Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Передача персональных данных по e-mail, Ответы на запросы
Цитата

сертифицированной ФСТЭК, программой можно делать шифровку и паролирование ПДн

Такой программы в природе не существует. Ищите софт с сертификатом ФСБ. Договариваетесь с контрагентами, какой софт будете использовать.
"КриптоПРО" самый распространённый вариант. Покупаете CSP и cryptcp в качестве интерфейса, заключаете договор с авторизованным УЦ для генерации ключей, обмениваетесь ключами расшифровки с контрагентами.
Да.... :D ...геморойненько.
У нас такая ситуация: есть модуль на сайте, онлайн бронирования...клиент заходит на сайт и бронирует себе номер....вносит в форму на сайте ФИО, гражданство, контактный телефон, Email...Эти ПДн передаются сначала не к нам а к организации которая обслуживает этот модуль...а уж потом они нам на электронную почту (Гугловскую) скидывают эту инфу. Никак не шифруя и не архивируя. Вот я и думаю как с точки зрения закона организовать правильно передачу данных от пользователя к организации обслуживающей модуль бронирования, и от организации к нам.

Как я понимаю на сайте явно нужно вывешивать такое предупреждение что ПДн будут передаваться в организацию по не защищенным каналам связи и без какой либо защиты...и галочку согласны ли они на эту передачу.

А вот от обслуживающей организации, к нам, уже надо что то думать с шифрацией и паролизацией.
Не хочется огород городить, как бы по проще это сделать? Что бы и регуляторы были довольны и нам на это нужно было минимум вложений?
На сайте ещё и нужно вывесить документ под названием "Политика в отношении персональных данных", в котором будут вкратце изложены принципы, на которых основывается обработка и сбор ПДн в Вашей организации. Галочку такую делать не рекомендую, и про незащищенность лучше не упоминать. Прописать в условиях использования. что бронирование приравнивается к установлению договорных отношений (спросите у юриста, как лучше это сформулировать), что в рамках установления таких отношений клиент соглашается на обработку ПДн (включая передачу по сетям общего пользования и международного информационного обмена с целью достижения целей обработки), и что посреднику Ваша контора поручает сбор и обработку информации клиентов. В уведомлении об обработке ПДн Вы напишете, что обработка осуществляется организацией такой-то по Вашему поручению. Между Вами и посредником - соглашение по обмену информацией в электронном виде в дополнение к договору на обработку ПДн, в этом соглашении прописываете формат реестра персональных данных (т.е. в каком виде будет формироваться и какой файл, с какими сведениями), средства доставки (желательно предусмотреть варианты доставки с нарочным на электронном и бумажном носителях) и механизмы защиты. "Крипто-Про" на самом деле не так уж и дорого стоит.

Защита канала от сайта до посредника это проблема посредника, но проблема может стать Вашей, если посредник наплевательски к ней отнесётся, поэтому в договоре-поручении на обработку ПДн предусматривайте ответственность посредника перед Вами в случае нарушения им требований по ЗИ (и в основания расторжения договора это тоже можно внести). Вы пользуетесь их услугами и вправе ожидать соблюдения ими требований законодательства. всё логично.
Изменено: Vitaly Bondarew - 03.09.2014 08:54:41
Цитата
Vitaly Bondarew пишет:
Покупаете CSP и cryptcp в качестве интерфейса, заключаете договор с авторизованным УЦ для генерации ключей, обмениваетесь ключами расшифровки с контрагентами.
Это Вы сейчас симметричную криптосистему описали.

Дмитрий
Да и такой софт вполне себе существует. Как самый простой и наиболее дешёвый можно использовать, например, связку из криптопровайдера "КриптоПро CSP" + программа для шифрования/расшифрования информации "КриптоАрм" + сертификат ключа электронный подписи (сгененрированный в аккредитованном удостоверяющем центре для КриптоПро). Весь этот набор делается для Вашей организации и для каждого контрагента. И в этом случае вы обмениваетесь с контрагентами только сертификатами (открытыми ключами), которыми каждый участник защищенного электронного документооборота (ЗЭДО) шифрует информацию отправляемую адресату, чтобы он расшифровал её после получения своим закрытым ключом. Этот способ относительно дешёв, но для непосредственного исполнителя может показаться не очень удобным (нужно сделать определенное количество манипуляций с шифрованием/расшифрованием информации, отправкой данных). Для одного рабочего места бессрочная лицензия на КриптоПро - 1800 руб., бессрочная лицензия на КриптоАрм - 1200 руб., выпуск сертификата ключа электронной подписи обычно сроком на 15 месяцев в пределах 1500-2000 руб. (зависит от конкретного удостоверяющего центра). Итого, по максимуму 5000 единовременно. В последующем стоимость будет составлять выпуск нового сертификата ключа электронной подписи по истечению срока действия.

Можно использовать ViPNet с их программный обеспечением "Деловая почта", где зашифрование и расшифрование происходит "на лету", совершенно прозрачно для непосредственного пользователя. Плюс там есть некоторые средства автоматизации отправки и получения информации. Если нет необходимости развертывания своей собственной ViPNet-сети (во первых это достаточно дорого и при малом количестве участников ЗЭДО нецелесообразно), то можно воспользоваться услугами удостоверяющего центра, у которого уже есть своя ViPNet-сеть. При этом Вы, и каждый контрагент, подключаетесь к ViPNet-сети этого удостоверяющего центра, и передаёте информацию мало того, что в зашифрованном виде, так ещё и по защищенному каналу. Этот вариант получается при первом подключении подороже, при последующем продлении сертификата ключа пользователя будет не очень дорого. В случае использования сети удостоверяющего центра, порядок цен от 12000 за одно рабочее место в зависимости от конкретного удостоверяющего центра. Плюс могут брать дополнительную плату за количество межсетевых связей (например, если у контрагента уже организовано рабочее место ViPNet, но в другой ViPNet-сети другого удостоверяющего центра). Если делать свою сеть - порядок цен совсем другой в сторону увеличения в сотни тысяч рублей.

Само собой, при организации защищенного электронного документооборота необходимо заключать соглашение об этом с каждым контрагентом.
Спасибо за разъяснение!
Но все это как то уж слишком все замудрено и не удобно получится, как для того кто это все настраивать будет и тех кто с этим работать потом будет.

Не проще тогда просто попробовать обезличить эти ПДн. Да и передача по каналам общего доступа такой информации как ФИО, Гражданство, тел, электронная почта....это не те ПДн на которые нужно тратить деньги для защиты. Злоумышленник вряд-ли сможет как то серьезно навредить обладателю этих ПДн...если и перехватит их.
Всегда пожалуйста!

Именно такая реакция бывают у людей, которые в определенной степени не связывались ранее со средствами защиты информации. Видимо, я слишком много написал всего по этому поводу - но хотелось подробнее объяснить.
Нет, это только выглядит всё сложно как по настройке, так и по использованию. Тем более, что можно воспользоваться услугами какой-либо компании интегратора или удостоверяющего центра, в котором будут приобретаться лицензии на программное обеспечение и выпуск сертификата.

Безусловно, если есть возможность обезличить персональные данные - это нужно делать, дабы избежать финансовых затрат и иных рисков связанных с использованием данного метода передачи информации.

Но согласно законодательству, любая информация, являющаяся персональными данными, (а вышеуказанная Вами информация как раз является персональными данными), подлежит защите.
Утверждать, повредит или нет вышеуказанная информация о гражданах нельзя - её необходимо защищать. Потому что это личная информация граждан, которая может быть использована, например, для спама по SMS и электронной почте, мошенничества по телефону, да и мало ли ещё для чего.
Еще раз спасибо.
Вот что у нас на сайте разместила фирма которой сначала пересылаются ПДн:
пользовательское соглашение:
Основные договорные положения при бронировании гостиниц в режиме реального времени.
1. Область применения
Настоящие общие условия действительны при самостоятельном заказе пользователем номеров в средствах размещения через систему онлайн бронирования TravelLine.
2. Бронирование
а) Принятое Вами решение о бронировании автоматически передается по Вашему поручению в соответствующее средство размещения.
б) Посреднические услуги компания TravelLine предоставляет клиентам бесплатно. По этой причине запрещается перепродавать номера (услуги), забронированные через систему бронирования TravelLine. Кроме того, не допускается пересдача своих номеров третьим лицам по ценам, превышающим цены, указанные в системе TravelLine.
3. Договор и оплата
а) Договор о предоставлении соответствующей услуги заключается во время бронирования непосредственно между Вами и выбранным Вами средством размещения. Все претензии и обязательства по предоставленным услугам касаются непосредственно и исключительно лица, выполняющего бронирование, и выбранной им средством размещения.
Сделанный заказ можно оплатить любым из предлагаемых системой способов. Обращаем ваше внимание на то, что объект размещения вправе устанавливать ограничения по выбору способов оплаты.
• При оплате номеров (услуг) банковской картой или электронными деньгами через Систему с использованием интернет-эквайринга, в открывшемся окне платежной системы при помощи собственной банковской карты или электронного кошелька вы вносите стоимость первых суток проживания в средстве размещения, либо иную сумму, указанную средством размещения на форме бронирования. Если в процессе бронирования вы оплачиваете не полную стоимость забронированных номеров (услуг), оставшуюся сумму заказа вы оплачиваете в средстве размещения по приезду.
• При использовании способа оплаты «гарантирование брони банковской картой», вы вводите в соответствующие поля информацию по вашей банковской карте. Указанная информация передается в выбранное вами средство размещения по защищенным каналам связи (SSL) через безопасный сервер для гарантирования вашего бронирования. Средство размещения предпринимает самостоятельно решение о снятии, либо блокировке на вашей банковской карте денежных средств, эквивалентных сумме заказа. В случае если средству размещения не удастся произвести необходимые операции по вашей карте, необходимые для гарантирования вашего заказа, ваша бронь может быть отменена средством размещения. Пожалуйста, убедитесь, что срок действия вашей карты не истек, и на вашем счету достаточно денежных средств для оплаты заказа.
• При безналичном расчете предварительно оплачиваются 100% заказанных услуг. Некоторые средства размещения могут установить иной размер предоплаты. Размер предоплаты сообщается в процессе бронирования. Оплату по безналичному расчету могут производить юридические и физические лица. Оплата должна быть произведена в течение 3 рабочих дней после получения счета на оплату забронированных номеров (услуг). Некоторые средства размещения устанавливают ограничения по бронированию номера с оплатой безналичным перечислением за несколько дней (по общему правилу за 5 дней) до предполагаемой даты заезда.
• При оплате на месте забронированных номеров (услуг) вы оплачиваете ваш заказ наличными денежными средствами по прибытии в средство размещения.
• При Отложенной оплате забронированных номеров (услуг) по окончании бронирования вы получаете счет на оплату за номера (услуги) средства размещения по электронной почте. На данном этапе Ваучер о произведенном бронировании вам не направляется. Вы обязаны оплатить забронированные номера (услуги) средства размещения в течение периода времени и размере, указанные в счете на оплату. В случае внесения вами оплаты в рамках периода времени и суммы, установленных в счете на оплату, вам направляется Ваучер. В случае если вы не вносит оплату в срок, указанный в счете на оплату, бронь автоматически аннулируется.
• Внимание! Средство размещения имеет право предоставления невозвратных тарифов. По условиям указанных невозвратных тарифов, в случае отмены брони или незаезда Клиента внесенная им предоплата (полностью или частично) не подлежит возврату и остается в Средстве размещения в качестве штрафной санкции. Рекомендуем внимательно ознакомиться с условиями специальных предложений, до завершения процесса бронирования.
б) Резервирование номеров производится непосредственно при бронировании. Подтверждение брони (Ваучер) появится на экране сразу после оформления заказа. Рекомендуется распечатать и сохранить его. Кроме того, ваучер передается по электронной почте на адрес, указанный вами при оформлении заказа. Однако, по техническим причинам, TravelLine не может проверить факт доставки подтверждения по электронной почте. При этом бронирование своей силы не теряет.
4. Изменение заказа
Технический функционал системы онлайн бронирования TravelLine не предполагает внесения изменений в уже оформленную и подтвержденную заказчиком бронь.
Чтобы добавить к существующему заказу дополнительный номер или дополнительные сутки проживания, рекомендуем Вам оформить еще одну бронь.
Для изменения оформленной и подтвержденной брони рекомендуем вам согласовать изменения непосредственно с забронированным средством размещения по телефону (контактная информация забронированного вами средства размещения указана в Ваучере). Кроме того, предварительно проверив условия аннуляции брони, вы можете отменить существующую бронь и оформить новую по интересующим вас параметрам.
5. Аннулирование заказа
а) Во избежание недоразумений аннулирование заказа должно всегда производиться через систему бронирования TravelLine. Для аннулирования заказа важно, чтобы сообщение об этом своевременно поступило в соответствующее средство размещения, что обеспечивается функционалом системы. Аннулировать бронирование можно только через систему TravelLine, используя ссылку и код отмены, направляемые вместе с подтверждением о бронировании, высланным вам по электронной почте при оформлении бронирования. После аннулирования заказа клиенту высылается Уведомление об отмене брони. В случае если по каким-то причинам вы не имеет возможности отменить бронь с использованием ссылки и кода отмены брони, рекомендуем вам связаться с отделом бронирования выбранного вами средства размещения для отмены брони.
б) В случае использования электронной оплаты, а именно банковской карты или электронных денег, денежные средства будут возвращены на банковскую карту либо электронный кошелек, при помощи которых была произведена оплата бронирования, в течение 30 рабочих дней с момента получения нами уведомления об аннулировании брони. Время между операцией возврата и реальным зачислением денег на счет клиента зависит от внутренних банковских процедур и внутренних процедур платежных систем.
В случае своевременного аннулирования заказа система бронирования гостиниц TravelLine имеет право взимать с клиента дополнительные сервисные сборы — за услуги аннулирования ранее оформленного заказа. Сервисный сбор за оформление брони включается в стоимость заказа, и в случае аннулирования брони, не подлежит возврату. Размер сервисного сбора зависит от выбранного клиентом способа оплаты, но не может превышать 5% от вносимой клиентом суммы.
в) В случае использования гарантирования брони банковской картой возврат, снятых с вашей банковской карты денежных средств, осуществляет средство размещения. При отмене брони рекомендуем вам связаться со средством размещения для решения вопроса возврата денег удобным для вас способом.
г) В случае использования отложенной оплаты, возврат денежных средств клиенту производится платежной системой, предоставляющей услуги по организации процесса отложенной оплаты. При отмене брони с вами свяжется сотрудник платежной системы. Деньги будут возвращены удобным для вас способом, за вычетом комиссии платежной системы.
д) В случае позднего аннулирования заказа или незаезда клиента средство размещения вправе применить к клиенту штрафные санкции.
Правила поздней отмены, а именно сроки и размер штрафной санкции, устанавливаются каждым средством размещения самостоятельно. Необходимо в процессе бронирования внимательно читать условия бронирования, правила применяемых специальных предложений, а также условия позднего аннулирования, указанные на странице средства размещения, на форме бронирования и в Ваучере.
В случае преждевременного отъезда клиента средство размещения имеет право предъявить претензии к клиенту, связанные с понесенными убытками.
6. Информация о средстве размещения
Принятая во всем мире классификация средств размещения по количеству звезд указывает на уровень предоставляемого средством размещения сервиса; эта информация не проверяется системой. Указанная в системе классификация средств размещения, а также дополнительная информация, описание и стоимость номеров (услуг) предоставляется самими средствами размещения. Компания TravelLine не несет ответственности за несоответствие представленных сведений действительности.
7. Стоимость номеров и услуг средств размещения
а) Все цены, указанные в системе бронирования TravelLine, определяются средствами размещения и действуют для всех случаев бронирования в рамках системы онлайн-бронирования TravelLine по параметрам, установленным средствами размещения.
б) Бронирование производится по ценам, действующим в период предполагаемого проживания. При бронировании автоматически учитываются специальные ценовые предложения, установленные средствами размещения в системе TravelLine. Средство размещения гарантирует, что заявленная в системе стоимость номеров и услуг имеет обязательную силу для каждого бронирования.
в) Все цены действительны за один номер и выбранный период проживания, включая услуги, указанные в описании номера, не подпадающие под категорию платных услуг. Согласно внутренним нормативным актам средства размещения обязаны устанавливать для отображения в системе конечные цены номеров и услуг, включая налоги. Однако цены могут не включать некоторые налоги и сборы, устанавливаемые местными органами власти.
г) Все цены в системе онлайн-бронирования TravelLine указаны в рублях, при этом на форме бронирования имеется возможность конвертировать указанные цены в иные виды валют.
8. Защита информации
а) Данные, введенные клиентом, передаются в средство размещения в объеме, необходимом для бронирования номеров (услуг) в средствах размещения. Кроме того, данные, введенные клиентом, могут быть использованы для передачи третьей стороне. Такая третья сторона может связаться с клиентом посредством e-mail, на пример, в целях получения отзывов и качестве сервиса, забронированного клиентом средства размещения. При этом при получении первого электронного письма от такой третьей стороны клиент имеет возможность отказаться от последующей рассылки.
б) Соглашаясь с условиями настоящего Пользовательского соглашения, клиент дает свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в адрес средства размещения и обозначенных в пункте а параграфа 8 третьих лиц, обезличивание, уничтожение своих персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, гражданство. Указанные персональные данные запрашиваются с целью предоставления клиентам запрошенных услуг, либо ответа на запросы клиента. Данные отображаются в Ваучере, отчетной и бухгалтерской документации. Такие данные, как адрес электронной почты используются для получения отзывов о качестве сервиса средства размещения. Настоящее согласие предоставляется клиентом для осуществления любых не противоречащих законодательству Российской Федерации действий в отношении персональных данных, направленных на достижение указанных в Пользовательском соглашении целей, в том числе: онлайн бронирование клиентом выбранного средства размещения, составления отчетной и бухгалтерской документации, получение отзывов о качестве сервиса, забронированного средства размещения.
В случае предоставления клиенту рекламных и маркетинговых материалов, ему также предоставляется возможность отказа от получения таких материалов в будущем.
9. Разное
Вся информация, выкладываемая на форме бронирования, составляется с максимальной тщательностью. Однако могут встречаться ошибки или опечатки. Вся информация, относящаяся к средству размещения: фотографии, описание средства размещения, описание номеров, предоставляемых услуг, цены и т.п., заносится непосредственно средством размещения. Средство размещения самостоятельно несет ответственность за неточность предоставленной для размещения в системе онлайн-бронирования TravelLine информации.
Название TravelLine и логотип TravelLine являются зарегистрированными торговыми знаками компании TravelLine. Другие продукты или названия компаний, упомянутые на сайте средства размещения или в форме онлайн-бронирования TravelLine, могут являться торговыми знаками их соответствующих владельцев.
10. Ответственность
Используя систему TravelLine, оформляя заказ через систему, вы соглашаетесь с текстом данного Соглашения. В случае несогласия, с какими либо положениями этого документа, рекомендуется прекратить использование системы онлайн-бронирования TravelLine. Продолжение использования системы онлайн-бронирования TravelLine однозначно расценивается, как принятие всех условий данного Соглашения.


и Политика конфиденциальности:
Компания TavelLine гарантирует конфиденциальность всей информации, вводимой пользователем через систему в процессе бронирования номеров (услуг) выбранного клиентом объекта размещения.
1. Цель обработки персональных данных
В процессе бронирования вы самостоятельно вводите в специально отведенные поля следующую информацию: фамилию, имя, отчество, адрес электронной почты, номер телефона, гражданство.
Все эти данные необходимы для формирования и регистрации брони номеров и дополнительных услуг выбранного вами объекта размещения.
Указанные вами данные мы используем исключительно в целях обеспечения для вас эффективного, комфортного и удобного сервиса по онлайн бронированию номеров (услуг) в выбранном вами объекте размещения, а также для оценки качества сервиса, предоставленного вам выбранным средством размещения.
Компания TravelLine не разглашает и не передает персональную информацию третьим лицам, в целях, противоречащих описанным в настоящей Политике конфиденциальности. TravelLine вправе передать персональную информацию пользователя только в целях обеспечения оформления бронирования и последующей обработке брони, в том числе для бухгалтерской и отчетной документации, а также получения от вас отзывов по предоставленному вам сервису в выбранном средстве размещения.
2. Использование и раскрытие персональной информации
Компания TravelLine никому не продает, не передает и не разглашает иным образом вашу персональную информацию без вашего согласия.
В процессе бронирования гостиничных номеров (услуг) система TravelLine предлагает вам ознакомиться с Пользовательским соглашением, в котором подробно описаны методы нашего с вами взаимодействия. Соглашаясь с условиями указанного Пользовательского соглашения, вы даете свое согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в адрес средства размещения и третьих лиц, для напоминания о брони до даты заезда, либо для сбора отзывов о качестве сервиса средства размещения, обезличивание, уничтожение ваших персональных данных. Настоящее согласие предоставляется вами для осуществления любых не противоречащих законодательству Российской Федерации действий в отношении персональных данных, направленных на достижение указанных в Пользовательском соглашении целей, в том числе: онлайн бронирование клиентом выбранного объекта размещения, составления отчетной и бухгалтерской документации, получение отзывов по предоставленному вам сервису в выбранном средстве размещения.
Система онлайн бронирования использует протокол SSL для безопасной передачи данных. Указанный протокол является отраслевым стандартом для зашифровки всей персональной информации.
Если вы не согласились с условиями пользовательского соглашение, дальнейшее формирование брони становится невозможным. Обработка ваших персональных данных прекращается.
3. Использование Cookies
В целях предоставления качественных услуг по онлайн бронированию компания TravelLine сохраняет cookies на компьютер пользователя и впоследствии использует их.
TravelLine гарантирует, что ни одна рекламная служба не имеет доступа к cookies, которые используются для организации процесса бронирования.
Мы производим учет информации о Вашем IP-адресе, типе браузера которая может быть использована при обнаружении ошибок в работе системы, случаев мошенничества, неправомочных действий.
4. Возможность редактировать и удалять информацию и персональные настройки
По окончанию процесса бронирования на экране показывается Ваучер, подтверждающий оформление заказа, являющийся гарантией поселения в забронированной гостинице. Кроме того, точно такой же ваучер направляется вам на указанный в процессе бронирования адрес электронной почты.
В случае утери ваучера, вы всегда можете запросить его копию, отправив электронное сообщение на адрес info@travelline.ru. Пожалуйста, в теме сообщения укажите: “Запрос на получение повторного уведомления”. Либо связавшись с нами по телефону 8 800 555-20-30.
Пожалуйста, внимательно проверяйте правильность введенной вами информации. Если персональные сведения введены вами неверно, мы по вашему запросу внесем в них изменения. Для этого вам также нужно связаться с компанией TravelLine по указанным выше контактам.
Обращаем ваше внимание на то, что в случае отмены вами брони через систему, в базе данных компании TravelLine ваша персональная информация сохраняется. Также ваша персональная информация, а именно: адрес электронной почты, сохраняются в базе данных третьих лиц, которые могут запросить у вас по электронной поте отзывы о качестве сервиса, выбранного вами средства размещения.
Вы можете обратиться в компанию TravelLine с просьбой удалить Вашу персональную информацию из нашей базы данных.
При получении первого электронного письма, а также последующих писем от средства размещения, либо третьей стороны с запросом о предоставлении отзыва о качестве сервиса, выбранного вами средства размещения, Вы имеете возможность отказаться от последующей рассылки и запросить удаление Вашей персональной информации из базы данных средства размещения, либо указанной третьей стороны.
5. Безопасность доступа к персональным данным
Доступ к персональным данным о пользователе, оформившем бронь через систему TravelLine, защищен паролем.
6. Изменения в Уведомлении
Компания TravelLine оставляет за собой право в любое время при необходимости изменять способ сбора, передачи и обработки персональных данных и другой подобной информации. В связи с этим, в Уведомление об обработке персональных данных могут вноситься поправки с учётом последних изменений.
7. Вопросы и предложения
Если у Вас возникают предложения или вопросы по поводу Уведомления об обработке персональных данных, просим вас сообщать о них службе технической поддержки.
Также на сайте находится наша политика в области обработки и защиты персональных данных.

По организационной части как я понимаю у регулятора к нам вопросов возникнуть не должно...все что надо размещено на сайте.

Остается только с передачей ПДн, что то решить. Как написал
Xenobius
надо реализовать защиту канала или данных, только от компании которая собирает ПДн и передает нам.
Цитата
Дмитрий пишет:
Остается только с передачей ПДн, что то решить. Как написал Xenobius
надо реализовать защиту канала или данных, только от компании которая собирает ПДн и передает нам.
В этом случае, если использовать решения на базе КриптоПро, необходимо передать открытый ключ (сертификат) ответственного работника Вашей компании, в компанию, которая собирает и передает ПДн Вам.
Цитата
Xenobius пишет:
В этом случае, если использовать решения на базе КриптоПро, необходимо передать открытый ключ (сертификат) ответственного работника Вашей компании, в компанию, которая собирает и передает ПДн Вам.
В этом случае будет использоваться программа KriptoPro CSP с электронными ключами?
А она разве шифрует данные и расшифровывает при передаче по каналам открытого доступа?
У нас стоит пара таких...но как я понял они только обеспечивают 2 факторную аутентификацию пользователя, и подписание документа, что бы опознать, что имено тот кто надо его подписал и отослал. ...про шифрацию...даже и не знаю есть ли в ней.
Списался с фирмой которая собирает ПДн и отправляет их потом нам.
Оказалось что у них сервак на который собираются ПДн находится в Германии...а на сайте соглашения об трансграничной передаче ПДн между пользователем и этой фирмой нет.

Вот такое мне написали:
При бронировании гость на 3 шаге бронирования соглашается с политикой конфиденциальности.

Юридический отдел подготовил правки в данную информацию. В политике конфиденциальности будет указано что подтверждение бронирования отправляется в гостиницу по электронной почте и будет добавлена информация по хранении данных на серверах, расположенных в Германии.

Достаточно ли будет этого? Как я понял они являются операторами ПДн, а мы у них типа эти ПДн берем уже для своих нужд...бронирования номеров.
Должны ли они все равно посылать нам на электронную почту ПДн с применением СЗИ...даже если обладатель дал свое согласие на передачю своих ПДн по каналам открытого доступа...третей стороне (то есть нам)?
Они же вроде не дали им согласие на то что бы сделать эти ПДн общедоступными.
Вы не получаете ПДн от субъекта и не являетесь их оператором. Всю ответственность, в т.ч. и обязанность получить соответствующее согласие, несет тот, кто вам эти данные передает
Я так и понял...но хочется все же разобраться что же опереатор (фирма которая получает ПДн) должен сделать для, защиты ПДн? Они как я понимаю в этом тоже ничего не понимают. За обладателей ПДн страшно. :o

Ну дали им пользователи свое согласие на передачу 3 стороне....кстати в согласии не написано какой именно 3 стороне, туда же пихнули и раздел что ПДн будут передаваться по незащищенным каналам связи, на сервер в Германии, и на электронную почту 3 стороне. Пользователи при заполнении формы автоматом дают свое согласие на это.

Разве они ни как не должны защитить ПДн передаваемые по открытому каналу, без шифрации и паролирования...даже если обладатель ПДн, дал согласие на это?
Ладно на свой сервер...но к нам же они как то должны передавать эти ПДн уже с защитой. Как минимум инструкцию написать как должно быть настроено рабочее место для работы с этими ПДн и определены СЗИ которые должны быть на нем установлены.
Еще смущает тот факт, что они пересылаю эти ПДн на почту gmail....а не непосредственно на нашу личную почту на сервер установленный у нас в организации (такого у нас нет). Это считай еще один перевалочный пункт для ПДн, который вполне может быть просмотрен, да и находится опять же наверняка не в России.
Дмитрий, у нас даже госорганы ПДн по обычной почте получают, например Роскомнадзор :D (посмотрите форму уведомления). А уж жалобы и обращения ... Защищайте ПДн на своей стороне.
На своей стороне вроде бы защита стоит....антивирус, фаервол, средство от несанкционированного доступа....больше ничего не ставили.

Вот думаю надо ли ставить в ЛКС подключенную к Интернет ставить еще и средство обнаружения вторжений...или хватит встроенyого в UG 6.0 VPN Gost....там Snort стоит...пока не нашел имеет ли UG 6.0 лицензию но то, что она еще и как средство обнаружения вторжений работать может.
В сертификате ФСТЭК написано что UG 6.0 VPN Gost может использоваться как средство обнаружения вторжений.
По поводу существования ПО. Уважаемый Xenobius не учёл суть вопроса. Сертификата ФСТЭК на Крипто-Про существовать в природе не может, так как такой сертификацией занимается ФСБ.
Цитата
Vitaly Bondarew пишет:
По поводу существования ПО. Уважаемый Xenobius не учёл суть вопроса. Сертификата ФСТЭК на Крипто-Про существовать в природе не может, так как такой сертификацией занимается ФСБ.
Совершенно правильно. Суть вопроса я учёл, но думал одно, а написал другое. Конечно же вопросами шифрования занимается ФСБ.
Уважаемые коллеги!
Чтобы не плодить одинаковые темы, подниму уже имеющуюся.

Вопрос также касается передачи ПДн по средствам обычной электронной почты. А именно интересен такой технический момент - достаточно ли организации шифрованного по требованиям регуляторов туннеля VPN, например на базе маршрутизаторов Cisco с модуялми от С-Терра NME-RVPN, установленных в территориально распределённых офисах коммерческой компании? Допускается передавать почту внутри такого туннеля, но не используя именных сертификатов электронной подписи каждого пользователя, например, как это реализуется в ViPNet "Деловой почте"?
Изменено: Xenobius - 08.04.2015 10:50:24
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 6, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку