Подключиться
Безопасность в Yandex Cloud

Соответствие требованиям

Статья создана

Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ

В Yandex Cloud действуют меры по защите персональных данных (ПДн), указанные в постановлении №1119 и приказе ФСТЭК №21 в соответствии с требованиями к 1 уровню защищенности (УЗ-1).

Когда клиент размещает на ресурсах Yandex Cloud персональные данные, в отношении которых он выступает оператором, он поручает Яндексу обработку этих персональных данных. Yandex Cloud обязуется соблюдать конфиденциальность ПДн, обеспечивать их безопасность при обработке и выполнять все требования к защите обрабатываемых ПДн, установленные законодательством.

Дополнительная информация доступна по ссылкам:

GDPR (General Data Protection Regulation)

Генеральный регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку информации о физических лицах-гражданах Европейской экономической зоны. Он призван усилить защиту конфиденциальных данных и сделать прозрачными сбор, хранение и обработку информации в интернете.

Yandex Cloud выполняет ключевые требования GDPR. В компании внедрены процессы обработки обращений субъектов ПДн, связанных с получением, изменением и удалением ПДн, предприняты меры по защите данных и установлена процедура информирования заказчиков в случаях инцидентов.

Дополнительную информацию по этой теме можно найти в Data Processing Addendum.

Сертификация ISO

Система управления информационной безопасностью (СУИБ) Yandex Cloud соответствует требованиям стандартов международной организации по стандартизации (ISO). Это подтверждено сертификатом соответствия стандартам ISO 27001, ISO 27017 и ISO 27018.

Стандарт ISO 27001 содержит требования к системе управления информационной безопасностью (ИБ): ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO 27001 помогает организациям обеспечить высокий уровень защиты основных информационных активов.

Стандарт ISO 27017 включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления ИБ, изложенные в стандарте ISO 27001, и разработаны для провайдеров облачных сервисов.

Стандарт ISO 27018 выдвигает требования к защите ПДн при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению ИБ для защиты личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO 27001.

PCI DSS

PCI DSS содержит требования для защиты данных держателей карт. Они обязательны и распространяются на все компании, обрабатывающие данные Visa, MasterCard, American Express, JCB, МИР и других платежных систем.

Соответствие облачной инфраструктуры требованиям PCI DSS позволяет клиентам использовать облачные сервисы для обработки данных платежных карт и подтверждает высокий уровень безопасности, обеспечиваемый Yandex Cloud.

Yandex Cloud имеет сертификат соответствия требованиям PCI DSS v3.2.1. Выполнение требований стандарта ежегодно проверяются QSA аудитором.

Дополнительная информация доступна по ссылкам:

PCI PIN Security

Стандарт индустрии платежных карт, определяет требования, разработанные для безопасной обработки и передачи PIN-кодов, а так же управления криптографическими ключами, используемыми для защиты PIN-кодов. Клиенты Yandex Cloud могут разместить в облаке компоненты инфраструктуры по эквайрингу и обработке транзакций с использованием PIN-кодов.

Дополнительная информация доступна по ссылкам:

PCI 3-D Secure (PCI 3DS)

Стандарт PCI 3-D Secure (PCI 3DS) определяет требования к инфраструктуре, обеспечивающей прием платежей с использованием протокола 3-D Secure. Протокол реализует дополнительный запрос на подтверждение операции по карте. Такие компоненты протокола как Аccess Сontrol Server (3DS Server или Directory Server) обычно расположены на стороне банка-эмитента карты.

Клиенты Yandex Cloud могут размещать в облачной инфраструктуре компоненты и сервисы, которые реализуют протокол 3-D Secure.

Дополнительная информация доступна по ссылкам:

ГОСТ Р 57580.1-2017

ГОСТ Р 57580.1-2017 – это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и предлагает комплексный подход к формированию процесса защиты информации в финансовых организациях, а также содержит требования к защите информации на всех этапах жизненного цикла автоматизированных систем и приложений, используемых компаниями и банками. Стандарт определяет обязанность применять меры защиты информации для кредитных и некредитных финансовых организаций.

Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка (определены в положениях Банка России 683-П и 684-П) и обеспечить соответствие стандарту на стороне своих систем, развернутых в облаке.

Платформа Yandex Cloud получила заключение об оценке соответствия требованиям к обеспечению защиты информации, установленным нормативными актами Банка России. Заключение подтверждает, что была проведена оценка соответствия системы обеспечения и управления информационной безопасности ООО «Яндекс.Облако» требованиям стандарта ГОСТ Р 57580.1-2017 по усиленному уровню защиты информации. На момент окончания аудита итоговая оценка составила R=0,89 (четвертый уровень соответствия). Согласно ГОСТ Р 57580.2-2018 это означает, что организационные и технические меры процесса системы защиты информации реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в организации.

Сервисы Yandex Cloud могут использовать системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг.

Дополнительная информация доступна по ссылкам:

Cloud Security Alliance

Платформа Yandex Cloud является корпоративным членом Cloud Security Alliance — международной организации, целью которой является разработка и повышение осведомленности о лучших практиках информационной безопасности для облачных сервисов.

Yandex Cloud выполняет требования программы Security, Trust, Assurance and Risk (STAR) по уровню Level 1: Self-Assessment.

Высокоуровневое описание мер защиты платформы в одном из самых популярных форматов Consensus Assessments Initiative Questionnaire (CAIQ) v.4 доступно для публичного ознакомления в реестре CSA STAR.

Мы также участвуем в программе Trusted Cloud Provider, которая отражает наше стремление к целостному подходу к безопасности, в том числе через непрерывное повышение квалификации наших сотрудников и активное участие в международном профессиональном сообществе.

Единый реестр российских программ для электронных вычислительных машин и баз данных

Платформа Yandex Cloud включена в реестр программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам «02.09 Системы управления базами данных», «04.07 Лингвистическое программное обеспечение», «04.13 Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».

Включение в Реестр подтверждает, что платформа Yandex Cloud и отдельные его сервисы перечисленных выше классов являются российской разработкой, что может являться преимуществом для организаций, где предъявляются повышенные требования к использованию отечественного программного обеспечения. Информация о записи в Реестре.

В этой статье: