Как защитить данные в CRM с точки зрения закона и не только?
Планируется создание CRM для печати договоров, учета истории обращений клиентов, сбора статистики своих продаж и т.п. по модели Saas.
Я перечитала кучу статей на хабре про ФСТЭК, защиту ПД, но так и не поняла, есть ли конкретные законодательные требования для таких CRM?
Планируется:
PHP +Mysql на VDS На Centos
- SSL сертификат. где-то прочитала, что нужен по ГОСТУ, а он от 30 к в год, че правда?))
- разграничение прав доступа внутри CRM
- авторизация по логину и паролю
- после трех неудачных попыток ввода пароля ограничение на следующую попытку в 15 минут по IP пользователя
- логи действий каждого пользователя
- на отдельную организацию своя БД Mysql
нужно уведомление в Роскомнадзор? Получение каких-то лицензий?
К лову сказать, не нашла на сайтах отраслевых систем какие-то сведения о защите в соответствии с требованиями ФСТЭК и ФСБ, и у той же AmoCRM не нашла. В итоге требуется или нет? И какие еще моменты по безопасности учесть?
Динара, Вы уверены что прочитали?
Вполне четкие рекомендации изложены.
Если без шуток то могу составить план с вехами по имплементации системы в соответствии с ФЗ 152 и лицензированием ФСТЭК
Начнём с вопроса о том, кто будет иметь доступ к этой CRM - только автор (программа для собственного пользования), только сотрудники организации (отдельно - "только из локалки предприятия" или "со всего мира") или посторонние лица.
Средний
