Как выбрать дата-центр для хранения персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Выбор дата-центра для хранения персональных данных — это ключевое решение, от которого зависит законность работы компании и её безопасность. Основное требование ФЗ-152 заключается в том, что персональные данные граждан РФ должны храниться в пределах территории России. Поэтому при выборе дата-центра важно убедиться, что он расположен на территории РФ, имеет необходимые сертификаты (в том числе соответствие требованиям ФСТЭК и ФСБ) и обеспечивает технические и организационные меры защиты информации.

Приоритет следует отдавать дата-центрам с уровнем отказоустойчивости Tier III и выше, с круглосуточным мониторингом, резервированием инженерной инфраструктуры и строгим контролем доступа. Также важно, чтобы дата-центр предлагал сервисы резервного копирования, шифрования и средства защиты информации в соответствии с законодательством.

Обоснование по законодательству

• ФЗ-152 «О персональных данных», ст. 18, ч. 5 — обязывает хранить ПДн граждан РФ на территории Российской Федерации.
• Постановление Правительства РФ № 242 от 01.09.2015 — устанавливает требования к локализации ПДн.
• Приказы ФСТЭК России № 21 и № 239 — определяют меры защиты персональных данных в информационных системах.
• ГОСТ Р 57580.1-2017 — описывает требования к защите информации в дата-центрах и ИСПДн.

Практика проверок Роскомнадзора

Роскомнадзор на проверках уделяет особое внимание подтверждению того, где именно физически расположены базы данных и резервные копии. Были случаи, когда компании формально использовали российский интерфейс зарубежных облачных сервисов, но хранение фактически велось за границей — такие ситуации признавались нарушениями. Также ведомство проверяет наличие у оператора документов, подтверждающих адрес дата-центра и договорённости с ним.

Критерии правильного выбора дата-центра

• Территориальное расположение — исключительно в России.
• Сертификация по требованиям ФСТЭК и ФСБ (если обрабатываются специальные категории данных).
• Наличие технических и организационных мер безопасности: контроль доступа, системы мониторинга, средства защиты информации.
• Договорные гарантии хранения и обработки ПДн в соответствии с законодательством РФ.
• Возможность проверки и получения подтверждающих документов о месте хранения.

Рекомендации и выводы

Выбирая дата-центр, важно смотреть не только на его технические характеристики, но и на соответствие законодательству в области защиты персональных данных. Ошибка в этом вопросе может привести к штрафам и блокировке ресурсов. Чтобы минимизировать риски, компании необходимо:

1. Проверить документы и сертификаты дата-центра.
2. Закрепить в договоре условия о локализации и защите ПДн.
3. Включить данные о выбранном дата-центре в пакет документов по ФЗ-152.

Компания ICTech поможет вам провести аудит поставщиков услуг, выбрать надёжный дата-центр и подготовить все необходимые документы, которые подтвердят выполнение требований локализации и защиты персональных данных. Это позволит вашей компании работать законно и без риска.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге