Фото: Коммерсант
1 сентября — дата вступления в силу так называемого закона о персональных данных. Несмотря на то, что об этой дате было известно всем компаниям, которых закон может касаться тем либо иным образом, подготовится к вступлению закона в силу успели далеко не все. В среднем — только каждый десятый из клиентов крупнейших дата-центров, сообщает «Коммерсант». Кроме того, в Россию сейчас переносят данные не только иностранных, но и местных компаний, поскольку из-за девальвации рубля цены на услуги хранения данных в стране стали стоить меньше, чем аналогичные услуги за границей.
Сейчас всего около 10% клиентов двадцати самых крупных провайдеров обработки данных в России успели полностью завершить перенос данных в РФ. Во всяком случае, так говорится в исследовании сразу двух компаний — «Телеком Биржи» и 42Future. «Заказчики демонстрируют достаточно высокий интерес к данной теме, но явно уже запаздывают с ее реализацией. Проблема — в недостаточном понимании компаний, как именно необходимо изменить IT-инфраструктуру и бизнес-процессы», отмечают авторы. Так, в ряде ситуаций заказчики переносили лишь некоторые свои системы, а в отношении остальных приостановили активность, ожидая разъяснений и дополнений со стороны регуляторов", говорится в исследовании.
Есть и исключения, в число которых входят несколько самых крупных ДЦ России. Это, например, DataLine (входит в Inline Technologies Group). У этой компании всего за год появилось около двадцати новых клиентов из-за рубежа. Кроме того, 5 или больше иностранных заказчиков смогла получить компания DataPro, причем ее зарубежные клиенты перенесли данные примерно на 80%. Что касается компании Selectel, то здесь также появились зарубежные заказчики, правда, из их числа перенесли персональные данные в Россию только 10% клиентов.
Согласно информации iKS-Consulting, в 2014 году объем российского рынка ДЦ увеличился почти на 30%, до 11,9 млрд руб. Суммарная площадь машинных залов коммерческих ЦОД в России достигла 86 тыс. кв. м, а число стоек — 25,5 тыс. Крупнейший в России провайдер ЦОД — компания DataLine, у которой семь дата-центров с 2,6 тыс. стоек. В топ-5 также входят ММТС-9, «ТрастИнфо», Selectel и DataPro.
Стоит напомнить, что поправки к закону «О персональных данных», согласно которым компании обязаны хранить персональные данные россиян на серверах, которые расположены на территории России, вступают в силу именно сегодня. Те компании, которые не успевают выполнить это требование, будут вноситься в реестр нарушителей, с последующей возможностью блокировки. В России под действие нового закона подпадает примерно 2,6 млн организаций.
Как говорилось выше, сейчас в Россию приходят не только зарубежные, но и отечественные компании, причиной чего является девальвация рубля. «Из-за девальвации рубля цены на услуги ЦОД в России стали ниже, чем за рубежом, а политические настроения и разнообразные учения на случай отключения России от интернета подстегивают к хранению данных на территории страны. Нашими важными клиентами также являются системные интеграторы, которые выступают в качестве посредников и нередко арендуют мощности для своих заказчиков», — прокомментировал ситуацию исполнительный директор DataPro Евгений Богданчиков.
Комментарии (13)
gandjustas
03.09.2015 15:00Сразу после принятия закона выяснился интересный факт — компании, у которых представительств в России нет нельзя проверить на соответствие к требованиям закона. www.3dnews.ru/919556
Потрясающий факт — серверов FB гарантировано в России нет, при этом проверить исполнение закона нельзя.
То есть если я открою юрлицо не в России, то пока кто-нить не пожалуется, мне ничего не будет. А если пожалуется, то вряд ли смогут доказать, что я храню перс. данные.
Закон скорее легализует репрессивные меры спецслужб, на реальный бизнес никакого влияния не оказывает.
BupycNet
Еще один гвоздь в гроб интернационализации забит. Только представьте ситуацию: есть какой нибудь стартап из США, он небольшой, но у него есть к примеру по 1000 человек из каждой страны. Если такие законы будут во всех странах, стартупу придется арендовать сервера в каждой стране и как то разруливать работу со всеми этими данными. К слову напомните — нужно хранить их только в России, или нужно хранить копию в России? Ну то есть тот же фейсбук будет вынужден обращаться к серверам в России чтобы обрабатывать Российские профили, или же на их стороне все тоже будет?
shifttstas
Да не будут никто так делать, Нигерий мало.
AllexIn
И что, каждый стартап хранит персональные данные?
Если абстрагироваться от конкретно текущей ситуации — контроль за персональными данными — нужен.
Можно вспомнить, как часто они утекают из-за взломов всяких условных пейпалов. И условные пейпалы не несут никакой ответственности перед пользователями из НЕ США. Это нормально что-ли?
Хотите работать с персональными данными — будьте добры работать в той же юрисдикции, где и пользователь. Чтобы нести перед ним ответственность.
cynovg
Вы же понимаете, что речь идет не о «работе в той же юрисдикции». Цитирую: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона»
ibrin
Закон явно предписывает держать БД на физическом сервере в границах РФ. Из разъяснений ГРКН Жарова «возможно временное хранение дубликата данных за рубежом, но только на срок, необходимый для выполнения действий, для которых они передавались за границу» следует, что при необходимости обращение к БД разрешено с иностранного сервера. Но непонятно, разрешается ли шифрование БД и как будет контролироваться необходимость запросов к БД с иностранных IP?
nckma
У меня небольшой интернет магазин и я честно не очень понимаю, как мне правильно сделать. Прочитал кучу статей, разъяснений и т.д. но ясности и понимания нет. Понятно, что у меня есть персональные данные, но:
1) я их не только храню, но и непосредственно передаю третьим лицам — а именно на почту. Имею ли я право это делать? говорят, что я должен получить письменное согласие от адресата! но как?
2) некоторые покупатели заказывают не себе, а друзьям-знакомым. То есть я получаю персональные данные друзей-знакомых и они то точно согласия не давали, но покупка в магазине — это им подарок и сюрприз… как быть?
3) некоторые покупатели не из России и не россияне (хоть я этого и не знаю) — как быть с ними?
4) я могу декларировать сохранность персональных данных, но я реально не могу этого обеспечить, так как существуют уязвимости нулевого дня — когда уязвимость обнаружена но не выпущено фиксов к ней. Ну и кроме того, понятно, что квалификация администраторов не бесконечная, несомненно могут быть изъяны и пробелы в знаниях администраторов — то есть данные точно могут утечь — вопрос времени и желания хакеров. Ну и см. пункт первый — я сам разглашаю персональные данные передавая их на почту.
5) перенести сайт к российскому хостеру можно, но как реально определить где находятся данные? как это будет делать роскомнадзор? Говорят ему нужен только договор с хостером в котором четко прописано местоположение баз данных. Но это ли не смешно?
Во первых, хостер сам не знает где мои данные (фронт-энд может быть у хостера, а база на другом сервере), во-вторых, хостер не дает таких договоров — у него как правило только публичная оферта. В третьих, хостер делает бэкапы сервера — и я не знаю где они находятся физически — у меня нет контроля к ним.
Возможно я слишком неграмотен, но я не понимаю, что с этим делать…
GraDea
По 4 пункту (насколько я понимаю). Есть категории ИС, которые зависят от класса ПД и их объема. Из этой категории вытекают требования к информационной системе. Все просто — вы должны соблюдать данные требования.
sHaggY_caT
Я думаю, что бы ни требовалось, будут хранить в России только копию. Это устроит всех, и компании(со скрипом), и государство. Почему устроит государство? А по тому, что государство, ИМХО, завидует возможностям ЦРУ, его совсем не интересует охрана персональных данных российских граждан, его, государство, интересует собственный доступ к таким данным. А вся шумиха по государственному телевизору, по-моему, лишь пропаганда и прикрытие желания государства запустить свои руки в личные данные пользователей.
KriMs
Вообще где-то в предыдущих топиках говорилось о том, что просто дамп нельзя хранить, нужна именно используемая рабочая версия.
sHaggY_caT
Вы уверены, что именно это будет требовать правоприменительная практика закона? Или, может быть, это лишь пропагандистское прикрытие?
KriMs
Точного ответа никто не даёт.
Можно почитать тут информацию(сам топик, а так же комментарий): http://habrahabr.ru/company/croc/blog/256217/#comment_8385865
gandjustas
Какие гвозди? Вы о чем? Почти такой ж закон существует в евросоюзе, и что?