Облачные сервисы и ПДн в 2026 году: как выбрать безопасного провайдера
Я - Олег Петухов, руководитель юридической компании «ЛЕГАС». Ко мне регулярно обращаются с вопросом: «Можно ли хранить персональные данные (ПДн) в облаке?» Да, можно, но только если провайдер соответствует требованиям 152 ФЗ. Разберу пошагово, как выбрать безопасного поставщика облачных услуг - со ссылками на закон и практическими рекомендациями.
Какие требования закона к облачным сервисам с ПДн?
По ст. 18.1 152 ФЗ, при хранении ПДн в облаке провайдер обязан:
• гарантировать локализацию данных на территории РФ (если компания работает с гражданами РФ);
• обеспечить уровень защищённости в зависимости от категории данных (УЗ 1, УЗ 2 и т. д.);
• иметь аттестат соответствия требованиям ФСТЭК и ФСБ (если обрабатывает специальные категории ПДн);
• заключить договор поручения на обработку ПДн с чётким перечнем мер защиты;
• предоставить доступ к отчётам о безопасности (аудит, инциденты, тесты на проникновение).
Как проверить провайдера: пошаговый алгоритм
Шаг 1. Проверьте локализацию данных.
Убедитесь, что серверы находятся в РФ. Если провайдер использует международные дата центры, это нарушение 152 ФЗ (ч. 5 ст. 18).
Шаг 2. Запросите сертификаты и аттестаты.
Провайдер должен предоставить:
• аттестат соответствия требованиям ФСТЭК (для УЗ 1–УЗ 3);
• лицензии ФСБ на криптографию (если используется шифрование);
• отчёты о пентестах (тесты на проникновение).
Шаг 3. Изучите договор.
В договоре должны быть:
• чёткие обязательства по защите ПДн;
• порядок уведомления об инцидентах (срок - не более 24 часов);
• гарантия удаления данных после расторжения договора;
• ответственность за утечки (штрафы, возмещение убытков).
Шаг 4. Проверьте меры защиты.
Убедитесь, что провайдер применяет:
• шифрование данных (в покое и при передаче);
• двухфакторную аутентификацию (2FA);
• резервное копирование с защитой копий;
• мониторинг угроз и SIEM системы.
Шаг 5. Оцените прозрачность отчётности.
Надежный провайдер регулярно публикует:
• отчёты об аудитах безопасности;
• статистику инцидентов (если были);
• планы реагирования на утечки.
Частые ошибки при выборе провайдера
• Игнорирование локализации. Хранение данных за рубежом без разрешения - прямое нарушение 152 ФЗ.
• Отсутствие договора поручения. Без него вы несёте полную ответственность за утечку.
• Недооценка уровня защищённости. Для УЗ 1 нужны особые меры (например, изоляция от других клиентов).
• Вера в «облачную безопасность по умолчанию». Провайдер отвечает за инфраструктуру, но вы - за конфигурацию и доступ.
Что делать, если провайдер не соответствует требованиям?
1. Направьте претензию с требованием устранить нарушения.
2. Если не реагируют - расторгните договор и перенесите данные к другому поставщику.
3. При утечке - уведомите Роскомнадзор в течение 24 часов (ч. 3.1 ст. 21 152 ФЗ).
4. При необходимости - обратитесь в суд для возмещения убытков.
Заключение
Выбирая облачный сервис для хранения ПДн, не доверяйте маркетинговым обещаниям. Проверяйте:
• локализацию серверов;
• сертификаты безопасности;
• условия договора;
• реальные меры защиты.
Сделайте всё правильно с первого раза - и вы избежите штрафов до 6 млн руб. (по ч. 8 ст. 13.11 КоАП РФ) и репутационных потерь.
Помните ключевые правила:
• 152 ФЗ требует локализации данных в РФ - если работаете с гражданами РФ;
• договор поручения обязателен - без него вы несёте полную ответственность за утечку;
• уровень защищённости (УЗ) должен соответствовать категории данных;
• прозрачность отчётности - признак надёжного провайдера;
• реакция на инциденты - должна быть быстрой (уведомление в течение 24 часов).
Нужна помощь юриста? Команда «ЛЕГАС» готова проконсультировать по всем вопросам защиты ПДн - от аудита договора с провайдером до сопровождения проверок Роскомнадзора.
• Скачайте чек лист «Проверка облачного провайдера на соответствие 152 ФЗ»
• Поделитесь статьёй с тем, кому это может пригодиться (например, с IT директором или руководителем отдела безопасности)
• Подпишитесь на legascom.ru - разбираем сложное просто
Дополнительные полезные советы от юриста
1. При аудите провайдера:
запросите акт классификации информационной системы (подтверждает УЗ);
проверьте наличие лицензии ФСБ на криптографию, если используется шифрование;
убедитесь, что провайдер проводит ежегодные пентесты (тесты на проникновение).
2. В договоре с провайдером:
чётко пропишите перечень обрабатываемых ПДн и цели обработки;
укажите порядок уведомления об инцидентах (срок, формат, контакты);
закрепите обязанность удаления данных после расторжения договора;
предусмотрите штрафные санкции за нарушения требований 152 ФЗ.
3. Для международных компаний:
если работаете с гражданами ЕС, проверьте соответствие GDPR (локализация, право на забвение и т. д.);
учтите, что 152 ФЗ и GDPR могут конфликтовать - нужна комплексная стратегия.
4. При переносе данных:
обеспечьте шифрование при передаче (TLS 1.3+, VPN);
проведите инвентаризацию данных перед загрузкой в облако;
настройте логирование доступа - кто, когда и зачем обращался к данным.
5. Регулярный мониторинг:
раз в 6 месяцев запрашивайте отчёты о безопасности у провайдера;
проверяйте актуальность сертификатов (ФСТЭК, ФСБ);
обновляйте политику обработки ПДн при изменении условий договора.
Краткий итог: что проверить перед выбором провайдера
Юридический блок:
• договор поручения на обработку ПДн;
• согласие на трансграничную передачу (если серверы за рубежом);
• ответственность за утечки (штрафы, возмещение убытков).
Технический блок:
• локализация серверов (РФ для граждан РФ);
• уровень защищённости (УЗ 1–УЗ 4);
• шифрование (в покое и при передаче);
• двухфакторная аутентификация (2FA);
• резервное копирование с защитой копий.
Документальный блок:
• аттестат соответствия ФСТЭК;
• лицензия ФСБ (если есть криптография);
• отчёты о пентестах;
• политика обработки ПДн провайдера.
