При размещении персональных данных в дата-центре необходимо учитывать следующие аспекты:
- Размещение дата-центра на территории России. 23 По закону облачный провайдер не является оператором персональных данных, а ответственность за их безопасность несёт организация. 3
- Выбор провайдера с аттестацией ФСТЭК и ФСБ. 24 Это гарантирует, что провайдер исполняет требования приказа №21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности. 2
- Настройка доступа к информации. 2 Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа. 2
- Уровни защищённости персональных данных. 3 Их выбирают в зависимости от вида данных, отношений с субъектами этих данных и типов угроз. 3 Общедоступные данные не требуют конфиденциальности, поэтому здесь часто бывает достаточно базового уровня защиты. 3 А специальные, биометрические и прочие данные нуждаются в первом, втором или третьем уровнях защиты. 3
- Получение согласия на обработку персональных данных. 13 Закон «О персональных данных» требует обязательно получать согласие на их обработку у субъекта ПДн. 3 В согласии на обработку данных указывают категории и цели обработки персональных данных. 3
Также организация, которая работает с персональными данными, должна разработать внутренние документы, регулирующие порядок их обработки и защиты. 1 К ним относятся политика обработки персональной информации, инструкции для сотрудников по работе с данными и регламенты по реагированию на утечки ПДн. 1