Обеспечение соответствия сайта требованиям 152-ФЗ

Наша компания занимается разработкой, поддержкой и обслуживанием сайтов любой сложности. От простых одностраничных сайтов до масштабных кластерных систем построенных на микро сервисах. Опыт разработчиков подтвержден сертификатами от вендоров.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и обслуживание любых видов сайтов:
Информационные сайты или веб-приложения
Сайты визитки, landing page, корпоративные сайты, онлайн каталоги, квиз, промо-сайты, блоги, новостные ресурсы, информационные порталы, форумы, агрегаторы
Сайты или веб-приложения электронной коммерции
Интернет-магазины, B2B-порталы, маркетплейсы, онлайн-обменники, кэшбэк-сайты, биржи, дропшиппинг-платформы, парсеры товаров
Веб-приложения для управления бизнес-процессами
CRM-системы, ERP-системы, корпоративные порталы, системы управления производством, парсеры информации
Сайты или веб-приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, конструкторы сайтов, порталы предоставления электронных услуг, видеохостинги, тематические порталы

Это лишь некоторые из технических типов сайтов, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента

Предлагаемые услуги
Показано 1 из 1 услугВсе 2065 услуг
Обеспечение соответствия сайта требованиям 152-ФЗ
Средняя
~3-5 рабочих дней
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_website-b2b-advance_0.png
    Разработка сайта компании B2B ADVANCE
    1214
  • image_web-applications_feedme_466_0.webp
    Разработка веб-приложения для компании FEEDME
    1161
  • image_websites_belfingroup_462_0.webp
    Разработка веб-сайта для компании БЕЛФИНГРУПП
    852
  • image_ecommerce_furnoro_435_0.webp
    Разработка интернет магазина для компании FURNORO
    1041
  • image_crm_enviok_479_0.webp
    Разработка веб-приложения для компании Enviok
    823
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Разработка веб-сайта для компании ФИКСПЕР
    815
Показать больше работ

Обеспечение соответствия сайта требованиям 152-ФЗ

Федеральный закон «О персональных данных» №152-ФЗ обязывает операторов ПДн выполнять комплекс организационных и технических мер. Для большинства коммерческих сайтов, собирающих имена, email и телефоны пользователей, возникают конкретные технические требования.

Что такое ПДн по 152-ФЗ

Персональные данные — любая информация, прямо или косвенно идентифицирующая физическое лицо. На практике это: ФИО, телефон, email, адрес, IP-адрес (спорно, но судебная практика склоняется к да), cookies с идентификатором.

Технические требования для базового уровня (УЗ-4)

Локализация данных (ст. 18.1): Персональные данные российских граждан должны собираться и храниться на серверах в РФ. Допускается репликация за рубеж, но первичная запись — в РФ.

# Если используется CDN — убедиться, что PoP в РФ для primary storage
# Cloudflare Russia Data Residency или российские CDN (VKCDN, CDN от Selectel)

Шифрование при передаче:

  • HTTPS обязателен на всех страницах, где собираются ПДн
  • TLS 1.2 минимум, TLS 1.3 рекомендуется
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:...;
ssl_prefer_server_ciphers off;

Контроль доступа: Доступ к ПДн только для сотрудников, которым это необходимо по должностным обязанностям.

// Разграничение доступа в Laravel через Spatie Permissions
class PersonalDataController extends Controller
{
    public function show(User $user)
    {
        $this->authorize('view-personal-data'); // только роль 'operator'
        return response()->json($user->getPersonalData());
    }
}

// Политика доступа
class PersonalDataPolicy
{
    public function view(User $authUser, User $targetUser): bool
    {
        return $authUser->hasPermissionTo('view-personal-data')
            && $authUser->department === 'support';
    }
}

Обязательные элементы сайта

Политика конфиденциальности: Должна содержать: цели обработки, правовые основания, перечень ПДн, срок хранения, информацию о передаче третьим лицам, права субъектов ПДн.

Согласие на обработку: Явное, информированное, конкретное. Чекбокс «согласен с политикой» без возможности его снять — не соответствует требованиям.

// Запись согласия с обязательными полями
ConsentRecord::create([
    'user_id'        => $user->id,
    'type'           => 'personal_data_processing',
    'ip_address'     => $request->ip(),
    'user_agent'     => $request->userAgent(),
    'document_version' => config('legal.privacy_policy_version'), // '2024-01-15'
    'consent_text'   => ConsentType::current('data_processing')->text,
    'granted_at'     => now(),
]);

Уведомление об утечке: При обнаружении утечки ПДн — уведомить Роскомнадзор в течение 24 часов, субъектов ПДн — в течение 72 часов.

// Incident response план (автоматизированная часть)
class DataBreachNotificationService
{
    public function notifyRkn(DataBreach $breach): void
    {
        // Отправить в РКН через портал pd.rkn.gov.ru (API или email)
        // Срок: 24 часа с момента обнаружения
    }

    public function notifyAffectedUsers(DataBreach $breach): void
    {
        $affectedUsers = $this->getAffectedUsers($breach);
        // Массовая рассылка email с описанием утечки
        // Срок: 72 часа
    }
}

Реестр операций обработки ПДн

Операторы, обрабатывающие ПДн, обязаны вести внутренний реестр:

// Документировать все операции обработки
class ProcessingActivityRegistry
{
    private array $activities = [
        [
            'name'          => 'Регистрация пользователей',
            'purpose'       => 'Предоставление доступа к сервису',
            'legal_basis'   => 'Согласие субъекта (ст. 6.1 152-ФЗ)',
            'data_types'    => ['ФИО', 'email', 'номер телефона'],
            'storage_period'=> '5 лет после удаления аккаунта',
            'third_parties' => ['Sendgrid (email рассылки, договор DPA заключён)'],
            'server_location'=> 'РФ (Selectel, Москва)',
        ],
        // ...
    ];
}

Уведомление Роскомнадзора

До начала обработки ПДн (за исключением ряда случаев) оператор обязан уведомить РКН. Подача через pd.rkn.gov.ru.

Исключения (уведомление не требуется): ПДн сотрудников, ПДн для разовых договоров, публично раскрытые данные.

Технические меры по Приказу ФСТЭК №21

Для УЗ-4 (большинство коммерческих сайтов):

  • Идентификация и аутентификация пользователей ИС
  • Управление доступом (ролевая модель)
  • Регистрация событий безопасности (журналирование)
  • Антивирусная защита серверов
  • Обнаружение вторжений (IDS/WAF)
  • Обновление программного обеспечения

DPA-соглашения с подрядчиками

При передаче ПДн третьим лицам (облачные сервисы, email-провайдеры, аналитика) необходимо заключить соглашение об обработке данных (DPA):

  • AWS: доступно через консоль AWS
  • Google (Analytics, Workspace): Google DPA
  • Sendgrid/Mailchimp: запросить DPA у провайдера
  • Яндекс.Метрика/Яндекс.Облако: соглашения доступны в ЛК

Срок реализации

  • Аудит текущего состояния + gap-анализ: 2–3 дня
  • Политика конфиденциальности + согласия: 3–5 дней
  • Технические меры (шифрование, журналирование, доступ): 5–10 дней
  • Уведомление РКН + реестр операций: 1–2 дня