Для защиты персональных данных сотрудников при их хранении в облачных сервисах рекомендуется:

• Выбрать провайдера с дата-центром на территории России. 34 Главное условие — наличие у провайдера аттестата соответствия 152-ФЗ, который выдают контролирующие органы. 35 Аттестат гарантирует, что инфраструктура облака выстроена согласно требованиям приказов Федеральной службы по техническому и экспортному контролю, а данные защищены. 3
• Контролировать права доступа к ресурсам. 2 Нужно управлять ими так, чтобы не допустить несанкционированного доступа. 2
• Использовать сертифицированные технические меры. 1 Для защиты каждого элемента системы следует применять только сертифицированные технические меры. 1
• Создать актуальную модель угроз. 1 Нужно учесть риски, связанные с нелегитимной активностью сотрудников и внешние угрозы. 1
• Обеспечить резервное копирование данных. 3 С возможностью оперативного восстановления. 3
• Периодически мониторить степень безопасности информации. 3

При использовании облачных сервисов по модели IaaS нужно отвечать за безопасность гостевых машин, а также осуществлять резервное копирование виртуальных машин, защищать виртуальную сеть, контролировать доступ к ресурсам и принимать меры по защите учётных записей пользователей облака. 2 При использовании управляемых сервисов (PaaS/SaaS) клиент обязан классифицировать данные, обеспечить разграничение доступа к данным, настроить процессы для их защиты, а также отвечать за управление своими пользователями и конечными устройствами. 2

Для разработки комплексной стратегии защиты персональных данных рекомендуется обратиться к специалисту.