Как проверить, что облачный сервис соответствует требованиям 152-ФЗ перед подписанием договора
Прежде чем подписывать договор на облачный сервис, нужно убедиться, что провайдер законно обрабатывает персональные данные и соблюдает требования 152-ФЗ.
Как проверить облачный провайдер в реестре операторов Роскомнадзора
Первый и самый важный шаг — убедиться, что провайдер имеет право обрабатывать персональные данные. По 152-ФЗ каждый оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные и получить соответствующее уведомление. Если облачный сервис выступает оператором или субоператором, его регистрация должна быть подтверждена.
Проверка занимает буквально несколько минут:
1. Перейдите на официальный сайт Роскомнадзора (rkn.gov.ru) в раздел «Реестр операторов, осуществляющих обработку персональных данных».
2. Введите ИНН или наименование провайдера в строку поиска.
3. Проверьте, что запись активна, а не отозвана, и что указанная цель обработки данных совпадает с тем, для чего вы планируете использовать сервис.
Согласно статье 22 152-ФЗ, оператор обязан направить уведомление в Роскомнадзор до начала обработки персональных данных. Отсутствие уведомления — прямое нарушение закона.
По нашему опыту, около 15–20 % небольших облачных провайдеров на российском рынке не имеют действующего уведомления в реестре. Это не обязательно означает мошенничество — иногда провайдер просто не считает себя оператором, передавая эту функцию клиенту. Но тогда в договоре должно быть чётко прописано, кто является оператором, а кто — обрабатывающей стороной по поручению.
Важно: реестр обновляется с задержкой в несколько рабочих дней. Если вы нашли запись, но она выглядит устаревшей, запросите у провайдера актуальную копию уведомления с печатью Роскомнадзора. Команда duubesoft.com рекомендует запрашивать этот документ наряду с остальными — он не заменяет проверку в реестре, но подтверждает добросовестность провайдера.
Где в договоре искать условия локализации данных на территории РФ
Второй критический блок — локализация. С 1 сентября 2015 года пункт 5 статьи 18 152-ФЗ требует, чтобы при сборе персональных данных граждан РФ обеспечивалась запись, систематизация, накопление, хранение и извлечение данных на территории России. Это так называемый принцип локализации.
В облачном контраксте нужно искать конкретные формулировки:
1. Где физически хранятся данные. Ищите в договоре или техническом приложении указание на дата-центр. Должны быть названы город и адрес, либо хотя бы регион размещения серверов. Если провайдер использует несколько площадок — уточните, на какой из них будут размещены ваши данные.
2. Кто контролирует резервное копирование. Даже если основной сервер в России, резервная копия может находиться за рубежом. Это нарушение. Убедитесь, что бэкапы также размещены на территории РФ.
3. Допускается ли трансграничная передача. Если данные могут покинуть Россию (например, для технической поддержки зарубежным инженером), это должно быть явно прописано и обосновано. По статье 18 (пункт 5) трансграничная передача допускается только при обеспечении адекватного уровня защиты и при наличии соответствующего решения Роскомнадзора.
4. Что происходит при расторжении договора. Провайдер обязан вернуть или уничтожить данные в установленный срок. Подробнее об этом читайте в нашем материале «Условия переноса данных при расторжении контракта с SaaS».
Пункт 5 статьи 18 152-ФЗ: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечивается запись, систематизация, накопление, хранение, обновление (извлечение) персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Какие сертификаты СКЗИ и протоколы шифрования должны быть у провайдера
Третий блок проверки — криптографическая защита. Облачный сервис, обрабатывающий персональные данные, должен обеспечивать их конфиденциальность с помощью средств криптографической защиты информации (СКЗИ). Это требование вытекает из Приказа ФСТЭК России № 21 от 18 февраля 2013 года и ГОСТ Р 34.12-2015 («Кузнечик»).
На что обращать внимание:
1. Сертификат соответствия СКЗИ. Провайдер должен предоставить действующий сертификат на средство криптографической защиты, выданный ФСБ или ФСТЭК. Проверьте срок действия сертификата — он не должен быть просрочен.
2. Протоколы шифрования. Минимально допустимые протоколы: TLS 1.2 и выше. Протоколы SSL 3.0, TLS 1.0 и TLS 1.1 считаются устаревшими и не обеспечивают достаточного уровня защиты. В договоре или технической документации должно быть указано, какие именно протоколы используются для передачи данных.
3. Шифрование данных при хранении (at rest). Помимо шифрования при передаче (in transit), данные должны быть зашифрованы на диске. Спросите провайдера, какой алгоритм используется — AES-256, ГОСТ 34.12-2015 «Кузнечик» или другой сертифицированный алгоритм.
4. Управление ключами. Кто генерирует ключи шифрования? Если ключи хранятся у провайдера — это нормально для коммерческих сервисов, но вы должны это знать. Если провайдер предлагает вариант «приватный ключ хранится у клиента» — это дополнительный плюс к безопасности.
| Параметр | Минимальное требование | Желательный уровень |
|---|---|---|
| Протокол передачи | TLS 1.2 | TLS 1.3 |
| Шифрование at rest | AES-128 | AES-256 / ГОСТ «Кузнечик» |
| Сертификат СКЗИ | Действующий сертификат ФСТЭК | Сертификат ФСБ |
| Управление ключами | На стороне провайдера | Клиентский контроль ключей |
На duubesoft.com мы регулярно проверяем техническую документацию провайдеров и замечаем, что многие до сих пор не могут предоставить сертификат СКЗИ по первому запросу. Это серьёзный красный флаг.
Таблица проверки: какие пункты 152-ФЗ проверить в облачном сервисе перед подписанием
Мы собрали все ключевые требования в единую таблицу. Используйте её как рабочий инструмент при анализе договора и технической документации провайдера.
| Пункт проверки | Требование 152-ФЗ / подзаконного акта | Как проверить | Статус |
|---|---|---|---|
| Уведомление Роскомнадзор | Ст. 22 — оператор обязан уведомить Роскомнадзор | Поиск в реестре на rkn.gov.ru | ☐ |
| Локализация данных | Ст. 18, п. 5 — хранение на территории РФ | Запрос адреса дата-центра в договоре | ☐ |
| Согласие субъекта | Ст. 9 — получение согласия на обработку | Проверка формы согласия в сервисе | ☐ |
| Шифрование данных | Приказ ФСТЭК № 21, ГОСТ Р 34.12-2015 | Запрос сертификата СКЗИ | ☐ |
| Назначение ответственного | Ст. 5, п. 1 — ответственный за организацию обработки | Запрос приказа или указания должности | ☐ |
| Журнал событий | Приказ ФСТЭК № 21, п. 13 — ведение журнала | Запрос образца журнала аудита | ☐ |
| Уничтожение данных | Ст. 21 — уничтожение по прекращении обработки | Проверка раздела о расторжении договора | ☐ |
| Трансграничная передача | Ст. 18, п. 5 — ограничение передачи за рубеж | Проверка географии серверов | ☐ |
| Реагирование на инциденты | Ст. 21.1 — уведомление об утечке в 72 часа | Проверка SLA по инцидентам | ☐ |
| Аудит безопасности | Приказ ФСТЭК № 21 — периодический аудит | Запрос последнего отчёта об аудите | ☐ |
Риски: что будет, если облачный сервис не соответствует 152-ФЗ
Несоблюдение требований 152-ФЗ влечёт серьёзные последствия как для провайдера, так и для его клиента — оператора данных. Вот основные риски, которые мы выявили при анализе судебной практики и решений Роскомнадзора:
1. Штрафы по статье 13.11 КоАП РФ. Размер штрафов был значительно увеличен в 2017 году и по состоянию на 2025 год составляет: до 50 000 ₽ за нарушение требований к обработке данных, до 100 000 ₽ за непредоставление информации субъекту, до 6 000 000 ₽ за обработку данных без согласия и до 18 000 000 ₽ за повторное нарушение. Для небольшой компании это может стать критическим ударом.
2. Приостановка деятельности. Роскомнадзор вправе приостановить обработку персональных данных на срок до 6 месяцев. Если ваш бизнес полностью зависит от облачного сервиса, приостановка означает остановку всех процессов — от CRM до электронного документооборота.
3. Репутационные потери. Утечка персональных данных сотрудников или клиентов влечёт обязанность уведомить пострадавших и Роскомнадзор в течение 72 часов (статья 21.1 152-ФЗ). Публичный скандал может обойтись дороже штрафа.
4. Расторжение контракта с госзаказчиком. Если вы работаете с государственными структурами, несоблюдение 152-ФЗ может стать основанием для расторжения контракта и включения в реестр недобросовестных поставщиков.
По данным Роскомнадзора за 2024 год, количество проверок в сфере персональных данных выросло на 30 % по сравнению с 2023 годом, а суммарный размер штрафов превысил 2,5 млрд ₽.
Дополнительно рекомендуем ознакомиться с нашим материалом «Безопасность аккаунта в цифровом сервисе» — в нём мы рассказываем о базовых мерах защиты, которые должен обеспечить каждый облачный провайдер.
Чек-лист: 10 вопросов к провайдеру перед подписанием договора
Мы составили финальный чек-лист из десяти вопросов, которые стоит направить провайдеру в письменной форме до подписания. Ответы на эти вопросы позволят оценить реальный уровень соответствия 152-ФЗ.
1. Есть ли у вас действующее уведомление в реестре операторов Роскомнадзора? Предоставьте номер уведомления и дату регистрации.
2. На территории какого государства физически размещены серверы, на которых будут храниться мои данные? Предоставьте адреса дата-центров.
3. Какие протоколы шифрования используются для передачи данных (in transit) и хранения (at rest)?
4. Предоставьте действующий сертификат СКЗИ на средство криптографической защиты.
5. Кто является оператором персональных данных в рамках нашего взаимодействия — вы или я? Как это зафиксировано в договоре?
6. Предусмотрена ли возможность аудита безопасности со стороны моей организации или независимого аудитора?
7. Каков порядок и сроки уведомления об инцидентах (утечках данных)? Какие обязательства по SLA вы берёте?
8. Что происходит с моими данными при расторжении договора — возврат, уничтожение или иное? В какие сроки?
9. Допускается ли трансграничная передача моих данных? Если да — на каком правовом основании и в какие страны?
10. Какие меры организационной защиты предусмотрены: назначенный ответственный, внутренний регламент обработки ПДн, обучение персонала?
Подробнее о рисках переноса данных читайте в нашем чек-листе «Чек-лист переноса данных: риски и следующий шаг».
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.
