Обработка и хранение персональных данных и ЦОД

За последние 10 лет государство несколько раз ужесточало требования к хранению и обработке персональных данных (ПД). Эти изменения коснулись всех участников экономического оборота, от небольших торговых ИП до федеральных банков. Какую роль здесь играет ЦОД? О этом и специфике обращения с ПД в рамках услуг дата-центров нашим читателям согласился/лась рассказать (ФИО, должность) зеленоградского ЦОД GreenBushDC.

Персональные данные и операторы ПД

Для начала определимся, что является ПД и кто за них отвечает. По № 152-ФЗ к персональным данным относятся: ФИО, дата и место рождения человека, адрес регистрации, статус (семейное/социальное положение), сведения о доходе, образовании, номер СНИЛС, ИНН, паспортные данные и пр. По сути, даже email, если по нему можно идентифицировать гражданина, можно отнести к ПД.

В свою очередь оператором ПД является любое юридическое лицо или ИП, ведущее переписку с клиентами, регистрирующее пользователей на сайте или в базе, проводящее транзакции, делающее рассылку.

{Илл.1 Защита персональных данных}

По сути, это все финансово-кредитные организации, розничные сети, интернет-магазины и фитнес-центры с клубными картами и программами лояльности, медицинские, образовательные организации и туристические агентства, работающие с телефоном/email/мессенджерами и платежными сервисами. От них 152-ФЗ требует, как минимум, зарегистрироваться в реестре Роскомнадзора и собрать пакет документов, определяющих, как оператор собирает данные, обрабатывает, хранит и чем обеспечивает их безопасность.

ЦОД и персональные данные

Причем здесь ЦОД? Дело в том, что многие компании до сих пор не осведомлены о специфике требований 152-ФЗ и уверены — установив сервера в ЦОД, они тем самым передают дата-центру свои обязанности оператора ПД и ответственность за них. Это не так.

ЦОД — центр обработки данных, но в отношениях между государством и оператором персональных данных, дата-центр лишь промежуточное звено. От того, что компания N хранит ПД в облаке дата-центра, она не перестает быть оператором персональных данных и не перестает отвечать за их сохранность. Ответственность за соблюдение 152-ФЗ по-прежнему лежит на ней и роль ЦОД в этой ситуации заключается в поддержке отказоустойчивости IT-инфраструктуры и надежной физической охране оборудования, размещенного в дата-центре. Не более.

{Илл.2 Второй контур безопасности ЦОД}

Зато эта сторона защиты реализована в дата-центре на достойном уровне: резервирование всех основных и коммуникационных систем, видеонаблюдение, трех- и четырехконтурный периметр, СКУД. Строже, чем в банке. Хотите убедиться? Приходите на обзорную экскурсию в GreenBushDC: заполните форму, с вами обязательно свяжутся и назначат дату визита.