Забезпечення відповідності сайту вимогам 152-ФЗ

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів
Розробка та обслуговування будь-яких видів сайтів:
Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Забезпечення відповідності сайту вимогам 152-ФЗ
Середня
~3-5 робочих днів
Часті питання
Наші компетенції:
Етапи розробки
Останні роботи
  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Забезпечення відповідності сайту вимогам 152-ФЗ

Федеральний закон "Про персональні дані" №152-ФЗ зобов'язує операторів ПДн виконувати комплекс організаційних та технічних заходів. Для більшості комерційних сайтів, які збирають імена, email та телефони користувачів, виникають конкретні технічні вимоги.

Що таке ПДн за 152-ФЗ

Персональні дані - це будь-яка інформація, що прямо або непрямо ідентифікує фізичну особу. На практиці: ПІБ, телефон, email, адреса, IP-адреса (спірно, але судова практика схиляється до так), cookies з ідентифікатором.

Технічні вимоги для базового рівня (УЗ-4)

Локалізація даних (ст. 18.1): Персональні дані російських громадян повинні збиратися та зберігатися на серверах у РФ. Допускається реплікація за кордон, але первинна запис - у РФ.

Шифрування при передачі:

  • HTTPS обов'язковий на всіх сторінках, де збираються ПДн
  • TLS 1.2 мінімум, TLS 1.3 рекомендується

Контроль доступу: Доступ до ПДн тільки для сотрудників, яким це необхідно по обов'язках.

class PersonalDataPolicy
{
    public function view(User $authUser, User $targetUser): bool
    {
        return $authUser->hasPermissionTo('view-personal-data')
            && $authUser->department === 'support';
    }
}

Обов'язкові елементи сайту

Політика конфіденціальності: Повинна містити: цілі обробки, правову основу, перелік ПДн, термін зберігання, інформацію про передачу третім особам, права суб'єктів ПДн.

Згода на обробку: Явна, інформована, конкретна. Чекбокс "Я згідний з політикою" без можливості його снігти - не відповідає вимогам.

Уведомлення про утечку: При виявленні утечки ПДн - повідомити Роскомнадзор протягом 24 годин, суб'єктів ПДн - протягом 72 годин.

class DataBreachNotificationService
{
    public function notifyRkn(DataBreach $breach): void
    {
        // Відправити в РКН через портал pd.rkn.gov.ru (API або email)
        // Термін: 24 години з моменту виявлення
    }

    public function notifyAffectedUsers(DataBreach $breach): void
    {
        $affectedUsers = $this->getAffectedUsers($breach);
        // Масова розсилка з описом утечки
        // Термін: 72 години
    }
}

Реєстр операцій обробки ПДн

Оператори, які обробляють ПДн, зобов'язані вести внутрішній реєстр:

class ProcessingActivityRegistry
{
    private array $activities = [
        [
            'name'          => 'Реєстрація користувачів',
            'purpose'       => 'Надання доступу до сервісу',
            'legal_basis'   => 'Згода суб'єкта (ст. 6.1 152-ФЗ)',
            'data_types'    => ['ПІБ', 'email', 'номер телефону'],
            'storage_period'=> '5 років після видалення облікового запису',
            'third_parties' => ['Sendgrid (email розсилки, DPA підписано)'],
            'server_location'=> 'РФ (Selectel, Москва)',
        ],
    ];
}

Уведомлення Роскомнадзора

До початку обробки ПДн оператор зобов'язаний повідомити РКН. Подача через pd.rkn.gov.ru.

Винятки (уведомлення не потрібне): ПДн сотрудників, ПДн для разових договорів, публічно розкритих даних.

Технічні заходи за Наказом ФСТЕК №21

Для УЗ-4 (більшість комерційних сайтів):

  • Ідентифікація та аутентифікація користувачів ІС
  • Управління доступом (рольова модель)
  • Реєстрація подій безпеки (журналювання)
  • Антивірусний захист серверів
  • Виявлення вторгнень (IDS/WAF)
  • Оновлення програмного забезпечення

DPA-угоди з підрядниками

При передачі ПДн третім особам (хмарні сервіси, email-провайдери, аналітика) необхідно заключити DPA (Data Processing Agreement).

Тривалість реалізації

  • Аудит поточного стану + gap-аналіз: 2–3 дні
  • Політика конфіденціальності + согласи: 3–5 днів
  • Технічні заходи (шифрування, журналювання, доступ): 5–10 днів
  • Уведомлення РКН + реєстр: 1–2 дні