นต้องส่งการแจ้งเตือนที่เป็นปัญหาเมื่อมีการโต้ตอบกับลูกค้า (แต่อาจมีข้อยกเว้นสำหรับกฎนี้ - เราจะพิจารณาในภายหลังในบทความ)

ดังนั้นความรับผิดชอบหลักของผู้ดำเนินการข้อมูลส่วนบุคคลคือ:

• เพื่อรับความยินยอมในการประมวลผล;
• เพื่อรับรองความลับของข้อมูลส่วนบุคคล
• เพื่อตอบสนองข้อกำหนดทางกฎหมายอื่น ๆ (โดยการวางตำแหน่ง PD ในดินแดนของรัสเซีย, การปฏิบัติตามคำขอจากอาสาสมัคร PD เกี่ยวกับวิธีการใช้งาน)

เรามาศึกษารายละเอียดเพิ่มเติมว่าร้านค้าออนไลน์สามารถปฏิบัติตามความรับผิดชอบเหล่านี้ในทางเทคนิคได้อย่างไร

เครื่องบันทึกเงินสดออนไลน์สำหรับธุรกิจทุกประเภท! จัดส่งทั่วรัสเซีย

ฝากคำขอและรับคำปรึกษาภายใน 5 นาที

วิธีขอรับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลผ่านทางอินเทอร์เน็ต

ดังนั้น เนื่องจากกฎหมายไม่ได้กำหนดข้อกำหนดสำหรับการได้รับความยินยอมเป็นลายลักษณ์อักษรในการประมวลผลข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับกิจกรรมของร้านค้าออนไลน์ ดังนั้นจึงสามารถรับความยินยอมดังกล่าวได้ด้วยวิธีที่เชื่อถือได้ แต่อันไหนกันแน่?

ตัวเลือกที่เป็นไปได้คือ:

1. เมื่อร้านค้าออนไลน์ขอข้อมูลส่วนบุคคลผ่านแบบฟอร์มการสั่งซื้อ

ในกรณีนี้ สามารถขอรับความยินยอมในการประมวลผลข้อมูลได้โดยการตั้งค่าเงื่อนไขในการส่งข้อมูลคำสั่งผ่านแบบฟอร์มที่เป็นไปได้เฉพาะเมื่อมีการวางเครื่องหมาย (หรือองค์ประกอบแบบฟอร์มอื่นที่ทำหน้าที่คล้ายกัน) ตรงข้ามกับบรรทัดที่มีข้อความเช่น " ฉันตกลงที่จะประมวลผลข้อมูลส่วนบุคคลที่ส่งไปยังผู้ให้บริการผ่านแบบฟอร์มนี้”

ความยินยอมมักจะสะท้อนถึง:

• วัตถุประสงค์ในการจัดเตรียมเอกสารแก่ผู้ประกอบการ (ในกรณีของร้านค้าออนไลน์ - สำหรับการจัดส่งสินค้าและวัตถุประสงค์อื่น ๆ ที่กำหนดโดยขั้นตอนการซื้อและการขาย)
• รายชื่อ PD ที่โอนไปยังผู้ปฏิบัติงาน
• ข้อกำหนดและขั้นตอนการจัดเก็บ PD
• ขั้นตอนการถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม (เช่น บริการจัดส่งสินค้า)

ในกรณีนี้ คุณควรแนบลิงก์ถัดจากช่องทำเครื่องหมายและลิงก์ไปยังการยินยอม เอกสารพิเศษซึ่งอธิบายรายละเอียดขั้นตอนการประมวลผลข้อมูลส่วนบุคคลโดยร้านค้าออนไลน์ตามกฎหมายหมายเลข 152-FZ - นโยบายความเป็นส่วนตัว สามารถออกเป็นสิ่งที่แนบมากับแบบฟอร์มการสั่งซื้อได้ คำอธิบายของลิงค์ควรมีข้อความที่อาจฟังดูเหมือน “ฉันได้อ่านเอกสารแนบในแบบฟอร์มนี้แล้ว ซึ่งสะท้อนถึงขั้นตอนการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย”

นโยบายความเป็นส่วนตัวเป็นเอกสารที่ต้องเผยแพร่ใน การเข้าถึงสาธารณะ- นอกจากนี้ยังถือได้ว่าเป็นส่วนหนึ่งของท้องถิ่น กรอบการกำกับดูแลองค์กรที่สร้างร้านค้าออนไลน์ พนักงานขององค์กรธุรกิจจึงต้องปฏิบัติตามนโยบายที่ได้รับอนุมัติ

นโยบายนี้มักจะรวมถึง:

• บทบัญญัติทั่วไป
• ข้อความที่สะท้อนถึงวัตถุประสงค์ในการรวบรวม PD โดยหน่วยงานทางเศรษฐกิจ
• ข้อกำหนดบนพื้นฐานของกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคล
• การจำแนกประเภท PD ที่ใช้ ขั้นตอนและเงื่อนไขในการทำงาน
• ขั้นตอนในการรับรองการดำเนินการตามข้อมูลส่วนบุคคลของสิทธิที่กำหนดโดยกฎหมาย

นโยบายนี้สามารถสะท้อนถึง:

• ร้านค้าออนไลน์รับรองสิทธิ์ของผู้ใช้ในการขอข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลได้อย่างไร
• วิธีการจัดระเบียบการจัดเก็บข้อมูล (ในกรณีนี้สามารถให้ข้อมูลที่ทำให้สามารถสร้างความจริงที่ว่าเซิร์ฟเวอร์ที่มี PD ของลูกค้าตั้งอยู่ในรัสเซีย)

1. เมื่อร้านค้าออนไลน์ร้องขอข้อมูลส่วนบุคคลผ่านแบบฟอร์มการส่งจดหมายโฆษณา (การสมัครสมาชิกเนื้อหาเฉพาะเรื่องจากเว็บไซต์ - ตัวอย่างเช่น หนังสือเล่มเล็กพร้อมส่วนลด รหัสส่งเสริมการขาย)

การรวบรวมข้อมูลส่วนบุคคลที่นี่สามารถดำเนินการได้ตามรูปแบบที่คล้ายกัน - โดยใช้ช่องทำเครื่องหมายถัดจากรายการ "ฉันยอมรับ" ไฟล์ยินยอม และลิงก์ไปยังนโยบายความเป็นส่วนตัวพร้อมข้อความที่สะท้อนถึงความจริงที่ว่าผู้ซื้อร้านค้าออนไลน์ ได้อ่านนโยบายแล้ว

ในบรรดาผู้เชี่ยวชาญด้านไอทีและผู้เชี่ยวชาญในสาขากฎหมายข้อมูลส่วนบุคคลมีมุมมองที่กว้างขวางซึ่งการได้รับความยินยอมจากบุคคลในการประมวลผลข้อมูลส่วนบุคคลควรดำเนินการในโหมดที่เกี่ยวข้องกับการสร้าง "ความน่าเชื่อถือที่เพิ่มขึ้น" ในการแสดงออกของเขา ของพินัยกรรม โครงการทั่วไปที่ใช้ช่องทำเครื่องหมายพร้อมความยินยอมและลิงก์ไปยังนโยบายความเป็นส่วนตัวนั้นได้รับการพิจารณาโดยผู้เชี่ยวชาญดังกล่าวจากตำแหน่งที่สำคัญ - และต้องบอกว่าไม่ใช่เรื่องไร้เหตุผล เนื่องจากตามที่ผู้เชี่ยวชาญกล่าวไว้:

• ช่องทำเครื่องหมายอาจถูกเลือกโดยไม่ตั้งใจ
• แบบฟอร์มออนไลน์อาจโหลดโดยมีข้อผิดพลาด - หรือไม่มีลิงก์ไปยังนโยบายความเป็นส่วนตัว โดยไม่มีเครื่องหมายถูกหรือข้อความประกอบ
• ผู้ใช้สามารถกรอกข้อมูลส่วนบุคคลของบุคคลอื่นลงในแบบฟอร์มโดยไม่ตั้งใจหรือโดยเจตนา

โดยคำนึงถึงความแตกต่างเหล่านี้ จึงเสนอให้เสริมระบบภายใต้การพิจารณา - ในขณะที่ยังคงองค์ประกอบหลักไว้ในรูปแบบของเครื่องหมายถูก ความยินยอม และลิงก์ไปยังนโยบายความเป็นส่วนตัว พร้อมกลไกในการรับความยินยอมรอง ตัวเลือกในการจัดระเบียบกลไกดังกล่าวในกรณีของร้านค้าออนไลน์อาจเป็น:

1. การลงทะเบียนผู้ใช้บังคับก่อนตัดสินใจซื้อ

การลงทะเบียนดังกล่าวเกี่ยวข้องกับการกรอกแบบฟอร์มเดียวกันกับเครื่องหมายถูก ความยินยอม และลิงก์ไปยังนโยบายความเป็นส่วนตัว ซึ่งร้านค้าออนไลน์จะส่งไปยังผู้ใช้ที่ระบุในเวลาต่อมา จดหมายอีเมลพร้อมการยืนยันการลงทะเบียน (และในเวลาเดียวกันเพื่อรับรองข้อเท็จจริงของการให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลและความคุ้นเคยกับนโยบายความเป็นส่วนตัว)

ในกรณีนี้ แบบฟอร์มต้องมีการระบุการเข้าสู่ระบบและรหัสผ่าน ซึ่งผู้ใช้จะใช้เพื่อเข้าสู่ระบบบัญชีของเขาบนเว็บไซต์ร้านค้าออนไลน์ในภายหลัง

หากผู้ใช้ไม่ยืนยันการลงทะเบียนทางจดหมาย ความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจะไม่ถือว่าได้รับ (แต่ในขณะเดียวกันจะถือว่าผู้ใช้ถูกขอให้อ่านนโยบายความเป็นส่วนตัว)

ร้านค้าสามารถใช้วิธีการที่ได้รับการพิจารณาในการขอความยินยอมในการประมวลผลข้อมูลด้วย "ความน่าเชื่อถือที่เพิ่มขึ้น" เพื่อวัตถุประสงค์ทางการตลาด คุณสามารถแจ้งให้เขาทราบเกี่ยวกับส่วนลดและโปรโมชั่นต่าง ๆ แลกเปลี่ยนข้อความกับเขาและแก้ไขปัญหาอื่น ๆ โดยทั่วไปสำหรับการโต้ตอบระหว่างผู้ขายและผู้ซื้อผ่านบัญชีส่วนตัวของผู้ซื้อ

1. การยืนยันคำสั่งซื้อแยกต่างหากทางอีเมล (ไม่มี การลงทะเบียนบังคับบัญชีบนเว็บไซต์ร้านค้าออนไลน์)

โดยหลักการแล้วอัลกอริทึมสำหรับการยืนยันดังกล่าวจะคล้ายกับขั้นตอนการลงทะเบียนบัญชีของผู้ซื้อ ยกเว้นการใช้ข้อมูลเข้าสู่ระบบและรหัสผ่านของผู้ใช้ ในกรณีนี้ จะมีการยืนยันตามจริงเพื่อจุดประสงค์เดียวในการได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคล และเพื่อยืนยันว่าบุคคลดังกล่าวได้ทำความคุ้นเคยกับข้อเสนอในการอ่านนโยบายความเป็นส่วนตัวแล้ว

งานใหญ่ถัดไปของร้านค้าออนไลน์คือการรักษาความลับของข้อมูลส่วนบุคคลในทางปฏิบัติ

1. ถามคำถามจากผู้เชี่ยวชาญของเราในตอนท้ายของบทความ
2. รับคำแนะนำโดยละเอียดและคำอธิบายความแตกต่างโดยละเอียด!
3. หรือค้นหาคำตอบสำเร็จรูปในความคิดเห็นของผู้อ่านของเรา

ร้านค้าออนไลน์จะรับประกันการรักษาความลับของข้อมูลส่วนบุคคลได้อย่างไร

ตามวรรค 1 ของศิลปะ ตามมาตรา 18.1 ของกฎหมายหมายเลข 152-FZ ผู้ดำเนินการข้อมูลส่วนบุคคลต้องใช้มาตรการที่เพียงพอเพื่อปฏิบัติตามภาระผูกพันที่กฎหมายกำหนดไว้ ในเวลาเดียวกัน ผู้ปฏิบัติงานจะกำหนดรายการมาตรการที่เหมาะสมโดยอิสระ - เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น

ก่อนอื่นเลย เรากำลังพูดถึงมาตรการที่ออกแบบมาเพื่อรับรองการรักษาความลับของข้อมูลส่วนบุคคล นั่นคือ:

• ป้องกันการเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาตให้อ่าน PD ที่เกี่ยวข้อง
• การป้องกันการใช้โดยไม่ได้รับอนุญาต การดัดแปลง การแจกจ่าย PD
• สร้างความมั่นใจในการปกป้องข้อมูลส่วนบุคคลที่จำเป็นจากภัยคุกคามทางไซเบอร์ การดัดแปลง การแจกจ่าย และการทำธุรกรรมอื่น ๆ ที่ไม่ได้รับอนุญาตกับข้อมูลส่วนบุคคลเนื่องจากความล้มเหลวทางเทคนิค

กฎหมายเสนอมาตรการต่อไปนี้เพื่อแก้ไขปัญหาเหล่านี้:

1. การแต่งตั้งโดยผู้ดำเนินการซึ่งมีสถานะเป็นนิติบุคคลของพนักงานที่รับผิดชอบ - ผู้จัดการประมวลผลข้อมูลส่วนบุคคลในองค์กร

1. พัฒนาโดยผู้ดำเนินการตามกฎข้อบังคับท้องถิ่นที่ควบคุมขั้นตอนการประมวลผลข้อมูลส่วนบุคคลตามข้อกำหนดทางกฎหมาย

1. แอปพลิเคชัน วิธีการทางเทคนิคเพื่อให้แน่ใจว่ามีการป้องกัน PD

1. การดำเนินการควบคุมภายในของขั้นตอนต่างๆ ภายในกรอบการประมวลผล PD

1. ดำเนินการประเมินอันตรายที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคลอันเป็นผลมาจากการละเมิดกฎหมายว่าด้วยการประมวลผลข้อมูลส่วนบุคคลและขจัดผลที่ตามมาของการละเมิดดังกล่าว

1. ดำเนินการ งานที่จำเป็นร่วมกับพนักงานเพื่อพัฒนาระดับความรู้ในด้านการคุ้มครองข้อมูลส่วนบุคคล

ตามหลักการเปรียบเทียบทางกฎหมาย กฎเหล่านี้ทั้งหมดมีผลบังคับใช้ในส่วนที่เกี่ยวข้องกับ ผู้ประกอบการแต่ละรายผู้นำการขายออนไลน์ รวมถึงหากผู้ประกอบการแต่ละรายทำงานอย่างอิสระโดยไม่เกี่ยวข้องกับพนักงาน เขาอาจมีพนักงานไม่ทางใดก็ทางหนึ่ง และเมื่อถึงเวลานั้นเขาควรมีกฎระเบียบท้องถิ่นที่ถูกต้องซึ่งควบคุมองค์กรในการประมวลผลข้อมูลส่วนบุคคล

คุณควรรู้ว่าตามวรรค 4 ของศิลปะ ตามมาตรา 18.1 ของกฎหมายหมายเลข 152-FZ เอกสารเหล่านั้นที่ร้านค้าออนไลน์ต้องออกโดยเป็นส่วนหนึ่งของการดำเนินการตามคำแนะนำข้างต้นและคำแนะนำอาจได้รับการร้องขอจาก Roskomnadzor เมื่อดำเนินการตรวจสอบองค์กรธุรกิจ

ไม่ทางใดก็ทางหนึ่ง มาตรการที่มุ่งสร้างความมั่นใจว่าผู้ดำเนินการข้อมูลส่วนบุคคลปฏิบัติตามข้อกำหนดของกฎหมาย (โดยหลักแล้วในแง่ของการรับประกันการรักษาความลับของข้อมูลส่วนบุคคล) สามารถแบ่งออกเป็น 2 กลุ่ม:

• องค์กร (โดยพื้นฐานและถูกกฎหมาย);
• เทคนิค

มาตรการขององค์กร (กฎหมาย) ส่วนใหญ่เกี่ยวข้องกับกฎระเบียบด้านเอกสารเกี่ยวกับการใช้กลไกการโต้ตอบเหล่านี้ระหว่างร้านค้าออนไลน์ (แสดงโดยเจ้าของหรือพนักงานของเขา) กับผู้ซื้อ

โปรดทราบว่าเมื่อมีการใช้มาตรการขององค์กรและกฎหมาย คาดว่าจะพัฒนา

ข้อตกลงการซื้อและการขาย (ข้อเสนอ) ระหว่างร้านค้าและผู้ซื้อบนพื้นฐานของความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ออกในรูปแบบอื่นที่ไม่ใช่ลายลักษณ์อักษร - โดยใช้เครื่องหมายถูกในแบบฟอร์มคำสั่งซื้อและลิงก์ไปยังนโยบายความเป็นส่วนตัว .

มาตรการทางเทคนิคสามารถนำเสนอได้หลากหลาย - มาดูรายละเอียดเพิ่มเติมกัน

การสนับสนุนทางเทคนิคของอุปกรณ์ เราจะแก้ปัญหาใดๆ!

ฝากคำขอและรับคำปรึกษาภายใน 5 นาที

ด้านเทคนิคในการรับรองความลับของ PD คืออะไร

แหล่งที่มาหลักของบรรทัดฐานทางกฎหมายที่ต้องปฏิบัติตามเมื่อแก้ไขปัญหาทางเทคนิคเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลเป็นความลับคือบทบัญญัติของศิลปะ กฎหมายฉบับที่ 19 ฉบับที่ 152-FZ

โดยเฉพาะอย่างยิ่งระบุไว้ว่าการรับรองความปลอดภัยของข้อมูลส่วนบุคคลสามารถทำได้ผ่าน:

1. การสร้างภัยคุกคามต่อความปลอดภัยของข้อมูลโดยเป็นส่วนหนึ่งของการประมวลผลโดยใช้ระบบข้อมูล.

ในทางปฏิบัติ การดำเนินการตามมาตรการดังกล่าวเกี่ยวข้องกับการใช้โปรแกรมป้องกันไวรัสและโซลูชันเสริมต่างๆ ซึ่งควรจะนำไปใช้ในระบบการจัดการไซต์ โซลูชันดังกล่าวได้รับการออกแบบมาเพื่อตรวจจับความพยายามของแฮกเกอร์ในการเข้าถึงข้อมูลส่วนบุคคลที่รวบรวมโดยอัตโนมัติหรือด้วยตนเองโดยไม่ได้รับอนุญาตโดยใช้แบบฟอร์มคำสั่งซื้อบนเว็บไซต์หรือจัดเก็บไว้ในเซิร์ฟเวอร์ที่ดูแลโดยร้านค้าออนไลน์

1. การใช้วิธีทางเทคนิคเพื่อเพิ่มระดับความปลอดภัยของข้อมูลส่วนบุคคล.

ก่อนอื่นเรากำลังพูดถึงเครื่องมือเข้ารหัสข้อมูลต่างๆ - ดังนั้นเมื่อเข้าถึงเครื่องมือเหล่านี้จะถูกนำเสนอในรูปแบบที่การอ่านโดยไม่ต้องถอดรหัสในภายหลังนั้นเป็นไปไม่ได้ โดยมีเงื่อนไขว่าการถอดรหัสจะต้องได้รับอนุญาตจากร้านค้าออนไลน์

1. การใช้วิธีทางเทคนิคเพื่อกู้คืนข้อมูลส่วนบุคคลที่ถูกลบ เสียหาย หรือแก้ไขโดยไม่ได้รับอนุญาต

ที่นี่เราสามารถพูดคุยเกี่ยวกับโซลูชันที่ใช้เพื่อวัตถุประสงค์ดังต่อไปนี้:

• การทำสำเนาข้อมูลส่วนบุคคลในกรณีที่ถูกลบออกจากสื่อดั้งเดิม (ความเสียหายหรือการดัดแปลง)
• ในความเป็นจริงแล้ว การกู้คืนข้อมูลที่ถูกลบ (เสียหายหรือแก้ไข) จากสื่อที่มีอยู่

1. การใช้วิธีทางเทคนิคเพื่อแยกความแตกต่างการเข้าถึง (กำหนดระดับการเข้าถึง) ข้อมูลส่วนบุคคล ขึ้นอยู่กับสถานะของบุคคลที่มีอำนาจในการประมวลผลข้อมูลส่วนบุคคล

ตัวอย่างเช่น ผู้จัดการของร้านค้าออนไลน์สามารถเข้าถึงได้เฉพาะข้อมูลติดต่อของผู้ซื้อเท่านั้น (เพื่อติดต่อเขาในกรณีที่มีคำถามใดๆ) และผู้จัดการฝ่ายจัดส่งก็สามารถเข้าถึงที่อยู่ได้เช่นกัน หรือ - อันแรกอาจมีสิทธิ์อ่านผู้ติดต่อเท่านั้นและอันที่สอง - เพื่อเปลี่ยนแปลง

1. การใช้ระบบควบคุมกับบุคคลที่ประมวลผลข้อมูลส่วนบุคคล.

แท้จริงแล้ว กฎระเบียบในท้องถิ่นเพียงอย่างเดียวไม่เพียงพอที่จะรับประกันการรักษาความลับของข้อมูลส่วนบุคคล - จำเป็นต้องมีกลไกในการติดตามการดำเนินการ วิธีแก้ปัญหาอาจแตกต่างกันมากตั้งแต่การตรวจสอบการกระทำของพนักงานเฉพาะของร้านค้าออนไลน์ไปจนถึงการแนะนำเครื่องมือสำหรับการวิเคราะห์ปริมาณการใช้ข้อมูลอย่างต่อเนื่องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

ระบบข้อมูลควรมีความปลอดภัยเพียงใดในการประมวลผลข้อมูลส่วนบุคคลนั้นพิจารณาจากอันตรายที่อาจเกิดขึ้นกับระบบอันเนื่องมาจากอิทธิพลของภัยคุกคามทั่วไป รายการภัยคุกคามและข้อกำหนดดังกล่าวสำหรับความปลอดภัยของระบบซึ่งสอดคล้องกับระดับของภัยคุกคามได้กำหนดไว้ในพระราชกฤษฎีกาของรัฐบาลรัสเซียลงวันที่ 1 พฤศจิกายน 2555 ฉบับที่ 1119

มาดูพวกเขากันดีกว่า

ร้านค้าออนไลน์ควรมีความปลอดภัยเพียงใดสำหรับการประมวลผลข้อมูลส่วนบุคคลอย่างปลอดภัย

เพื่อกำหนดมาตรการเฉพาะที่จำเป็นเพื่อให้แน่ใจว่าระดับการปกป้องข้อมูลส่วนบุคคลที่จำเป็น เจ้าของร้านค้าออนไลน์ควรใช้ตารางในภาคผนวกขององค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิค ซึ่งได้รับการอนุมัติโดยหมายเลขคำสั่งซื้อ 21.

โปรดทราบว่า รายการนี้ข้อกังวลประการแรกคือความแตกต่างของบุคลากรแบบเดียวกันในการจัดการงานของร้านค้าออนไลน์ แต่แม้ว่าเจ้าของจะเป็นผู้ประกอบการรายบุคคลที่ทำงานโดยไม่มีพนักงาน โดยเฉพาะอย่างยิ่งเพื่อให้มั่นใจในการปกป้องข้อมูลส่วนบุคคลของลูกค้าอย่างน้อยในระดับ 1 เขาจะต้อง:

• ใช้วิธีการระบุตัวตนและการรับรองความถูกต้องของผู้ใช้
• จัดการบัญชีผู้ใช้
• ควบคุมการเข้าถึงเซิร์ฟเวอร์ที่ PD ตั้งอยู่
• ใช้โปรแกรมป้องกันไวรัส
• ระบุเหตุการณ์ที่เกี่ยวข้องกับการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต

แน่นอนว่าเป็นการสมควรที่จะมอบหมายส่วนสำคัญของงานดังกล่าวให้กับผู้ประกอบการแต่ละราย (และนิติบุคคลด้วย) ให้กับพันธมิตรบุคคลที่สาม - ตัวอย่างเช่นเจ้าของโฮสติ้งที่เว็บไซต์ร้านค้าออนไลน์ ตั้งอยู่ แต่การโอนอำนาจดังกล่าวจะต้องได้รับการคุ้มครองอย่างถูกต้องตามกฎหมายโดยใช้ข้อตกลงโดยละเอียดที่แบ่งแยกความรับผิดชอบของร้านค้าออนไลน์และพันธมิตรอย่างถูกต้องทำให้มั่นใจในการปกป้องข้อมูลส่วนบุคคลของลูกค้าตามกฎหมาย

ในทางปฏิบัติ ระบบการจัดการเว็บไซต์ CMS สมัยใหม่จำนวนมากมีฟังก์ชันการทำงานที่จำเป็นเพื่อให้แน่ใจว่าการทำงานของร้านค้าออนไลน์เป็นไปตามข้อกำหนดข้างต้นที่เกี่ยวข้องกับการสร้างระดับความปลอดภัยสำหรับการประมวลผลข้อมูลส่วนบุคคล

แต่แน่นอนว่าในหลายกรณีจำเป็นต้องมีการแก้ไขและเพิ่มเติม ตามกฎแล้ว ผู้ให้บริการโซลูชั่นการจัดการเว็บไซต์และบริการโฮสติ้งรายใหญ่ที่สุดพยายามนำเสนอผลิตภัณฑ์ที่ตรงตามข้อกำหนดที่กำหนดโดยกฎหมายฉบับที่ 152 และมาตรฐานของแผนกให้แก่ลูกค้าได้ดีที่สุด อย่างไรก็ตาม เมื่อเลือกระบบ CMS เฉพาะ เป็นความคิดที่ดีเสมอที่จะขอคำแนะนำจากผู้เชี่ยวชาญเพิ่มเติมเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

สิ่งเหล่านี้เป็นความแตกต่างหลักที่แสดงถึงการปฏิบัติตามข้อกำหนดของกฎหมายหมายเลข 152-FZ ของร้านค้าออนไลน์และการดำเนินการทางกฎหมายที่เกี่ยวข้องกับการมีปฏิสัมพันธ์กับผู้ซื้อสินค้า อย่างไรก็ตาม การโต้ตอบดังกล่าวสามารถเกิดขึ้นได้ในบริบททางกฎหมายอื่นๆ เช่นกัน โดยเฉพาะสะท้อนให้เห็นถึงการชำระหนี้ระหว่างร้านค้าและผู้ซื้อโดยใช้ ประเภทนวัตกรรมคสช

ดังที่เราได้กล่าวไว้แล้วในตอนต้นของบทความ ตามกฎหมายหมายเลข 152-FZ ข้อมูลส่วนบุคคลรวมถึงข้อมูลใด ๆ ที่อาจเกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลใดบุคคลหนึ่ง (หรือระบุตัวบุคคล) แน่นอนว่า อย่างน้อยที่สุด อีเมลหรือโทรศัพท์อาจเป็นตัวระบุทางอ้อมได้

ส่วนอีเมล์ก็จะมีรูปแบบดังนี้ [ป้องกันอีเมล]และในกรณีมีการรั่วไหลดังกล่าว ที่อยู่อีเมลจากฐานข้อมูลของร้านค้าออนไลน์ บุคคลที่สามสามารถเข้าใจได้อย่างง่ายดายว่าการซื้อสินค้าในร้านนั้นดำเนินการโดย Stepan Petrov ซึ่งเกิดในปี 1976 ในกรุงมอสโก และศึกษาอยู่ที่มหาวิทยาลัยแมสซาชูเซตส์

การใช้โทรศัพท์จะซับซ้อนกว่า แต่ถ้าคุณต้องการ คุณสามารถนับว่าเป็นตัวระบุทางอ้อมได้ เช่น ผู้ที่ได้รับหมายเลขจากร้านค้าออนไลน์โดยไม่ได้รับอนุญาตสามารถโทรไปและแนะนำตัวเองว่าเป็นบุคคลจาก บริการจัดส่งขอให้สมาชิกระบุชื่อเต็มและที่อยู่สำหรับจัดส่ง - แต่ในความเป็นจริงแล้วต้องออกจดหมายโฆษณาที่ล่วงล้ำ

ดังนั้นแม้ว่าตามกฎหมายหมายเลข 54-FZ ซึ่งควบคุมการใช้เครื่องบันทึกเงินสดออนไลน์ ผู้ซื้อร้านค้าออนไลน์จะออกจากผู้ติดต่อเพื่อรับเช็คโดยสมัครใจ แต่เรากำลังพูดถึงการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ขาย

นี่หมายความว่าการดำเนินการกับข้อมูลดังกล่าวจะอยู่ภายใต้ข้อกำหนดเดียวกันกับที่กำหนดลักษณะของการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ หรือไม่

โปรดทราบว่าข้อกำหนดบางประการเหล่านี้ยังคงมีความเกี่ยวข้อง ตัวอย่างเช่น ร้านค้าออนไลน์ที่ชำระเงินผ่านเครื่องบันทึกเงินสดออนไลน์ จำเป็นต้อง:

• รับประกันสิทธิของผู้ซื้อในการรับข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
• รับประกันการรักษาความลับของข้อมูล
• ปฏิบัติตามข้อกำหนดอื่น ๆ ของกฎหมายหมายเลข 152-FZ (โดยเฉพาะเกี่ยวกับการวางข้อมูลส่วนบุคคลบนเซิร์ฟเวอร์รัสเซีย)

สิ่งที่สำคัญที่สุดคือข้อกำหนดดังกล่าวจะไม่รวมถึงการได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคล

ความจริงก็คือว่าในวรรค 1 ของศิลปะ มาตรา 6 ของกฎหมายหมายเลข 152-FZ แสดงรายการข้อยกเว้นหลายประการสำหรับกฎเกี่ยวกับความจำเป็นในการได้รับความยินยอม ข้อยกเว้นดังกล่าวรวมถึงการประมวลผลข้อมูลภายในกรอบการปฏิบัติงานของผู้ปฏิบัติงานตามหน้าที่และหน้าที่ที่ได้รับมอบหมายตามกฎหมาย หน้าที่และความรับผิดชอบดังกล่าวของร้านค้าออนไลน์รวมถึงข้อกำหนดของกฎหมายหมายเลข 54-FZ - ในการจัดทำ ใบเสร็จรับเงินเมื่อชำระเงินให้กับลูกค้า

ดังนั้นร้านค้าออนไลน์จึงไม่จำเป็นต้องขอความยินยอมจากผู้ซื้อในการรับอีเมลและหมายเลขโทรศัพท์ - เป็นข้อมูลส่วนบุคคลประเภทหนึ่ง

แน่นอนว่าไม่มีอุปสรรคทางกฎหมายในการขอความยินยอมจากผู้ซื้อในการประมวลผลข้อมูลส่วนบุคคลที่ให้ไว้ทางอีเมลและโทรศัพท์ ในเวลาเดียวกันกับการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ นั่นคือในคำยินยอมซึ่งดาวน์โหลดเมื่อยืนยันแบบฟอร์มคำสั่งซื้อ และในนโยบายข้อมูลส่วนบุคคลที่แนบมาด้วย จะแสดงได้ว่าร้านค้าออนไลน์จะใช้ข้อมูลส่วนหนึ่ง - อีเมลและหมายเลขโทรศัพท์ของผู้ซื้อ - เพื่อให้เป็นไปตามบทบัญญัติของกฎหมายหมายเลข 54-FZ นั่นคือเพื่อส่งใบเสร็จรับเงินอิเล็กทรอนิกส์ให้กับผู้ซื้อ

แต่ขั้นตอนนี้หากพูดอย่างเคร่งครัดนั้นเป็นทางเลือกจากมุมมองของกฎหมาย - แม้ว่าจะไม่ซับซ้อนเลยก็ตาม

ในเวลาเดียวกัน ผู้ขายควรจำไว้ว่าการได้รับข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามบทบัญญัติของกฎหมายหมายเลข 54-FZ ไม่อยู่ภายใต้ข้อยกเว้นที่กำหนดไว้ในวรรค 2 ของศิลปะ กฎหมายหมายเลข 22 ฉบับที่ 152-FZ - กฎหมายที่เกี่ยวข้องกับภาระผูกพันในการแจ้ง Roskomnadzor เกี่ยวกับการรับข้อมูลส่วนบุคคล นั่นคือ - เมื่อรับชำระเงินออนไลน์ จะต้องส่งการแจ้งเตือนดังกล่าว- แผนกที่ได้รับการแจ้งเตือนจากร้านค้าออนไลน์จะเข้าสู่การลงทะเบียนของผู้ให้บริการข้อมูลส่วนบุคคล

ประกาศจะต้องระบุ:

1. ชื่อของเอกสารคือ “ประกาศเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล”

1. ชื่อของผู้ดำเนินการ ที่อยู่ตามกฎหมาย

1. พื้นฐานทางกฎหมาย วัตถุประสงค์ของการประมวลผลข้อมูล

1. ประเภทของข้อมูลที่ประมวลผล

1. ประเภทของบุคคลที่กลายเป็นข้อมูลส่วนบุคคล

1. วิธีการประมวลผลข้อมูล

1. มาตรการเพื่อความปลอดภัยของการประมวลผลข้อมูล

1. ข้อมูลเกี่ยวกับตำแหน่งของเซิร์ฟเวอร์ที่ข้อมูลส่วนบุคคลถูกเก็บไว้

1. วันที่เริ่มการประมวลผลข้อมูล

1. เงื่อนไขในการยุติการประมวลผลข้อมูล

โดยให้ระบุชื่อเต็มและตำแหน่งของผู้แจ้ง เขาระบุวันที่ร่างเอกสารและลงนาม

ดังนั้นกฎหมายจึงกำหนดภาระผูกพันที่น่าประทับใจให้กับเจ้าของร้านค้าออนไลน์ และการลงโทษสำหรับการไม่ปฏิบัติตามนั้นค่อนข้างร้ายแรง มาศึกษาพวกเขากันดีกว่า

ความรับผิดและค่าปรับใหม่

สำหรับการละเมิดข้อกำหนดทางกฎหมายสำหรับ ปัญหานี้มีบทลงโทษดังต่อไปนี้:

1. ค่าปรับทางปกครอง.

รายการหลักของพวกเขาถูกกำหนดไว้ในมาตรา. 13.11 ประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย แต่บางส่วนมีการสะกดไว้ในบทความที่เกี่ยวข้องของหลักจรรยาบรรณนี้

ค่าปรับโดยทั่วไปได้แก่:

• สำหรับการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของ - มากถึง 20,000 รูเบิลต่อ เจ้าหน้าที่และผู้ประกอบการรายบุคคลมากถึง 75,000 รูเบิล - สำหรับ นิติบุคคล(มาตรา 13.11 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)
• สำหรับการปฏิเสธที่จะให้ข้อมูลแก่บุคคลว่าเขามีสิทธิ์ที่จะทำความคุ้นเคยตามกฎหมาย - มากถึง 10,000 รูเบิลสำหรับเจ้าหน้าที่และผู้ประกอบการแต่ละราย (มาตรา 5.39 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)
• สำหรับการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมาย (ไม่ได้ระบุไว้สำหรับวัตถุประสงค์ที่กำหนด) - มากถึง 10,000 รูเบิลสำหรับเจ้าหน้าที่และผู้ประกอบการแต่ละราย มากถึง 50,000 รูเบิลสำหรับนิติบุคคล (มาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)
• ในกรณีที่ไม่มีนโยบายการรักษาความลับที่เผยแพร่ - มากถึง 6,000 รูเบิลสำหรับเจ้าหน้าที่สำหรับผู้ประกอบการแต่ละราย - มากถึง 10,000 รูเบิลสำหรับนิติบุคคล - มากถึง 30,000 รูเบิล (มาตรา 13.11 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย) ;
• สำหรับการปฏิเสธที่จะทำความคุ้นเคยกับบุคคลกับข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของเขา - มากถึง 6,000 รูเบิลสำหรับเจ้าหน้าที่, มากถึง 15,000 รูเบิลสำหรับผู้ประกอบการแต่ละราย, มากถึง 40,000 รูเบิลสำหรับนิติบุคคล (มาตรา 13.11 ของประมวลกฎหมายปกครอง ของสหพันธรัฐรัสเซีย)

1. ความรับผิดทางอาญา.

ตามมาตรา. ประมวลกฎหมายอาญามาตรา 137 ของสหพันธรัฐรัสเซีย การรวบรวมข้อมูลส่วนบุคคลอย่างผิดกฎหมายซึ่งถือเป็นความลับส่วนบุคคลของพลเมือง อาจนำไปสู่การปรับสูงถึง 200,000 รูเบิล หรือการกำหนดแรงงานราชทัณฑ์ การตัดสิทธิ์ หรือจำคุกสูงสุด 2 ปี

1. กำหนดไว้ในกระบวนพิจารณาคดีแพ่ง.

ที่นี่เราสามารถพูดคุยเกี่ยวกับการลงโทษต่างๆ ได้ แต่โดยทั่วไปได้แก่:

• ภาระผูกพันในการชดเชยความสูญเสียที่เกิดขึ้นกับเรื่อง PD อันเป็นผลมาจากการละเมิดบทบัญญัติของกฎหมายหมายเลข 152-FZ ของผู้ดำเนินการ
• ภาระผูกพันในการชดเชยความเสียหายทางศีลธรรมในเรื่องของข้อมูลส่วนบุคคล

ไม่ทางใดก็ทางหนึ่งเป็นไปได้มากว่าหากร้านค้าออนไลน์ละเมิดบรรทัดฐานของกฎหมายหมายเลข 152-FZ การลงโทษทางปกครองจะถูกนำมาใช้กับร้านค้านั้น ในเวลาเดียวกันควรระลึกไว้เสมอว่าสิ่งที่เข้มงวดที่สุด - โดยเฉพาะอย่างยิ่งค่าปรับสำหรับการไม่ได้รับความยินยอมในการประมวลผลข้อมูล (มากถึง 75,000 รูเบิล) จะถูกนำไปใช้ในกรณีที่ละเมิดข้อกำหนดสำหรับการยินยอมเป็นลายลักษณ์อักษร เพื่อการประมวลผลข้อมูลส่วนบุคคล หากได้รับอนุญาตให้ได้รับความยินยอมในรูปแบบที่เชื่อถือได้ใด ๆ หากไม่ได้รับความยินยอมดังกล่าวจะมีการลงโทษในรูปแบบของค่าปรับสำหรับการประมวลผลข้อมูลที่ผิดกฎหมาย (มากถึง 50,000 รูเบิล)

มีความเป็นไปได้ที่จะมีการบังคับใช้มาตรการคว่ำบาตรทางการบริหารเพิ่มเติมจำนวนหนึ่งกับผู้ประกอบการ ตัวอย่างเช่น:

• ในรูปแบบของค่าปรับสำหรับการไม่ปฏิบัติตามข้อกำหนดการปกป้องข้อมูล - มากถึง 2,000 รูเบิลสำหรับเจ้าหน้าที่และผู้ประกอบการรายบุคคล, มากถึง 15,000 รูเบิลสำหรับนิติบุคคล (มาตรา 13.12 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)
• ในรูปแบบของค่าปรับสำหรับการไม่แจ้ง Roskomnadzor - มากถึง 500 รูเบิลสำหรับเจ้าหน้าที่และผู้ประกอบการแต่ละรายสูงถึง 5,000 รูเบิลสำหรับนิติบุคคล (มาตรา 19.7 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย)

ในทางทฤษฎีแล้ว เป็นไปได้ที่จะบล็อกเว็บไซต์ของร้านค้าออนไลน์ตามคำตัดสินของศาล ตัวอย่างเช่น หากเขาอนุญาตให้มีการเผยแพร่ข้อมูลส่วนบุคคลของลูกค้าอย่างผิดกฎหมายโดยไม่ได้รับความยินยอมจากพวกเขาในการตรวจสอบการซื้อ

ขึ้นอยู่กับการละเมิดเฉพาะและขอบเขตของความสัมพันธ์ทางกฎหมายที่มีการละเมิดเกิดขึ้น การลงโทษต่างๆ อาจเริ่มต้นขึ้นกับผู้ดำเนินการข้อมูลส่วนบุคคล

ความปลอดภัยของข้อมูลเช่นเดียวกับการปกป้องข้อมูล เป็นงานที่ซับซ้อนที่มีจุดมุ่งหมายเพื่อสร้างความมั่นใจในความปลอดภัย ซึ่งดำเนินการโดยการนำระบบรักษาความปลอดภัยไปใช้ ปัญหาความปลอดภัยของข้อมูลมีหลายแง่มุมและซับซ้อน และครอบคลุมงานที่สำคัญจำนวนหนึ่ง

ปัญหา ความปลอดภัยของข้อมูลรุนแรงขึ้นอย่างต่อเนื่องโดยการแทรกซึมของวิธีทางเทคนิคในการประมวลผลข้อมูลและการส่งผ่านไปยังทุกส่วนของสังคม ปัญหานี้รุนแรงโดยเฉพาะอย่างยิ่งในด้านระบบบัญชีการเงิน ระบบที่ได้รับความนิยมมากที่สุด การบัญชี, การจัดการการขาย, กระบวนการ CRM ในรัสเซียเป็นระบบ 1C Enterprise

พิจารณาภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นเมื่อใช้โปรแกรม 1C

	การใช้ 1C กับฐานข้อมูลในรูปแบบไฟล์ฐานข้อมูลไฟล์ 1C มีความเสี่ยงต่อผลกระทบทางกายภาพมากที่สุด นี่เป็นเพราะคุณสมบัติทางสถาปัตยกรรมของฐานข้อมูลประเภทนี้ - ความจำเป็นในการเปิดไฟล์การกำหนดค่าทั้งหมด (พร้อมการเข้าถึงแบบเต็ม) และฐานข้อมูลไฟล์สำหรับผู้ใช้ระบบปฏิบัติการทุกคน เป็นผลให้ผู้ใช้ที่มีสิทธิ์ทำงานในฐานข้อมูลไฟล์ 1C ในทางทฤษฎีสามารถคัดลอกหรือลบฐานข้อมูลข้อมูล 1C ได้ด้วยการคลิกเมาส์สองครั้ง
	การใช้ 1C กับฐานข้อมูลในรูปแบบ DBMSปัญหาประเภทนี้เกิดขึ้นหากใช้ DBMS (PosgreSQL, MS SQL) เป็นที่เก็บข้อมูลสำหรับฐานข้อมูล 1C และเซิร์ฟเวอร์ 1C ขององค์กรใช้เป็นบริการสื่อสารระดับกลางระหว่าง 1C และ DBMS นี่คือตัวอย่าง - หลายบริษัทฝึกปรับเปลี่ยนการกำหนดค่า 1C เพื่อให้เหมาะกับความต้องการของพวกเขา ในกระบวนการปรับแต่ง ในเงื่อนไขของโครงการ "ยุ่งยาก" การทดสอบฟังก์ชันใหม่ที่ได้รับการปรับปรุงอย่างต่อเนื่อง ผู้เชี่ยวชาญที่รับผิดชอบมักจะละเลยกฎความปลอดภัยของเครือข่าย เป็นผลให้บุคคลบางคนที่สามารถเข้าถึงฐานข้อมูล DBMS โดยตรงหรือมีสิทธิ์ของผู้ดูแลระบบบนเซิร์ฟเวอร์ 1C Enterprise แม้ในช่วงทดสอบชั่วคราวก็สามารถสร้างสำเนาสำรองไปยังทรัพยากรภายนอกหรือลบฐานข้อมูลใน DBMS ได้อย่างสมบูรณ์
	ความเปิดกว้างและการเข้าถึงอุปกรณ์เซิร์ฟเวอร์หากมีการเข้าถึงอุปกรณ์เซิร์ฟเวอร์โดยไม่ได้รับอนุญาต พนักงานของบริษัทหรือบุคคลที่สามจะสามารถใช้การเข้าถึงนี้เพื่อขโมยหรือสร้างความเสียหายให้กับข้อมูลได้ พูดง่ายๆ ก็คือ หากผู้โจมตีเข้าถึงเนื้อหาและคอนโซลของเซิร์ฟเวอร์ 1c ได้โดยตรง ขอบเขตความสามารถของเขาก็จะขยายเป็นสิบเท่า
	ความเสี่ยงจากการโจรกรรมและการรั่วไหลของข้อมูลส่วนบุคคลในที่นี้ ภัยคุกคามต่อความปลอดภัยของข้อมูลส่วนบุคคลในปัจจุบันถือเป็นชุดของเงื่อนไขและปัจจัยที่ก่อให้เกิดอันตรายในปัจจุบันจากการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต รวมถึงอุบัติเหตุในการเข้าถึงข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูล เช่น โดยพนักงานที่รับผิดชอบ พีซี ผู้ปฏิบัติงาน แผนกบัญชี ฯลฯ ซึ่งอาจส่งผลให้เกิดการทำลาย ดัดแปลง บล็อค คัดลอก จัดเตรียม แจกจ่ายข้อมูลส่วนบุคคล ตลอดจนการกระทำที่ผิดกฎหมายอื่น ๆ ของผู้รับผิดชอบ
	ความปลอดภัยของเครือข่ายระบบข้อมูลองค์กรที่สร้างขึ้นโดยละเมิด GOST ข้อกำหนดด้านความปลอดภัย คำแนะนำ หรือขาดการสนับสนุนด้านไอทีที่เหมาะสม เต็มไปด้วยช่องโหว่ ไวรัส สปายแวร์ และแบ็คดอร์จำนวนมาก ( การเข้าถึงโดยไม่ได้รับอนุญาตไปยังเครือข่ายภายใน) ซึ่งส่งผลโดยตรงต่อความปลอดภัยของข้อมูลองค์กรใน 1C สิ่งนี้นำไปสู่ เข้าถึงได้ง่ายผู้โจมตีข้อมูลสำคัญทางการค้า ตัวอย่างเช่น ผู้โจมตีสามารถใช้การเข้าถึงสำเนาสำรองได้ฟรี และไม่มีรหัสผ่านสำหรับการเก็บถาวรที่มีสำเนาสำรองเพื่อผลประโยชน์ส่วนตัว ไม่ต้องพูดถึงความเสียหายเบื้องต้นต่อฐานข้อมูล 1C จากกิจกรรมของไวรัส
	ความสัมพันธ์ระหว่าง 1C กับวัตถุภายนอกภัยคุกคามที่อาจเกิดขึ้นอีกประการหนึ่งคือความต้องการ (และบางครั้งก็พิเศษ คุณลักษณะทางการตลาด) ฐานข้อมูลการบัญชี 1C เพื่อสื่อสารกับ "โลกภายนอก" การอัพโหลด/ดาวน์โหลดธนาคารลูกค้า การแลกเปลี่ยนข้อมูลกับสาขา การซิงโครไนซ์กับเว็บไซต์ของบริษัท พอร์ทัล โปรแกรมการรายงานอื่นๆ การจัดการลูกค้าและการขาย และอื่นๆ อีกมากมาย เนื่องจากไม่สนับสนุนการปฏิบัติตาม 1C ในด้านมาตรฐานความปลอดภัยและการแลกเปลี่ยนข้อมูลเครือข่ายที่สม่ำเสมอ การรั่วไหลจึงค่อนข้างเกิดขึ้นจริง ณ จุดใดก็ได้ตลอดเส้นทาง อันเป็นผลมาจากความจำเป็นในการปรับปรุงกระบวนการอัตโนมัติที่ไม่ได้มาตรฐานหรือการตัดงบประมาณสำหรับมาตรการที่จำเป็นเพื่อปกป้องการรับส่งข้อมูล ระบบบัญชีจำนวนช่องโหว่ ช่องโหว่ การเชื่อมต่อที่ไม่ปลอดภัย พอร์ตที่เปิดอยู่ ไฟล์แลกเปลี่ยนที่ไม่ได้เข้ารหัสที่เข้าถึงได้ง่าย ฯลฯ เพิ่มขึ้นทันที คุณสามารถจินตนาการได้อย่างปลอดภัยว่าสิ่งนี้จะนำไปสู่อะไร - จากการปิดใช้งานฐานข้อมูล 1C เบื้องต้นในช่วงระยะเวลาหนึ่งไปจนถึงการปลอมแปลงคำสั่งจ่ายเงินหลายล้าน

สามารถเสนออะไรเพื่อแก้ไขปัญหาดังกล่าวได้?

1. เมื่อทำงานกับฐานข้อมูลไฟล์ 1Cมีความจำเป็นที่จะต้องใช้มาตรการหลายประการเพื่อรับรองความปลอดภัยของฐาน:

• การใช้ข้อจำกัดการเข้าถึง NTFS ให้สิทธิ์ที่จำเป็นแก่ผู้ใช้ที่ทำงานกับฐานข้อมูลนี้เท่านั้น ดังนั้นจึงปกป้องฐานข้อมูลจากการโจรกรรมหรือความเสียหายโดยพนักงานหรือผู้โจมตีที่ไร้ยางอาย
• ใช้การอนุญาต Windows เสมอเพื่อเข้าสู่ระบบเวิร์กสเตชันของผู้ใช้และเข้าถึงทรัพยากรเครือข่าย
• ใช้ดิสก์ที่เข้ารหัสหรือโฟลเดอร์ที่เข้ารหัสซึ่งจะช่วยให้คุณสามารถบันทึกข้อมูลที่เป็นความลับแม้ว่าคุณจะลบฐานข้อมูล 1C ออกก็ตาม
• กำหนดนโยบายการล็อกหน้าจออัตโนมัติ พร้อมทั้งจัดการฝึกอบรมผู้ใช้เพื่ออธิบายความจำเป็นในการล็อกโปรไฟล์
• ความแตกต่างของสิทธิ์การเข้าถึงในระดับ 1C จะอนุญาตให้ผู้ใช้เข้าถึงเฉพาะข้อมูลที่พวกเขามีสิทธิ์ที่เหมาะสมเท่านั้น
• จำเป็นต้องอนุญาตให้เปิดตัวตัวกำหนดค่า 1C สำหรับพนักงานที่ต้องการเท่านั้น

2. เมื่อทำงานกับฐานข้อมูล DBMS 1Cโปรดใส่ใจกับคำแนะนำต่อไปนี้:

• ไม่ควรมีข้อมูลประจำตัวสำหรับการเชื่อมต่อกับ DBMS สิทธิ์ในการบริหาร;
• จำเป็นต้องแยกแยะสิทธิ์การเข้าถึงฐานข้อมูล DBMS เช่น สร้างของตัวเองสำหรับแต่ละฐานข้อมูล บัญชีซึ่งจะช่วยลดการสูญเสียข้อมูลหากบัญชีใดบัญชีหนึ่งถูกแฮ็ก
• ขอแนะนำให้จำกัดทางกายภาพและ การเข้าถึงระยะไกลไปยังเซิร์ฟเวอร์ฐานข้อมูลและองค์กร 1C
• ขอแนะนำให้ใช้การเข้ารหัสสำหรับฐานข้อมูล ซึ่งจะบันทึกข้อมูลที่เป็นความลับแม้ว่าผู้โจมตีจะสามารถเข้าถึงไฟล์ DBMS ได้ก็ตาม
• นอกจากนี้ หนึ่งในการตัดสินใจที่สำคัญคือการเข้ารหัสหรือการตั้งรหัสผ่าน การสำรองข้อมูลข้อมูล;
• จำเป็นต้องสร้างผู้ดูแลระบบสำหรับคลัสเตอร์ 1C เช่นเดียวกับเซิร์ฟเวอร์ 1C เนื่องจากโดยค่าเริ่มต้น หากไม่ได้สร้างผู้ใช้ การเข้าถึงแบบเต็ม ฐานข้อมูลผู้ใช้ระบบทุกคนอย่างแน่นอน

3. ข้อกำหนดในการรับรองความปลอดภัยทางกายภาพของอุปกรณ์เซิร์ฟเวอร์:
(ตาม GOST R ISO/IEC TO – 13335)

• การเข้าถึงพื้นที่ที่มีการประมวลผลหรือจัดเก็บข้อมูลที่ละเอียดอ่อนจะต้องได้รับการควบคุมและจำกัดเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
• การควบคุมการรับรองความถูกต้อง เช่น การ์ดควบคุมการเข้าถึงพร้อมหมายเลขประจำตัวส่วนบุคคล ต้องใช้เพื่ออนุญาตและยืนยันการเข้าถึงใดๆ
• เส้นทางการตรวจสอบของการเข้าถึงทั้งหมดจะต้องถูกเก็บไว้ในสถานที่ที่ปลอดภัย
• เจ้าหน้าที่สนับสนุนบุคคลที่สามควรได้รับการจำกัดการเข้าถึงพื้นที่รักษาความปลอดภัยหรือสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลที่ละเอียดอ่อนเมื่อจำเป็นเท่านั้น
• การเข้าถึงนี้จะต้องได้รับอนุญาตและตรวจสอบตลอดเวลา
• สิทธิ์การเข้าถึงพื้นที่รักษาความปลอดภัยควรได้รับการตรวจสอบและปรับปรุงเป็นประจำ และเพิกถอนหากจำเป็น
• ต้องคำนึงถึงกฎระเบียบและมาตรฐานด้านความปลอดภัยและสุขภาพที่เกี่ยวข้องด้วย
• สิ่งอำนวยความสะดวกที่สำคัญควรตั้งอยู่เพื่อป้องกันการเข้าถึงโดยประชาชนทั่วไป
• หากเป็นไปได้ อาคารและห้องต่างๆ ควรจะดูไม่สุภาพและควรระบุจุดประสงค์ให้น้อยที่สุด โดยไม่มีป้ายที่โดดเด่นทั้งภายนอกหรือภายในอาคาร ซึ่งบ่งชี้ว่ามีกิจกรรมการประมวลผลข้อมูลอยู่
• ป้ายและสมุดโทรศัพท์ภายในที่ระบุตำแหน่งของสถานที่ประมวลผลข้อมูลที่ละเอียดอ่อนไม่ควรเปิดเผยต่อสาธารณะทั่วไป

4. การรักษาความลับของข้อมูลส่วนบุคคลเป้าหมายหลักในการจัดระเบียบการปกป้องข้อมูลส่วนบุคคลคือการต่อต้านภัยคุกคามปัจจุบันในระบบข้อมูลตามที่กำหนดไว้ กฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล" , รายการ มาตรฐานของรัฐและข้อกำหนดของการรับรองความปลอดภัยด้านไอทีระดับสากล (GOST R ISO/IEC 13335 2-5, ISO 27001) - สิ่งนี้สามารถทำได้โดยการจำกัดการเข้าถึงข้อมูลตามประเภทของมัน การจำกัดการเข้าถึงข้อมูลตามบทบาทของผู้ใช้ จัดโครงสร้างกระบวนการประมวลผลและการจัดเก็บข้อมูล
นี่คือประเด็นสำคัญบางประการ:

• การประมวลผลข้อมูลส่วนบุคคลจะต้องจำกัดให้บรรลุผลตามวัตถุประสงค์เฉพาะ ที่กำหนดไว้ล่วงหน้า และถูกต้องตามกฎหมาย
• การยินยอมให้ประมวลผลข้อมูลส่วนบุคคลจะต้องมีความเฉพาะเจาะจง รับทราบ และมีสติ
• ไม่อนุญาตให้ประมวลผลข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
• เฉพาะข้อมูลส่วนบุคคลที่ตรงตามวัตถุประสงค์ของการประมวลผลเท่านั้นที่จะถูกประมวลผล
• ผู้ประกอบการและบุคคลอื่นที่สามารถเข้าถึงข้อมูลส่วนบุคคลมีหน้าที่ต้องไม่เปิดเผยต่อบุคคลที่สามหรือแจกจ่ายข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากข้อมูลส่วนบุคคล เว้นแต่จะกำหนดไว้เป็นอย่างอื่นโดยกฎหมายของรัฐบาลกลาง
• อุปกรณ์ถ่ายภาพ วีดิทัศน์ เสียง หรืออุปกรณ์บันทึกอื่น ๆ เช่น กล้องถ่ายรูป อุปกรณ์เคลื่อนที่ไม่ควรได้รับอนุญาตเว้นแต่จะได้รับอนุญาต
• ไดรฟ์สื่อแบบถอดได้ควรได้รับอนุญาตเฉพาะเมื่อมี ความจำเป็นในการผลิต;
• เพื่อให้แน่ใจว่าข้อมูลที่เป็นความลับจะไม่ถูกเปลี่ยนแปลง กระดาษและสื่ออิเล็กทรอนิกส์จะต้องเก็บไว้ในตู้ที่ล็อคอย่างเหมาะสมและ/หรือเฟอร์นิเจอร์ที่ปลอดภัยอื่นๆ เมื่อไม่ได้ใช้งาน โดยเฉพาะอย่างยิ่งในช่วงเวลานอกเวลาทำงาน
• สื่อที่มีข้อมูลกรรมสิทธิ์ที่สำคัญหรือละเอียดอ่อนควรเก็บและล็อคไว้ (เช่น ในตู้นิรภัยหรือตู้กันไฟ) เมื่อไม่จำเป็น โดยเฉพาะอย่างยิ่งเมื่อพื้นที่ว่าง

5. ความปลอดภัยของเครือข่ายคือชุดข้อกำหนดสำหรับโครงสร้างพื้นฐาน เครือข่ายคอมพิวเตอร์นโยบายองค์กรและการทำงานในนั้นการดำเนินการที่รับประกันการป้องกัน ทรัพยากรเครือข่ายจากการเข้าถึงโดยไม่ได้รับอนุญาต นอกเหนือจากการดำเนินการพื้นฐานแล้ว คุณสามารถพิจารณาคุณสมบัติต่อไปนี้ซึ่งเป็นส่วนหนึ่งของการดำเนินการที่แนะนำสำหรับการจัดระเบียบและรับรองความปลอดภัยของเครือข่าย:

• ประการแรก บริษัทจะต้องปฏิบัติตามกฎระเบียบด้านความปลอดภัยของข้อมูลแบบครบวงจรพร้อมคำแนะนำที่เหมาะสม
• ผู้ใช้ควรถูกปฏิเสธการเข้าถึงไซต์ที่ไม่พึงประสงค์ รวมถึงบริการโฮสต์ไฟล์ ให้มากที่สุด
• เฉพาะพอร์ตที่จำเป็นสำหรับการทำงานที่ถูกต้องของผู้ใช้เท่านั้นที่ควรเปิดจากเครือข่ายภายนอก
• จะต้องมีระบบสำหรับการตรวจสอบการกระทำของผู้ใช้อย่างครอบคลุมและการแจ้งเตือนการละเมิดสถานะปกติของทรัพยากรที่เปิดเผยต่อสาธารณะทั้งหมดโดยทันทีซึ่งการดำเนินงานเป็นสิ่งสำคัญสำหรับบริษัท
• ความพร้อมใช้งานของระบบป้องกันไวรัสแบบรวมศูนย์และนโยบายการทำความสะอาดและการลบ มัลแวร์;
• ความพร้อมใช้งานของระบบรวมศูนย์สำหรับการจัดการและอัปเดตซอฟต์แวร์ป้องกันไวรัส รวมถึงนโยบายสำหรับการอัปเดตระบบปฏิบัติการตามปกติ
• ความสามารถในการเรียกใช้สื่อแฟลชแบบถอดได้ควรถูกจำกัดให้มากที่สุด
• รหัสผ่านต้องมีความยาวอย่างน้อย 8 ตัวอักษร ประกอบด้วยตัวเลข และตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก
• ต้องมีการป้องกันและการเข้ารหัสโฟลเดอร์การแลกเปลี่ยนข้อมูลสำคัญ โดยเฉพาะไฟล์แลกเปลี่ยน 1c และระบบลูกค้าธนาคาร
• สายไฟและสายสื่อสารทางไกลที่รวมอยู่ในสิ่งอำนวยความสะดวกในการประมวลผลข้อมูลควรอยู่ใต้ดินหากเป็นไปได้หรืออยู่ภายใต้การป้องกันทางเลือกที่เพียงพอ
• สายเคเบิลเครือข่ายต้องได้รับการปกป้องจากการดักฟังหรือความเสียหายโดยไม่ได้รับอนุญาต เช่น โดยการใช้ท่อร้อยสายหรือการหลีกเลี่ยงเส้นทางผ่านพื้นที่สาธารณะที่เข้าถึงได้

โดยสรุปทั้งหมดข้างต้น ฉันอยากจะทราบว่ากฎหลักในการปกป้องข้อมูลคือการจำกัดสิทธิ์และความสามารถของผู้ใช้ตลอดจนการควบคุมเมื่อใช้ระบบข้อมูล ยิ่งผู้ใช้มีสิทธิ์น้อยลงเมื่อทำงานกับระบบข้อมูล โอกาสที่ข้อมูลจะรั่วไหลหรือเสียหายเนื่องจากเจตนาร้ายหรือความประมาทก็น้อยลง

โซลูชันที่ครอบคลุมสำหรับการปกป้องข้อมูลองค์กร รวมถึงฐานข้อมูล 1C คือโซลูชัน "เซิร์ฟเวอร์ในอิสราเอล" ซึ่งมีเครื่องมือที่ทันสมัยเพื่อให้มั่นใจถึงการรักษาความลับของข้อมูลในระดับสูง

บูรณาการระบบ การให้คำปรึกษา

ไม่นานมานี้กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" หมายเลข 152-FZ วันที่ 26 กรกฎาคม 2549 มีผลบังคับใช้ในประเทศของเรา บริษัทหลายแห่งที่ทำงานกับข้อมูลของพนักงานหรือข้อมูลของลูกค้ามีความกังวลเกี่ยวกับปัญหาการปฏิบัติตามกฎระเบียบของตน ระบบสารสนเทศข้อมูลส่วนบุคคล (ISPDn) ตามข้อกำหนดของกฎหมายและหน่วยงานกำกับดูแล (FSTEK, FSB, Roskomnadzor) อันที่จริงสำหรับการละเมิดกฎหมายตามมาตรา 24: “บุคคลที่มีความผิดในการละเมิดข้อกำหนดของกฎหมายของรัฐบาลกลางนี้จะต้องรับโทษทางแพ่ง ทางอาญา การบริหาร วินัย และโทษอื่น ๆ ตามที่กฎหมายกำหนด” สหพันธรัฐรัสเซียความรับผิดชอบ".

152-FZ ใช้กับองค์กรของฉันหรือไม่

บ่อยครั้งที่ผู้จัดการบริษัทพูดว่า: “ใช่ เรารู้ว่ากฎหมายมีผลบังคับใช้แล้ว แต่เราไม่ใช่ผู้ดำเนินการข้อมูล เราไม่ได้ทำงานกับหนังสือเดินทางและข้อมูลทางการเงิน” บุคคลเราทำงานกับข้อมูลของลูกค้านิติบุคคลของเราเท่านั้น” แต่แม้ว่าคุณจะไม่มีลูกค้ารายบุคคล คุณก็ประมวลผลข้อมูลของพนักงานของคุณซึ่งข้อมูลหนังสือเดินทางถูกจัดเก็บไว้ เช่น ในโปรแกรม 1C ข้อมูลนี้ได้รับการคุ้มครองอย่างไร?

สิ่งที่ต้องปฏิบัติตามกฎหมาย

เพื่อให้ ISPD เป็นไปตามข้อกำหนดของ 152-FZ องค์กรจำเป็นต้องดำเนินกิจกรรมหลายประการ: - การสำรวจองค์กรในเรื่องการทำงานกับข้อมูลส่วนบุคคล; - การจำแนกประเภท ISPDn; - การพัฒนารูปแบบภัยคุกคามสำหรับการละเมิดความปลอดภัยของข้อมูล - การสร้างข้อกำหนดเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคล - การออกแบบระบบปกป้องข้อมูล - การใช้ระบบปกป้องข้อมูล - การรับรองหรือประกาศการปฏิบัติตาม ISPD

วิธีแก้ไข: ได้รับการป้องกัน 1Cz บนเซิร์ฟเวอร์เฉพาะ

ตามแนวโน้มของตลาดและความสนใจที่เพิ่มขึ้นของบริษัทต่างๆ ในการปกป้องข้อมูลส่วนบุคคล Office24 ร่วมมือกับ Altex-soft เสนอข้อเสนอ บริการใหม่ซึ่งช่วยให้เราสามารถปิดประเด็นต่างๆ ที่เกี่ยวข้องกับการนำ ISPD ไปสู่การปฏิบัติตามข้อกำหนดของกฎหมายของรัฐบาลกลางหมายเลข 152 “เกี่ยวกับข้อมูลส่วนบุคคล”

เราเสนอให้เช่าซอฟต์แวร์และฮาร์ดแวร์ที่ปลอดภัย รวมถึง "1C:Enterprise 8.2z" ที่สร้างขึ้นโดยใช้ซอฟต์แวร์ที่ผ่านการรับรองซึ่งตรงตามข้อกำหนดของ FSTEC ของรัสเซีย และกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" หมายเลข 152-FZ ลงวันที่ 26 กรกฎาคม 2549. ระบบที่นำเสนอได้รับการออกแบบมาเพื่อประมวลผลข้อมูลส่วนบุคคลโดยผู้ปฏิบัติงานโดยใช้เครื่องมืออัตโนมัติและซอฟต์แวร์ 1C และ Microsoft และการกำหนดค่า 1C ใด ๆ สามารถทำงานได้ในระบบ ระบบถูกสร้างและกำหนดค่าบนเซิร์ฟเวอร์ของบริษัท Office24 โดยใช้ซอฟต์แวร์ Microsoft ที่ได้รับการรับรองโดย Altex-Soft CJSC

องค์ประกอบของการบริการและชุดเอกสาร

เมื่อสรุปข้อตกลงสำหรับการก่อสร้างและบำรุงรักษาระบบ บริษัทของเราจะติดตั้งและกำหนดค่าโครงสร้างพื้นฐานของเซิร์ฟเวอร์และสร้างชุดเอกสารที่ยืนยันการปฏิบัติตามข้อกำหนดของซอฟต์แวร์และการตั้งค่าตามข้อกำหนดของหน่วยงานกำกับดูแล

โดยเฉพาะชุดเอกสารประกอบด้วยแบบฟอร์มรับรอง ซอฟต์แวร์ Microsoft และ 1C ซึ่งมีเครื่องหมายป้องกันและสำเนาใบรับรองความสอดคล้องของ FSTEC ของรัสเซีย

แพ็คเกจบริการและเอกสารประกอบด้วย:

• การเช่าระบบปฏิบัติการ Windows Server 2008 R2 Standard ที่ได้รับการรับรอง
• เช่า Microsoft SQL Server 2008 Standard DBMS ที่ได้รับการรับรอง
• การติดตั้งและการกำหนดค่าแพลตฟอร์ม 1C:Enterprise 8.2z ที่ได้รับการรับรอง (ซื้อโดยลูกค้าจากพันธมิตรของเรา)
• ขั้นพื้นฐาน การสนับสนุนด้านเทคนิคและการบำรุงรักษาเซิร์ฟเวอร์และซอฟต์แวร์ที่ติดตั้งอยู่
• แบบฟอร์มต้นฉบับสำหรับ “แพ็คเกจซอฟต์แวร์รักษาความปลอดภัย 1C:Enterprise เวอร์ชัน 8.2z”*
• สำเนาใบรับรองความสอดคล้องสำหรับแพ็คเกจซอฟต์แวร์ที่ปลอดภัย 1C:Enterprise เวอร์ชัน 8.2z"
• สำเนาใบรับรองความสอดคล้องสำหรับระบบปฏิบัติการ Microsoft Windows Server 2008 R2 ในรุ่น Standard, Enterprise และ Datacenter
• สำเนาใบอนุญาตให้ใช้ระบบปฏิบัติการ Microsoft Windows Server 2008 R2 ที่ได้รับการรับรองในรุ่น Standard, Enterprise และ Datacenter
• สำเนาแบบฟอร์มสำหรับระบบปฏิบัติการ Microsoft Windows Server 2008 R2 Standard Edition
• สำเนาใบรับรองความสอดคล้องสำหรับ DBMS Microsoft SQL Server 2008 Standard Edition และ Enterprise Edition
• สำเนาใบอนุญาตเพื่อใช้ DBMS Microsoft SQL Server 2008 Standard Edition และ Enterprise Edition ที่ได้รับการรับรอง
• สำเนาของแบบฟอร์มบน Microsoft SQL Server 2008 Standard Edition และ Enterprise Edition DBMS
• สำเนาใบรับรองการปฏิบัติตามข้อกำหนดสำหรับการรับการอัปเดตที่ได้รับการรับรองสำหรับระบบปฏิบัติการ Microsoft Windows Server 2008 R2 ในรุ่น Standard, Enterprise และ Datacenter

*แพ็คเกจซอฟต์แวร์รักษาความปลอดภัย “1C:Enterprise 8.2z” (x86-32) มีเวอร์ชันที่ได้รับการรับรองของแพลตฟอร์มเทคโนโลยี “1C:Enterprise 8.2” และชุดเอกสาร รวมถึงแบบฟอร์มสำหรับบริษัทของคุณ

เมื่อวันที่ 29 พฤษภาคม 2014 การบรรยายจัดขึ้นที่มอสโกที่ 1C:Lecture Hall (Moscow, Seleznevskaya St., 34) ผู้อ่านของเราที่ไม่สามารถเข้าร่วมการบรรยายได้ส่งคำถามมาเป็นส่วนหนึ่งของการประชุมออนไลน์ในชื่อเดียวกัน ในระหว่างงาน Yuri Kontemirov หัวหน้าแผนกปกป้องสิทธิ์ของข้อมูลส่วนบุคคลของ Roskomnadzor และ Irina Baimakova ผู้เชี่ยวชาญจาก 1C ตอบคำถามเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลและวิเคราะห์ข้อผิดพลาดหลักที่ระบุโดย Roskomnadzor ระหว่าง กิจกรรมการควบคุม

ผู้ใช้งาน kot : 1C:Enterprise 8.2z สำหรับองค์กรขนาดเล็กและขนาดกลาง แพทย์, พนักงานของรัฐ, ทหาร...? แพลตฟอร์มนี้จำเป็นสำหรับใครและอะไร? ในโหมดผู้ใช้ สิ่งนี้ควรถูกฝังไว้ภายใต้สิทธิ์การเข้าถึง จากการเชื่อมต่อของบุคคลที่สามโดยใช้ DBMS?

เป็นเวลา 4 ปีแล้วที่ฉันคาดเดาว่านี่เป็นการปั๊มเงินง่ายๆ คล้ายกับ "ปัญหา Y2K" เมื่อคุณมาเปิดโปรแกรมในคอมพิวเตอร์มันทำอะไรบางอย่างคุณบอกว่าทุกอย่างเรียบร้อยดีและคุณได้รับเงิน

อิรินา ไบมาโควา : ข้อกำหนดของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ใช้กับผู้ดำเนินการข้อมูลส่วนบุคคลเช่น องค์กรใด ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคล ใช่ ข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลขึ้นอยู่กับประเภทของข้อมูลและปริมาณอาจแตกต่างกันอย่างมาก

: มีอะไรพิเศษเกี่ยวกับเวอร์ชัน 8.2z บ้าง? เหตุใดข้อมูลส่วนบุคคลจึงได้รับการปกป้องและมีอะไรผิดปกติในแง่ของการปกป้องข้อมูลส่วนบุคคลในแปดโปรแกรมเวอร์ชันอื่น ๆ

อิรินา ไบมาโควา : ZPK "1C:Enterprise เวอร์ชัน 8.2z" - เวอร์ชันที่ได้รับการรับรองของแพลตฟอร์มเทคโนโลยี 1C:Enterprise 8.2 ไม่มีความแตกต่างในการทำงานระหว่างเวอร์ชันที่ได้รับการรับรองและเวอร์ชันปกติ การปรับปรุงที่คำนึงถึงข้อกำหนดของ FSTEC ของรัสเซียนั้นถูกนำไปใช้ในแพลตฟอร์มเทคโนโลยีทั้งเวอร์ชันปกติและที่ผ่านการรับรอง

การใช้ ZPC "1C:Enterprise เวอร์ชัน 8.2z" ช่วยให้คุณสามารถปฏิบัติตามข้อกำหนดที่ระบุไว้ในมาตรา 2 ของมาตรา 19 ของกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" เกี่ยวกับการบังคับใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านการประเมินการปฏิบัติตามข้อกำหนดใน เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ประมวลผลโดยใช้ผลิตภัณฑ์ซอฟต์แวร์ 1C

ผู้ใช้ที่ไม่ได้ลงทะเบียน : ฉันจินตนาการไม่ออกจริงๆ ว่าโปรแกรมนี้จะกลายเป็นยาครอบจักรวาลในด้านการปกป้องข้อมูลส่วนบุคคลได้อย่างไร แต่แล้วปัจจัยมนุษย์ที่โด่งดังล่ะ? ท้ายที่สุดแล้ว ผู้คนทำงานในโปรแกรม

อิรินา ไบมาโควา : ในกรณีนี้เราไม่สามารถพูดได้ว่าโปรแกรมนี้เป็นยาครอบจักรวาล แพ็คเกจซอฟต์แวร์รักษาความปลอดภัย "1C:Enterprise เวอร์ชัน 8.2z" เป็นหนึ่งใน "องค์ประกอบหลัก" ที่ช่วยให้คุณสร้างระบบรักษาความปลอดภัยข้อมูลและรับรองการปฏิบัติตามข้อกำหนด กฎหมายปัจจุบันสหพันธรัฐรัสเซียในด้านการคุ้มครองข้อมูลส่วนบุคคล

ผู้ใช้ที่ไม่ได้ลงทะเบียน : มีกรณีของข้อมูลรั่วไหลของ 1s ที่ได้รับการป้องกันหรือไม่?

อิรินา ไบมาโควา : ฉันไม่มีข้อมูลดังกล่าว

ผู้ใช้ที่ไม่ได้ลงทะเบียน : 1C รับผิดชอบต่อการสูญหายและการรั่วไหลของข้อมูลหรือไม่?

อิรินา ไบมาโควา : ความรับผิดชอบต่อการสูญหายของข้อมูลขึ้นอยู่กับผู้ดำเนินการข้อมูลส่วนบุคคล

ผู้ใช้ที่ไม่ได้ลงทะเบียน : ใครจำเป็นต้องใช้ ZPK "1C:Enterprise, 8.2z"? สิ่งที่รวมอยู่ในแพ็คเกจการจัดส่งของ ZPK คืออะไร?

อิรินา ไบมาโควา

ชุด ZPK "1C:Enterprise เวอร์ชัน 8.2z" ประกอบด้วยชุดแจกจ่ายแพลตฟอร์มเทคโนโลยี แบบฟอร์ม และเอกสารประกอบ

ผู้ใช้ที่ไม่ได้ลงทะเบียน : อะไรคนอื่นๆ ผลิตภัณฑ์ซอฟต์แวร์สามารถใช้เพื่อปกป้องข้อมูลส่วนบุคคลได้หรือไม่?

อิรินา ไบมาโควา : มีเครื่องมือรักษาความปลอดภัยข้อมูลจำนวนมากในตลาด ความจำเป็นในการใช้ผลิตภัณฑ์เฉพาะนั้นขึ้นอยู่กับภัยคุกคามในปัจจุบันที่ระบุและข้อกำหนดสำหรับการปกป้องข้อมูลส่วนบุคคลของผู้ปฏิบัติงานรายใดรายหนึ่ง

ผู้ใช้ที่ไม่ได้ลงทะเบียน : หลักคืออะไร อันตรายที่อาจเกิดขึ้นคุณเห็นข้อมูลส่วนบุคคลหรือไม่? ความคุ้มครองรับประกันหรือไม่รวมอะไรบ้าง?

ยูริ คอนเทมิรอฟ : อันตรายหลักคือการรั่วไหลและการแจกจ่ายข้อมูลส่วนบุคคลอย่างผิดกฎหมาย ซึ่งอาจนำไปสู่ผลเสียต่อบุคคลและการบุกรุกชีวิตส่วนตัวของเขา เป็นไปได้ที่จะรับประกันการปกป้องข้อมูลส่วนบุคคลอย่างแท้จริงด้วยวิธีการบูรณาการเพื่อจัดระเบียบความปลอดภัยของข้อมูลโดยให้ความสนใจเท่านั้น ความสนใจเป็นพิเศษปัจจัย "มนุษย์"

ผู้ใช้ที่ไม่ได้ลงทะเบียน : คุณคิดว่าบริษัทขนาดเล็กมักประสบปัญหาการรั่วไหลของข้อมูลทางบัญชีหรือไม่ เพราะเหตุใด

ยูริ คอนเทมิรอฟ : ขออภัย ฉันไม่มีข้อมูลเกี่ยวกับปัญหานี้

ผู้ใช้ที่ไม่ได้ลงทะเบียน : เหตุใด “1C:Enterprise 8.2z” จึงเรียกว่าปลอดภัย อะไรคือความแตกต่างพื้นฐานจากผลิตภัณฑ์อื่นๆ?

อิรินา ไบมาโควา : ในกรณีนี้ “ป้องกัน” คือชื่อ เช่น ทดสอบโดยห้องปฏิบัติการทดสอบว่าไม่มีความสามารถที่ไม่ได้ประกาศและสอดคล้องกับข้อกำหนดอื่น ๆ ที่กำหนดโดย FSTEC ของรัสเซีย

ZPK "1C:Enterprise เวอร์ชัน 8.2z" เป็นผลิตภัณฑ์พิเศษที่ตรงตามข้อกำหนดของกฎหมายปัจจุบันเกี่ยวกับข้อมูลส่วนบุคคลโดยองค์กรและผู้ประกอบการที่ใช้ผลิตภัณฑ์ซอฟต์แวร์ 1C

ผู้ใช้ Kaufen : องค์กรซื้อ ZPK "1C:Enterprise 8.2z" อะไรคือความแตกต่างที่สำคัญระหว่างแพลตฟอร์มและ 1C:Enterprise 8.2 นอกเหนือจากการมีใบรับรอง FSTEC มีใครเคยเจอแพลตฟอร์มแบบนี้บ้างไหม?

อิรินา ไบมาโควา : ZPK "1C:Enterprise เวอร์ชัน 8.2z" - เวอร์ชันที่ได้รับการรับรองของแพลตฟอร์มเทคโนโลยี 1C:Enterprise 8.2 ไม่มีความแตกต่างในการทำงานระหว่างเวอร์ชันที่ได้รับการรับรองและเวอร์ชันปกติ

ข้อแตกต่างที่สำคัญคือรุ่นที่ได้รับการรับรองได้รับการทดสอบโดยห้องปฏิบัติการทดสอบ และยืนยันการปฏิบัติตามข้อกำหนดที่ให้ไว้ในใบรับรอง และยังประกอบด้วยการตรวจสอบที่ระบุในแบบฟอร์ม ZPK "1C:Enterprise เวอร์ชัน 8.2z"

ผู้ใช้ที่ไม่ได้ลงทะเบียน : เราเป็นสถาบันงบประมาณ มีการดัดแปลง ZPK "1C:Enterprise 8.2z" สำหรับพนักงานภาครัฐโดยเฉพาะหรือไม่ และเวอร์ชันที่รองรับมีราคาเท่าไร

อิรินา ไบมาโควา : ZPK "1C:Enterprise เวอร์ชัน 8.2z" เป็นเวอร์ชันที่ได้รับการรับรองของแพลตฟอร์มเทคโนโลยี 1C:Enterprise 8.2 ซึ่งสามารถใช้ได้กับการกำหนดค่ามาตรฐานใดๆ รวมถึงสำหรับ สถาบันงบประมาณ(เช่น "1C: เงินเดือนและทรัพยากรบุคคล หน่วยงานของรัฐ", "1C: การบัญชีสถาบันสาธารณะ")

ขั้นตอนการขายและอัปเดต ZPK 1C: Enterprise เวอร์ชัน 8.2z" ถูกกำหนดไว้ในจดหมายข้อมูลของบริษัท 1C หมายเลข 12891 คุณสามารถดูได้ที่ลิงค์ต่อไปนี้ - http://1c.ru/news/info.jsp ?id=12891

ผู้ใช้ที่ไม่ได้ลงทะเบียน : การประกาศการบรรยายและการประชุมออนไลน์พูดถึงข้อผิดพลาดหลักที่ระบุโดย Roskomnadzor ระหว่างการดำเนินกิจกรรมการควบคุม ฉันต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ แผนกใดที่มักระบุข้อผิดพลาดบ่อยที่สุด

ยูริ คอนเทมิรอฟ : การละเมิดกฎหมายโดยทั่วไปส่วนใหญ่ที่ระบุระหว่างการดำเนินการควบคุมของ Roskomnadzor จะแสดงอยู่ในรายงานประจำปีที่เผยแพร่บนเว็บไซต์ของหน่วยงาน

ผู้ใช้ที่ไม่ได้ลงทะเบียน : โปรดแจ้งให้เราทราบเกี่ยวกับการรับรอง ZPK “1C:Enterprise เวอร์ชัน 8.2z”

อิรินา ไบมาโควา : คำถามเกี่ยวกับวัตถุประสงค์ขั้นตอนและผลลัพธ์ของการรับรองที่ดำเนินการโดย บริษัท 1C จะมีการพูดคุยโดยละเอียดและนำเสนอบนเว็บไซต์ buh.ru รวมถึงในบทความ“ การรับรองโปรแกรมเพื่อวัตถุประสงค์ในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล” ในการรับรองหลักในปี 2010 และในบทความ “การคุ้มครองข้อมูลส่วนบุคคล - ตั้งแต่ปี 2554 ถึง 2556 หรือการเปลี่ยนแปลงสองปี” เกี่ยวกับการรับรองที่ดำเนินการในปี 2556 และการต่ออายุใบรับรอง

ผู้ใช้ที่ไม่ได้ลงทะเบียน : ในความเห็นของคุณ จำเป็นต้องมีมาตรการใหม่เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลและเพิ่มระดับการป้องกันหรือไม่ หากจำเป็นอันไหน?

ยูริ คอนเทมิรอฟ : เพื่อป้องกันข้อมูลส่วนบุคคลรั่วไหลอย่างสมเหตุสมผล แนวทางบูรณาการและควรให้ความสนใจเป็นพิเศษกับปัจจัย "มนุษย์"

ผู้ใช้ที่ไม่ได้ลงทะเบียน : มันสมเหตุสมผลไหมที่ผู้ประกอบการรายบุคคลและธุรกิจขนาดเล็กจะใช้ผลิตภัณฑ์ซอฟต์แวร์ที่คล้ายคลึงกัน?

อิรินา ไบมาโควา : ตามข้อย่อย 3 ข้อ 2 ของข้อ 19 ของกฎหมายของรัฐบาลกลางวันที่ 27 กรกฎาคม 2549 หมายเลข 152-FZ "เกี่ยวกับข้อมูลส่วนบุคคล" การใช้มาตรการรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามตามขั้นตอนที่กำหนดเป็นหนึ่งในมาตรการ เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผล

ตามข้อกำหนดของพระราชกฤษฎีการัฐบาลฉบับที่ 1119 ลงวันที่ 1 พฤศจิกายน 2555 การใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านขั้นตอนการประเมินการปฏิบัติตามข้อกำหนดของกฎหมายของสหพันธรัฐรัสเซียในด้านความปลอดภัยของข้อมูลมีผลบังคับใช้เมื่อ การใช้วิธีการดังกล่าวมีความจำเป็นเพื่อต่อต้านภัยคุกคามในปัจจุบัน ดังนั้นจึงเป็นไปได้ที่จะระบุความจำเป็นหรือความจำเป็นในการใช้เครื่องมือรักษาความปลอดภัยข้อมูลที่ผ่านการประเมินการปฏิบัติตามข้อกำหนด รวมถึง ZPK "1C:Enterprise เวอร์ชัน 8.2z" ตามโมเดลภัยคุกคาม

การใช้ ZPK "1C:Enterprise เวอร์ชัน 8.2z" ช่วยให้คุณปฏิบัติตามข้อกำหนดของกฎหมายปัจจุบันที่อธิบายไว้ข้างต้นด้วยต้นทุนที่ต่ำที่สุด รวมถึงข้อกำหนดจำนวนหนึ่งที่กำหนดโดยคำสั่งของ FSTEC แห่งรัสเซียลงวันที่ 18 กุมภาพันธ์ 2556 ลำดับที่ 21.

ผู้ใช้ที่ไม่ได้ลงทะเบียน : การละเมิดข้อมูลสามารถส่งผลเสียอะไรบ้าง? เช่น สำหรับผู้ประกอบการรายบุคคลที่ไม่มีพนักงาน

อิรินา ไบมาโควา : อันตรายหลักคือการรั่วไหลและการแจกจ่ายข้อมูลส่วนบุคคลอย่างผิดกฎหมาย ซึ่งอาจนำไปสู่ผลเสียต่อบุคคลและการบุกรุกชีวิตส่วนตัวของเขา

หากผู้ประกอบการแต่ละรายไม่มีพนักงาน และด้วยเหตุนี้จึงไม่ประมวลผลข้อมูลส่วนบุคคลของพนักงานหรือบุคคลอื่น ในกรณีนี้ จึงแทบจะเป็นไปไม่ได้เลยที่จะถือว่าข้อมูลส่วนบุคคลอาจรั่วไหลได้