Задать вопрос
@ccgfg

Данная схема реализации базы данных подходит под рамки 152-ФЗ?

Добрый день, возник вопрос по поводу 152 ФЗ.
1) Мне как оператору необходимо также шифровать пдн данные или же достаточно шифрования со стороны сервиса, где я буду арендовать сервер под бд(например reg ru , select, и т.д. , где есть акредитация)?
2) Если с моей стороны, как оператора, необходимо шифровать пдн данные, то такая схема реализации таблиц в базе данных подходит под рамки 152 ФЗ или нет?
Схема(для примера):
Таблица с игровыми данными (открытая)
CREATE TABLE players (
uuid VARCHAR(36) PRIMARY KEY,
nickname VARCHAR(16),
coins INT
);

Таблица с пдн (вся зашифрована)
CREATE TABLE accounts (
id_account_encrypted VARBINARY(255) PRIMARY KEY,
email_encrypted VARBINARY(255),
ip_encrypted VARBINARY(255)
);

Таблица связи (зашифрована)
CREATE TABLE uuid_to_account (
uuid_encrypted VARBINARY(255) PRIMARY KEY,
id_account_encrypted VARBINARY(255)
);
3 таблицы. Первая таблица с uuid и игровыми данными. Вторая таблица с id_account и пдн данными, где вся таблица зашифрованна. Третья таблица, где храниться шифрованный uuid и шифрованный id_account. Чтобы серверу получить доступ к пдн данным, ему нужно по uuid получить id account(то есть зашифровать, uuid на стороне бд расшифровать и найти id account), после чего серверу приходит шифрованный id account , с помощью него уже достаются данные из таблицы с пдн данными в зашифрованном формате.
Прошу помочь в данном вопросе, так как нигде нет конкретики в реализации. Если есть какие-либо примеры баз данных под данное законадательство, буду признателен рассмотреть их для понимания в данном вопросе.
  • Вопрос задан
  • 345 просмотров
Подписаться 1 Простой 12 комментариев
Решения вопроса 2
@Shaman_RSHU
Если с точки зрения 152-ФЗ, то любая схема :) Надзорным органам наплевать на реализацию, если БД находится на территории РФ. А вот если Вы не обвешаетесь необходимыми бумажками (регламентами, инструкциями, приказами и т.д.) не соберете согласия с субъектов, то можете попасть на штрафы, которые в последнее время увеличили до оборотных.
Ответ написан
Комментировать
@other_letter
Чтобы поймать регулятора, нужно думать как регулятор (с)
Выше уже ответили, я лишь чуть дополню:
Танцуйте от категории и требований. Определите категорию ПДн, скорее всего ничего солидного у вас нет и вам надо просто задокументировать, что где лежит и как обрабатывается. Всё.
ПДн обрабатывают решительно все, у кого в штате есть работники (т.е. прям все).
Да, в Законе и Книжии полно формулировок типа "делать всё что нужно делать и строго не допускать того, чего нельзя допускать"
Просто выполняйте требования и всё. В случае, если будут вопросы важно, что вы прилагали усилия. А штраф если захотят наложат и так.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы