Что было интересного на X Международной конференции Роскомнадзора. Часть 1

Как и обещал, публикую пост про прошедшую недавно X юбилейную Международную конференцию «Защита персональных данных».

С одной стороны, мероприятие прошло практически в том же формате, что и предыдущие – приветствия, пленарка, две панели с фиксированными выступлениями, свободный микрофон с регуляторами. Из нового – два выступления, заявленные в формате TED, мое и Евгения Калинина из DPO Сбербанка.

Ряд интересных моментов отметил для себя в вступлении Роскомнадзора А. Жарова. От 19% до 34% роста ВВП в России к 2025 году обеспечит таргетирование предложений конкретным пользователям, что в денежном выражении составит 4,1–8,9 трлн руб (данные McKinsey). Вот и ответ о причинах утечек персональных данных, большом желании заняться парсингом в соцсетях и прочем. Глобальный рынок больших данных в 2020 году в мире составит $70 млрд. В выступлении Жарова и последующих выступлениях (и моем тоже, грешен) достаточно много говорилось о государственном регулировании оборота больших и персональных данных, обеспечении интересов государства, бизнеса и субъектов, но дискуссий и столкновений мнений формат конференции не предполагал, кроме как заочных, что не позволило сделать обсуждение этих действительно крайне важных вопросов интересным и полезным.

Роскомнадзор пообещал в следующем году подготовить предложения по законодательной регламентации внутреннего контроля за обработкой персональных данных и установлении административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем. Инициативы интересные, но, на мой взгляд, сложно реализуемые. Регламентация внутреннего контроля возможна только в больших компаниях, в СМБ ей заниматься попросту некому (вспомним квалификацию лиц, ответственных за обработку в этом сегменте). А ответственность за использование ворованных баз данных без какой-либо ответственности за утечки выглядит странной. Кроме того, надо будет доказывать наличие злого умысла при покупке и заведомую известность покупателю факта незаконного получения данных продавцом. Это как вводить ответственность за покупку на рынке краденой картошки или мяса.

А вот предложение Эдгарса Пузо из Ассоциации европейского бизнеса об исключения из закона согласия субъекта на поручение обработки его данных третьему лицу поддерживаю на 146%. Во-первых, и так ответственность перед субъектом в любом случае несет оператор, а, во-вторых, учитывая позицию Роскомнадзора, что любое размещение ИСПДн в дата-центре или облаке – это поручение обработки, законный перенос систем в облако становится практически невозможным, поскольку получить согласие всех cубъектов, чьи данные находятся, например, в переносимой CRM-системе, просто технически невозможно. Даже с системами кадрового учета, где необходимо получение согласия экономически зависимых работников, возникают проблемы с их получением, что же говорить про остальные. Возможно, надо все-таки внимательнее посмотреть на идеологию GDPR и институт «законного интереса» оператора (контролера). GDPR к согласиям работников, кстати, относится, мягко говоря, прохладно именно ввиду их зависимости от работодателя.

Был очень интересный и поучительный обзор по штрафам по GDPR и утечкам за 2019 год от Кристины Боровиковой из KPMG, но вот перевод штрафов в рубли мне лично только мешал, приходилось пересчитывать обратно.

В выступлении Андрея Слепова, партнера «БАЙТЕН БУРКХАРДТ», прозвучала очень интересная, но спорная мысль, о необходимости получения согласия лица, ответственного в компании за организацию обработки персональных данных, на размещение его персональных данных в общедоступном источнике – Реестре операторов Роскомнадзора. Уже после выступления в дискуссии он ссылался на общие и специальные нормы, а я – на п.11 части 1 ст.6 152-ФЗ.

О своем выступлении «Персональные данные в цифровой экономике: газ или тормоз?» постараюсь написать отдельно, поскольку формат TED выступления не предполагает использования детальной презентации с раскладыванием «по полочкам».

На секции, которую меня пригласили вести, выступающие проявили просто фантастическую дисциплину, не вылезая за временные границы, что позволило даже задать им несколько вопросов. Один из главных вопросов, который у меня был, получил однозначный ответ уже в выступлении Дмитрия Шевцова, начальника 2 Управления ФСТЭК России. Он подтвердил возможность иных способов оценки соответствия средств защиты информации в ИСПДн, этот вопрос я задавал в прошлом году и Елене Торбенко из ФСТЭК. Для наглядности привожу слайд из презентации Д. Шевцова:

Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки, и в обоснование компенсирующих мер в соответствии с Методическим документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах». Интеграторов, конечно, понять можно, но заказчиков подталкивать к бессмысленным тратам как-то нехорошо.

Интересно, хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента информационной безопасности Банка России, рассказал о том, как видит Центробанк противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных операций, совершенных с использованием платежных карт, а объем украденных средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной, что основная часть «социальных инженеров» работает в объединенном колл-центре колоний и спецпоселений, высказав мысль, что желающих легко заработать много и в других местах.

Проблема действительно серьезная, согласен с Артемом Михайловичем, что нужны и законодательные меры, и повышение осведомленности клиентов, и работа банков. Я предложил задействовать социальную рекламу на телевидении, как наиболее действенную для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой осенью волна телефонных мошенничеств, изощренность и информированность мошенников требует самой незамедлительной ответной реакции, и думать об этом надо не только Банку России, а государству в целом. В том числе изыскать деньги для информирования населения о проблеме.  

Александр Савельев из Высшей школы экономики выступил с очень интересной мыслью о законодательном введении такого частноправового механизма защиты прав субъектов, как компенсация, основанием для взыскания которой является доказанный факт нарушения законодательства, безотносительно последствий этого нарушения для субъекта, размер которой назначается судом с учетом конкретных обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных прав на результаты интеллектуальной деятельности.

Об интересном на традиционном Круглом столе «Свободный микрофон с регуляторами», который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в отдельном посте. Надеюсь, скоро.

Что интересного будет на X Международной конференции Роскомнадзора

7 ноября в МИА «Россия сегодня» пройдет X юбилейная Международная конференция «Защита персональных данных».

На сайте конференции размещена почти полная программа мероприятия. Как и все последние годы, среди участников – много иностранцев, которые говорить будут прежде всего о GDPR и его могучем движении по Европейской экономической зоне.

В программе – пленарная панельная дискуссия, модерировать которую будет руководитель Роскомнадзора А.А. Жаров, на которую выносятся действительно очень острые вопросы – персональные данные в условиях цифровизации, экономика персональных данных и их использование в предпринимательской деятельности (тут и интересный законопроект подоспел про обезличенные данные и обезличенные персональные данные), локализация и трансграничность потоков данных. Если будут выступления по делу – может быть очень интересно.

Потом будут две международные экспертные встречи «Экономика данных». В первой встрече будут участвовать преимущественно зарубежные гости и Ю.Е. Контемиров, и во второй - представители ФСБ, ФСТЭК, Банка России, а также Huawei, AliExpress, IXcellerate и др., а модерировать встречу предложили мне. Выступления на этих встречах традиционно очень короткие, по 10 минут, и на вопросы обычно времени никто из выступающих не оставляет.

Зато наиболее интересным для слушателей персонам вопросы можно и нужно будет задать на Круглом столе «Свободный микрофон с регуляторами». В этом году, кроме представителей российских органов власти, вовлеченных в процесс, впервые в нем обещают принять участие гости из Европейского надзорного органа по защите данных (очень рассчитываю выяснить их позицию относительно применимости GDPR к российским компаниям) и Группы защиты данных Совета Европы (а тут самое время выяснить про ETS-108 в новой редакции).

Традиционно обращаюсь к читателям блога с предложением присылать мне вопросы, самые интересные обещаю озвучить на Круглом столе. И еще одна просьба к тем, кто планирует прийти, пробыть до конца конференции и задать свой вопрос из зала. Времени в этот раз будет немного меньше, чем обычно, всего 1 час, поэтому просьба вопрос продумать и сформулировать заранее. Иногда на его постановку уходит времени больше, чем на ответ. Если вопросы будут, в перерыве желающие их задать могут подойти ко мне и сформулировать свой вопрос, шансы его озвучить повышаются, но при условии, что я тоже соглашусь с его актуальностью. Просьба в любом случае – без обид.

И есть два новшества, которые кажутся интересными. В конце каждой из двух экспертных встреч будут выступления в модном сейчас формате TED (Technology, Entertainment, Design), на которые отводится по 30 минут. Первым будет выступать зажигательный и зажигающий Алексей Волков из Сбербанка (редкая возможность в последнее время послушать его блестящие выступления), второе выступление – мое. К чести организаторов, они вновь не стали ограничивать или даже обговаривать содержание наших выступлений или просить об их премодерации. Для меня выступление в этом формате первое, готовлюсь, оплошать нельзя.

Так что до встречи на конференции со всеми причастными. Как обычно, уверен, – скучно не будет.

Три мифа о персональных данных и облаках

По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.

Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.

По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.

Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.

На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.

Миф 1 – Персональные данные россиян должны храниться в России

Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.

Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.

При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.

Есть три возможных способа выполнить требования законодательства РФ:

1.     Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.

2.     Разместить данные за рубежом в обезличенной форме.

3.     Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.

Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.

Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.

Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.

Миф 2 - Трансграничная передача данных россиян запрещена

Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.

При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.

Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может

Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.

Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.

Что должен сделать российский оператор персональных данных (заказчик)?

·         Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.

·         Определить уровень защищенности своей информационной системы, которую он выносит в облако.

·         Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.

Что должен сделать зарубежный провайдер облачных услуг?

·         Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.

·         Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).

·         Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.

·         Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.

Общие выводы

·         После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.

·         Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.

·         Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.

И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».

О личной жизни на рабочем месте – 15 мая на PHDays

Жизнь работника офиса в цифровую эпоху значительно изменилась. Интернет и облачные хранилища, социальные сети и мессенджеры, геолокация, видеонаблюдение и биометрическая идентификация — все это приметы нового времени.

Где граница вмешательства работодателя в деятельность работника? Как предотвратить непроизводительную трату рабочего времени и организовать контроль за соблюдением корпоративных правил хранения, использования и передачи информации? Что, если сотрудник работает удаленно? Можно ли контролировать личные гаджеты сотрудника, которые используются в трудовой деятельности? Как поставить систему видеонаблюдения и контроля рабочего времени и не нарушить при этом закон и права работника?

Причины увольнения работников в последние годы самые разнообразные и часто с рабочим местом не обязательно связанные, но так или иначе затрагивающие личную жизнь работника. Машинист метро начинал рабочий день с набрасывания куртки на камеру видеонаблюдения в кабине поезда. Инженер обсуждал с невестой подготовку к свадьбе с использованием служебного аккаунта в мессенджере. Руководитель кадровой службы отправил с рабочего места на свой почтовый ящик в общедоступном сервисе персональные данные работников. Одна работница покритиковала в соцсети качество продукции, производимой компанией, в которой работает, а другая - выложила в Инстаграме фото с вечеринки, где она была в обуви, производимой конкурентом компании. Сотрудники российских компаний серфились в рабочее время в Интернете, обоих наказали, но одно наказание суд отменил, а с другим согласился. Почему? Вы читали правила внутреннего трудового распорядка своего работодателя? Расписывались за ознакомление? А корпоративный кодекс поведения? Нет? Зря… Последствия могут быть самыми печальными.

15 мая на Positive Hack Days с 12:00 до 13:50  в зале «Валдай» мы попытаемся найти ответы на эти и другие вопросы, детально анализируя законодательство и судебную практику — от решений Европейского суда по правам человека по делу Барбулеску и Конституционного суда РФ по делу Сушкова и до решений мировых и районных судов, локальные акты работодателей и последствия их невыполнения работниками. Никаких домыслов и предположений – только факты из российской и зарубежной практики.

А начнем мы с вывода Рабочей группы Евросоюза по вопросам защиты физических лиц при обработке персональных данных, сделанного в отношении мониторинга рабочей переписки персонала: «Работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета».

Мониторинг персонала, DLP, и ментальность

Оценка допустимости контроля со стороны работодателя за действиями своих работников –одна из сложных и наиболее часто обсуждаемых проблем. Евгений Бартов сделал подборку из переводов трех статей, касающихся подходу к организации такого контроля в трех странах – США, Франции и Германии.

Материал интересный, а в преддверии DLP Russia-2013 - весьма актуальный. Учитывая тематику и направленность мероприятия вопросы мониторинга персонала и использования DLP-систем всплывут обязательно. Я, во всяком случае, в своем выступлении «О разрешительной системе доступа к информации, допустимых границах контроля и доверии работнику» об этом обязательно  выскажусь.

В статьях, упомянутых выше, приводятся очень яркие примеры влияния ментальности наций как на сами законы, так и на практику их правоприменения.

Ближе всех к нашему отношению к вопросам мониторинга за персоналом из рассмотренных стран, безусловно, США. Все просто – работодатель может практически все, и это все будет законно. Более того, если действия работников не контролировать, можно влететь в правило «принципал отвечает» и понести конкретные убытки. Ну, а рассмотрение нюансов различных подходов к полноте и содержанию мониторинга, условно названных «нравственность», «прагматичность», «справедливость» и «всеобщее благо», - это от нас еще очень далеко. Мы люди простые и суровые.

С Францией сложнее. Там право на приватность есть, но личную переписку с рабочего места или личные файлы на рабочем компе надо фактически маркировать так, чтобы контролер работодателя мог это однозначно понять. Опять-таки, читать про разумные пределы использования средств работодателя для личных целей в судебных решениях занятно.

А в Германии опять все просто. В целом нельзя. Никогда. Никому. Частная жизнь и приватность священны и неприкосновенны. Но, если очень надо, то все-таки можно. Критерии того, когда допустимо, например, видеонаблюдение в общедоступных местах, впечатляют:

1) отсутствуют признаки нарушения законных интересов людей;

2) наблюдение необходимо для выполнения следующих задач:

·       предоставление возможности государственным службам выполнять свои обязанности;

·       препятствование попаданию нарушителей на территорию;

·       достижение правомерных целей в определенных ситуациях (например, при подозрении в совершении преступления).

Как вам правомерные цели в определенных ситуациях?

При скрытом наблюдении (в общественных местах недопустимо) надо заранее предупредить работников и дать им возможность самостоятельно решать, что можно делать с полученными результатами. Фантастика. А вот еще: «При возникновении конфликта между общими правами работника на приватность и интересами работодателя эти интересы и права подлежат сравнению, чтобы по ситуации определить, что приоритетнее». Или: «Согласно решениям Федерального суда по трудовым вопросам скрытое наблюдение с использованием технических средств разрешается только в следующих случаях:

• имеются конкретные признаки уголовного преступления или иных серьезных правонарушений, осуществляемых за счет работодателя;  

• наблюдение является самым безобидным средством для проверки возникших подозрений;  

• скрытое наблюдение является практически единственным средством решения проблемы;  

• скрытое наблюдение адекватно (например, причины недостач в кассе не могут быть выявлены никаким иным способом)».

Самое безобидное, практически единственное и адекватное. Как критерии допустимости.

Ну и про нас. У нас в законах ничего про это нет. Да и с судебными решениями плохо. Не до этого угнетенному персоналу. Зарплату бы получить.

Поэтому выскажу свою точку зрения. Мониторить можно. Но только открыто. На основании доведенных до работника регламентов. С его согласия. А если не даст – отключим газ (отберем компьютер, электронную почту, интернет – добавить недостающее). И пусть себе трудится и выполняет свои обязанности без всего этого.

А про детали – в пятницу, 20 сентября, на конференции.

Grand-2013

А? Как звучит? Героическими усилиями Дмитрия Мацкевича и его команды 28 марта в Holiday Inn Сокольники пройдет Международный Гранд Форум «Вокруг ЦОД, Вокруг Облака, Вокруг IP. Бизнес и информационные технологии». Похоже, несколько сот человек найдут любую интересную для себя тему, связанную с дата-центрами, облаками и всем остальным – от пожаротушения до продажи сервисов, от «зеленых» ЦОДов до стартапов, живущих где-то за облаками, от социальных сетей до оценки облачного рынка в целом.

Что интересно лично мне: про влияние ИТ на успех бизнеса от организатора; про ИТ-инфраструктуру в облаке для распределенной виртуальной компании (звучит-то как!) от Рустэма Хайретдинова, как раз такой компанией и владеющего; про игровые механики для мотивации сотрудников с использованием ИТ-технологий от Алексея Любко из «Пряников»; про BYOD от Дениса Дубровина из Aastra Technologies Limited (как безопаснику, интересно сверить позиции); управление ДИТ как бизнесом при помощи частных облаков от Михаила Козлова из DevBusiness.ru, ну, и кое-что еще.

Все это показалось увлекательным, и мы тоже втянулись. Решили рассказать про грабли, спрятанные в ЦОДе (естественно, про обработку персональных данных в ЦОДе и облаке и про то, как на них не наступить). Так уж сложилось, что законотворчество и технический прогресс идут каждый своими путями, которые почему-то редко пересекаются. Это произошло и у нас с персональными данными. Государственное регулирование их обработки и обеспечения безопасности практически не учитывает особенности работы в Интернете, возможности переноса обработки на технологические площадки коммерческих центров обработки данных и совсем не отражает все большую популярность размещения данных в облачных инфраструктурах. 

В выступлении мы попытаемся найти ответ на вопрос, как в этих условиях добиться соответствия законодательству и, в то же время, не нарушить законные права граждан, чьи данные обрабатываются оператором, кто, как должен и может нарисовать модель угроз, сколько их должно быть и что с ними делать. О мерах на стороне ЦОДа и на стороне его клиента. О криптошлюзах для доступа в ЦОД и причинах ограничения их производительности. Если ребята из латвийского DEAC к этому времени останутся, можно будет поговорить и о трансграничке, ЦОДе за рубежом как площадке для обработки персданных, рисках, регуляторах и возможных проблемах.

Тема более чем актуальная, по оценке нашего агентства. ЦОДов и облаков, предлагающих XaaS для персональных данных, все больше. Хостинг, колокация, дидикейтед – повседневная практика для многих компаний (почему-то чаще зарубежных, работающих на российском рынке, но и об этом пару слов скажем). А вот насколько это вписывается в 152-ФЗ «О персональных данных»– большой вопрос. Поищем ответы вместе. Для этого большие конференции и нужны.