Соответствие требованиям
- Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ
- GDPR (General Data Protection Regulation)
- Сертификация ISO/IEC
- PCI DSS
- PCI PIN Security
- PCI 3-D Secure (PCI 3DS)
- ГОСТ Р 57580.1-2017
- Cloud Security Alliance
- Единый реестр российских программ для электронных вычислительных машин и баз данных
Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ
В Yandex Cloud действуют меры по защите персональных данных (ПДн), указанные в постановлении №1119 и приказе ФСТЭК №21 в соответствии с требованиями к 1 уровню защищенности (УЗ-1).
Когда клиент размещает на ресурсах Yandex Cloud персональные данные, в отношении которых он выступает оператором, он поручает Яндексу обработку этих персональных данных. Yandex Cloud обязуется соблюдать конфиденциальность ПДн, обеспечивать их безопасность при обработке и выполнять все требования к защите обрабатываемых ПДн, установленные законодательством.
Дополнительная информация доступна по ссылкам:
- Аттестат соответствия
. - Заключение о соответствии системы защиты персональных данных требованиям ФЗ-152 «О персональных данных»
. - Соглашение об обработке данных
. - Действия клиентов по защите ПД
.
GDPR (General Data Protection Regulation)
Генеральный регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку информации о физических лицах-гражданах Европейской экономической зоны. Он призван усилить защиту конфиденциальных данных и сделать прозрачными сбор, хранение и обработку информации в интернете.
Yandex Cloud выполняет ключевые требования GDPR. В компании внедрены процессы обработки обращений субъектов ПДн, связанных с получением, изменением и удалением ПДн, предприняты меры по защите данных и установлена процедура информирования заказчиков в случаях инцидентов.
Дополнительную информацию по этой теме можно найти в Data Processing Addendum
Сертификация ISO/IEC
Система управления информационной безопасностью (СУИБ) Yandex Cloud соответствует требованиям стандартов Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC). Это подтверждено сертификатом соответствия стандартам ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
Стандарт ISO/IEC 27001 содержит требования к СУИБ: ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO/IEC 27001 помогает организациям обеспечить высокий уровень защиты основных информационных активов.
Стандарт ISO/IEC 27017 включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления ИБ, изложенные в стандарте ISO/IEC 27001, и разработаны для провайдеров облачных сервисов.
Стандарт ISO/IEC 27018 выдвигает требования к защите ПДн при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению ИБ для защиты личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO/IEC 27001.
Дополнительная информация доступна по ссылкам:
- Сертификат ISO 27001/27018
. - Приложение к сертификату ISO 27001/27018
. - Сертификат ISO 27017
. - Приложение к сертификату ISO 27017
. - Сертификат ISO 27701
. - Приложение к сертификату ISO 27701
.
PCI DSS
PCI DSS содержит требования для защиты данных держателей карт. Они обязательны и распространяются на все компании, обрабатывающие данные Visa, MasterCard, American Express, JCB, Мир и других платежных систем.
Соответствие облачной инфраструктуры требованиям PCI DSS позволяет клиентам использовать облачные сервисы для обработки данных платежных карт и подтверждает высокий уровень безопасности, обеспечиваемый Yandex Cloud.
Yandex Cloud имеет сертификат соответствия требованиям PCI DSS v3.2.1. Выполнение требований стандарта ежегодно проверяются QSA аудитором.
Дополнительная информация доступна по ссылкам:
- Сертификат PCI DSS для Yandex Cloud
. - Сертификат PCI DSS о соответствии Yandex Cloud требованиям безопасности для торгово-сервисных предприятий
. - PCI DSS AOC для Yandex Cloud
. - PCI DSS AOC для ЦОД Яндекса
. - PCI DSS AOC для Billing
. - Матрица разделения ответственности
.
PCI PIN Security
Стандарт индустрии платежных карт, определяет требования, разработанные для безопасной обработки и передачи PIN-кодов, а так же управления криптографическими ключами, используемыми для защиты PIN-кодов. Клиенты Yandex Cloud могут разместить в облаке компоненты инфраструктуры по эквайрингу и обработке транзакций с использованием PIN-кодов.
Дополнительная информация доступна по ссылкам:
PCI 3-D Secure (PCI 3DS)
Стандарт PCI 3-D Secure (PCI 3DS) определяет требования к инфраструктуре, обеспечивающей прием платежей с использованием протокола 3-D Secure. Протокол реализует дополнительный запрос на подтверждение операции по карте. Такие компоненты протокола как Access Control Server (3DS Server или Directory Server) обычно расположены на стороне банка-эмитента карты.
Клиенты Yandex Cloud могут размещать в облачной инфраструктуре компоненты и сервисы, которые реализуют протокол 3-D Secure.
Дополнительная информация доступна по ссылкам:
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 – это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и предлагает комплексный подход к формированию процесса защиты информации в финансовых организациях, а также содержит требования к защите информации на всех этапах жизненного цикла автоматизированных систем и приложений, используемых компаниями и банками. Стандарт определяет обязанность применять меры защиты информации для кредитных и некредитных финансовых организаций.
Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка (определены в положениях Банка России 683-П и 684-П) и обеспечить соответствие стандарту на стороне своих систем, развернутых в облаке.
Платформа Yandex Cloud получила заключение об оценке соответствия
Сервисы Yandex Cloud могут использовать системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг.
Дополнительная информация доступна по ссылкам:
- Заключение о соответствии
. - Разделение ответственности при выполнении требований ГОСТ Р 57580.1-2017
.
Cloud Security Alliance
Платформа Yandex Cloud является корпоративным членом Cloud Security Alliance — международной организации, целью которой является разработка и повышение осведомленности о лучших практиках информационной безопасности для облачных сервисов.
Yandex Cloud выполняет требования программы Security, Trust, Assurance and Risk (STAR) по уровню Level 1: Self-Assessment.
Высокоуровневое описание мер защиты платформы в одном из самых популярных форматов Consensus Assessments Initiative Questionnaire (CAIQ) v.4 доступно для публичного ознакомления в реестре CSA STAR
Мы также участвуем в программе Trusted Cloud Provider, которая отражает наше стремление к целостному подходу к безопасности, в том числе через непрерывное повышение квалификации наших сотрудников и активное участие в международном профессиональном сообществе.
Единый реестр российских программ для электронных вычислительных машин и баз данных
Платформа Yandex Cloud включена в реестр программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам «02.09 Системы управления базами данных», «04.07 Лингвистическое программное обеспечение», «04.13 Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».
Включение в Реестр подтверждает, что платформа Yandex Cloud и отдельные его сервисы перечисленных выше классов являются российской разработкой, что может являться преимуществом для организаций, где предъявляются повышенные требования к использованию отечественного программного обеспечения. Информация о записи в Реестре