Меню
Что нового?

PHP и безопасность персональных данных

eltoko

Новичок
PHP и безопасность персональных данных

имеется клиент-серверная интерактивная система... написанная на PHP, и расположенная у хостера...
Встал вопрос об "Обеспечении системы защиты персональных данных в соответствии с требованиями законодательства РФ".

никто с этим не сталкивался? если сталкивались - к чему в итоге пришли? т.е. как вы защищаете клиент-серверные онлайн-системы?

я не прошу полноразвернутого ответа, как обезопасить веб-приложение... просто хотелось бы узнать, с чем придется столкнуться ))

просьба не слать меня читать книжки - уже читаю ;)
 
Ирокез

Ирокез

бессмертный пони
Команда форума
Партнер клуба
Если в соответствии с требованиями, то реализуйте алгоритм шифрования ГОСТ, в идеале как JS, дабы данные шифровались на стороне клиента (это снимет часть ответственности с вас в скользких случаях). все остальное (касаемо PHP) дело техники и вкуса.

Основная проблема не в том как реализовать, а в том как обеспечить целостность и надежность хранения. Вы описали самый отвртатительный случай (данные хранятся у хостера), ответственность за данные несете вы, а хостер лицо не определнное, полетят винты и будете заложником ситуации
 

eltoko

Новичок
Ирокез
Вы описали самый отвртатительный случай (данные хранятся у хостера), ответственность за данные несете вы, а хостер лицо не определнное, полетят винты и будете заложником ситуации
Нажмите для раскрытия...
да уж.. покупать сервер и ПО для него не хочется )), а видимо придется.
 
Beavis

Beavis

Banned
eltoko
для начала наверное стоит детально изучить требования законодательства РФ
 
Ирокез

Ирокез

бессмертный пони
Команда форума
Партнер клуба
Автор оригинала: eltoko
Ирокез

да уж.. покупать сервер и ПО для него не хочется )), а видимо придется.
Нажмите для раскрытия...
По физической охране, адекватный датацентр (в теории ;) ) обладает приличным количеством реализованных требований (пожаротушение, видеонаблюдение, ограничение доступа, решетки, аварийное питание и т.д.). т.е. колокейшен(ну или дедикейтед) на первое время может помочь.

Самое главное в хранении персональных данных это грамотно составленное соглашение, которое пользователь должен подтверждать как при первой регистрации, так и в случае изменения в нем. но тут главное не переборщить, а то хрен кто с ним согласится :)

Вообще самое грамотное что я видел по требованиям к обеспечению безопасности данных (физическое, требование к ПО сервера, требования к разработке) это PCI DSS (payment card ind data security standart)
 

untied

Сдвинутый новичок
Тут, как в том анекдоте про Чапаева, есть нюанс.
Если проект ТС выполняется для отечественных госструктур, то никакие умные слова, типа PCI DSS, не проканают. Зато слово "ГОСТ" идет на ура. И аццкие кипы всевозможных бумажек действуют лучше оборудования адекватного датацентра (пожаротушения, видеонаблюдения и проч.)

То есть "система защиты персональных данных", существующая в виде вороха бумажек, может быть более востребованна, чем реальное оборудование, охрана, шифрование и пр-пр.
Уточняйте у заказчика, какая именно ему нужна система защиты. ;)
 

eltoko

Новичок
untied
Уточняйте у заказчика, какая именно ему нужна система защиты.
Нажмите для раскрытия...
заказчика нет :) есть задача - привести защиту персональных данных в соответствие с требованиями законодательства РФ. :)

это как снег на голову )) обратились в несколько компаний, которые занимаются этим, а они нас опросниками закидали: типа какое у вас оборудование, ОС, ПО и т.п. и т.д.
а у нас нет никакого оборудования, у нас хостер есть :)

в общем мы первый шаг к "Обеспечение системы защиты персональных данных в соответствии с требованиями законодательства РФ" для веб-приложения сделали. Как пройдем весь путь, расскажу, как мы к этому шли :)
 

untied

Сдвинутый новичок
Т.е. сами себе придумали геморой, и он оказался как снег на голову? Что-то вы не договариваете, товарищ!
 

eltoko

Новичок
Судный день наступит 1 января 2010 года


Ответ на вопрос:
Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 "О персональных данных", должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.


а первое января 2010 года уже прошло ))
 

untied

Сдвинутый новичок
Ой, да сразу видно программеров под колпаком у "конторы". "Снег на голову...", "Жить спокойней хочется..."
Запасайтесь бумажками. И вазелином. :D
 
Войдите или зарегистрируйтесь для ответа.
Сверху