Данная схема реализации базы данных подходит под рамки 152-ФЗ?

Question

[ccgfg]

Добрый день, возник вопрос по поводу 152 ФЗ.
1) Мне как оператору необходимо также шифровать пдн данные или же достаточно шифрования со стороны сервиса, где я буду арендовать сервер под бд(например reg ru , select, и т.д. , где есть акредитация)?
2) Если с моей стороны, как оператора, необходимо шифровать пдн данные, то такая схема реализации таблиц в базе данных подходит под рамки 152 ФЗ или нет?
Схема(для примера):
Таблица с игровыми данными (открытая)
CREATE TABLE players (
uuid VARCHAR(36) PRIMARY KEY,
nickname VARCHAR(16),
coins INT
);

Таблица с пдн (вся зашифрована)
CREATE TABLE accounts (
id_account_encrypted VARBINARY(255) PRIMARY KEY,
email_encrypted VARBINARY(255),
ip_encrypted VARBINARY(255)
);

Таблица связи (зашифрована)
CREATE TABLE uuid_to_account (
uuid_encrypted VARBINARY(255) PRIMARY KEY,
id_account_encrypted VARBINARY(255)
);
3 таблицы. Первая таблица с uuid и игровыми данными. Вторая таблица с id_account и пдн данными, где вся таблица зашифрованна. Третья таблица, где храниться шифрованный uuid и шифрованный id_account. Чтобы серверу получить доступ к пдн данным, ему нужно по uuid получить id account(то есть зашифровать, uuid на стороне бд расшифровать и найти id account), после чего серверу приходит шифрованный id account , с помощью него уже достаются данные из таблицы с пдн данными в зашифрованном формате.
Прошу помочь в данном вопросе, так как нигде нет конкретики в реализации. Если есть какие-либо примеры баз данных под данное законадательство, буду признателен рассмотреть их для понимания в данном вопросе.

Comments

[Everything_is_bad]

а где в законе что-то про шифрование?

[Aragorn]

Everything_is_bad, ну так а вы его читали, этот 152 ФЗ? Или хотя бы гуглить пробовали?

[Everything_is_bad]

Aragorn, защита и шифрование это разные вещи

[Aragorn]

Everything_is_bad, ага, все так говорят. Но рекомендую почитать вот это

[Everything_is_bad]

Aragorn, и где там про обязательном шифрование данных на сервере?

[Aragorn]

Everything_is_bad, я отвечаю на ваш вопрос "где там что-то про шифрование". А про то где именно оно нужно, надо задуматься уже автору вопроса, и возможно задать вопрос другого плана. А ваше высказывание предпологает, что его там нет вообще

[Everything_is_bad]

Aragorn, в законе нет, мое высказывание ты даже не понял, ясно же он про конкретную проблему автора

[freeExec]

есть какие-либо примеры баз данных

Достаточно посмотреть топ-10 утечек последних лет

[Василий Банников]

Aragorn, ну вот если почитать статью, то получается, что шифровать данные нужно при передаче, но не при хранении на сервере

[hint000]

такая схема реализации таблиц в базе данных подходит под рамки 152 ФЗ или нет?

Тут у вас нет ПДН. Один только адрес e-mail не является ПДН без привязки его к ФИО.

[SymphoGraph]

Стесняюсь спросить... А во что такое люди играют, что им требуется 152 ФЗ?

[Руслан Федосеев]

как только игра прийдет к оплате - понадобится )

Answer 1

[Shaman_RSHU]

Если с точки зрения 152-ФЗ, то любая схема :) Надзорным органам наплевать на реализацию, если БД находится на территории РФ. А вот если Вы не обвешаетесь необходимыми бумажками (регламентами, инструкциями, приказами и т.д.) не соберете согласия с субъектов, то можете попасть на штрафы, которые в последнее время увеличили до оборотных.

Answer 2

[other_letter]

Чтобы поймать регулятора, нужно думать как регулятор (с)
Выше уже ответили, я лишь чуть дополню:
Танцуйте от категории и требований. Определите категорию ПДн, скорее всего ничего солидного у вас нет и вам надо просто задокументировать, что где лежит и как обрабатывается. Всё.
ПДн обрабатывают решительно все, у кого в штате есть работники (т.е. прям все).
Да, в Законе и Книжии полно формулировок типа "делать всё что нужно делать и строго не допускать того, чего нельзя допускать"
Просто выполняйте требования и всё. В случае, если будут вопросы важно, что вы прилагали усилия. А штраф если захотят наложат и так.