Москва, 11.10.2012 Принципы безопасной обработки персональных данных клиентов интернет-магазина Олег Педько, Руководитель проектов, Департамент развития. - презентация

1 Москва, Принципы безопасной обработки персональных данных клиентов интернет-магазина Олег Педько, Руководитель проектов, Департамент развития услуг

2 Буква закона Интернет-магазины – субъект 152-ФЗ «О персональных данных» С какими ПДн работают интернет-магазины? o ФИО o Номера телефонов o Адреса электронной почты o Адреса доставки … и не только

3 Категории ПДн ПДн касаются расовой, нац. принадлежности, политических взглядов, религиозных и философских убеждений, здоровья, интимной жизни o ФИО o o Серия и номер паспорта o Почтовый адрес o Вероисповедание o Национальность o Состояние в браке o Наличие детей o ФИО o o Серия и номер паспорта o Почтовый адрес Категория 1Категория 3 ПДн, позволяющие определить субъекта ПДн o ФИО o o Серия и номер паспорта Категория 4 o ФИО o Обезличенные и (или) общедоступные ПДн Категория 2 ПДн позволяют определить субъекта ПДн и получить о нем доп. информацию, за исключением ПДн категории 1 ОПРЕДЕЛЕНИЯ ПРИМЕРЫ

4 Кто контролирует? ФСБ, ФСТЭК, РОСКОМНАДЗОР Проверки Роскомнадзора: o Плановые (график есть на сайте Роскомнадзора) o Внеплановые (уведомление за сутки до начала проверки) 2011 год o Внеплановые проверки > плановые Причины: требования прокуратуры, жалобы физических лиц

5 Ответственность o Штрафы до 500 тыс. руб. штрафа для юридического лица до 50 тыс. руб. штрафа для руководителя юридического лица o Приостановка деятельности юр. лица на срок до 90 дней … и это только начало

6 Как работает домен TEL? Длинный список (1) Что необходимо сделать для правильной обработки персональных данных? o Сформировать рабочую группу по приведению порядка обработки ПДн в соответствие с законом o Проанализировать ПДн, обрабатываемые в ИС o Провести аудит бизнес-процессов и ИС o Разработать модели угроз o Классифицировать ИСПДн o Разработать ТЗ на ИСПДн

7 Как работает домен TEL? Длинный список (2) o Разграничить доступ к ПДн o Спроектировать и внедрить систему защиты ПДн o Зарегистрироваться в Роскомнадзоре в качестве оператора ПДн o Получить от клиентов и сотрудников согласие на обработку их ПДн o Осуществлять рекламную рассылку или продвигать товары клиентам только с их согласия o Ограничить передачу ПДн третьим лицам

8 Как работает домен TEL? Длинный список (3) o Правильно взаимодействовать с клиентом по вопросам ПДн o Составить пакет инструкций и регламентов по ПДн o Назначить ответственных лиц за организацию обработки ПДн o Обучить сотрудников правильной обработке ПДн o Разработать и опубликовать в общем доступе политику обработки ПДн

9 Что еще? Договор с курьерской службой о безопасной обработке ПДн

10 Средства защиты ПДн o Межсетевой экран o Антивирус o Средства защиты от несанкционированного доступа o Системы обнаружения вторжений и анализа защищенности o Средства криптографической защиты Сертифицировано ФСТЭК, ФСБ РФ

11 Рецепты успеха o ИСПДн своими силами o ИСПДн на заказ o Комбинированный подход Крупные компании с большим бюджетом Малый и средний бизнес

12 Комплексный подход: преимущества Использование универсальных готовых решений, имеющихся на рынке = Экономия средств и времени Автоматизированные сервисы по подготовке документов для обработки ПДн o Гибкость o Подготовка к проверкам o Финансовые гарантии + Хостинг конфиденциальной информации o Размещение оборудования в специальной зоне дата-центра o Оборудование, межсетевой экран и антивирус сертифицированы ФСТЭК o Ведение учета носителей информации o Ежедневное резервное копирование данных (две копии)

13 SSL-сертификат – компонент защиты ПДн клиентов магазина o В тех разделах сайта, где пользователи вводят и хранят ПДн и другие конфиденциальные данные Где рекомендуется устанавливать сертификаты? Личные кабинеты, страницы оплаты товара и др. SSL = ДОВЕРИЕ

14 Категории SSL-сертификатов DV OV EV Extended validation o Удостоверяет только домен o Шифрование соединения o Выпускается в течение 1 дня o Иконка замка в браузере o Удостоверяет домен и организацию, которой он принадлежит o Данные о компании отображаются в сертификате o Голубая строка браузера (Firefox) o Выпускается в течение 3-5 дней o Расширенная проверка данных для выпуска сертификата (устав, свидетельство о регистрации в налоговом органе и пр.) o Зеленая строка браузера (все браузеры) o Выпускается в течение 7-14 дней WILDCARD SAN o Сертификаты защищают несколько доменов o Принадлежность каждого домена организации, запрашивающей сертификат, проверяется отдельно o Выпускается в течение 7-10 дней Domain validation Organisation validation Мультидоменные сертификаты

15 Как выглядит сертификат в браузере? (1) Сертификаты категории DV

16 Как выглядит сертификат в браузере? (2) Сертификаты категорий OV, SAN, WILDCARD

17 Как выглядит сертификат в браузере? (3) Сертификаты категории EV

18 Спасибо за внимание! Вопросы? web: ник.рф