Соответствие требованиям
- Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ
- GDPR (General Data Protection Regulation)
- Сертификация ISO/IEC
- PCI DSS
- PCI PIN Security
- PCI 3-D Secure (PCI 3DS)
- ГОСТ Р 57580.1-2017
- Cloud Security Alliance
- Единый реестр российских программ для электронных вычислительных машин и баз данных
Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ
В Yandex Cloud действуют меры по защите персональных данных (ПДн), указанные в постановлении №1119 и приказе ФСТЭК №21 в соответствии с требованиями к 1 уровню защищенности (УЗ-1).
Когда клиент размещает на ресурсах Yandex Cloud персональные данные, в отношении которых он выступает оператором, он поручает Яндексу обработку этих персональных данных. Yandex Cloud обязуется соблюдать конфиденциальность ПДн, обеспечивать их безопасность при обработке и выполнять все требования к защите обрабатываемых ПДн, установленные законодательством.
Дополнительную информацию о соответствии Yandex Cloud требованиям закона «О персональных данных» № 152-ФЗ смотрите на странице Выполнение требований ФЗ-152.
GDPR (General Data Protection Regulation)
Генеральный регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку персональных данных физических лиц, находящихся на территории Европейской экономической зоны. Он призван усилить защиту конфиденциальных данных и сделать прозрачными сбор, хранение и обработку информации в интернете.
Yandex Cloud ориентируется на GDPR как на глобальный стандарт в сфере приватности и защиты данных. Если наш клиент подпадает под действие GDPR, мы внедряем меры, необходимые для соблюдения клиентом требований законодательства при использовании платформы Yandex Cloud. Мы высоко ценим приватность, а также внедряем процедуры информирования клиентов обо всех возможных инцидентах.
Дополнительную информацию по этой теме можно найти в Data Processing Addendum
Сертификация ISO/IEC
Система управления информационной безопасностью (СУИБ) Yandex Cloud соответствует требованиям стандартов Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC). Это подтверждено сертификатом соответствия стандартам ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
Стандарт ISO/IEC 27001 содержит требования к СУИБ: ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO/IEC 27001 помогает организациям обеспечить высокий уровень защиты основных информационных активов.
Стандарт ISO/IEC 27017 включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления ИБ, изложенные в стандарте ISO/IEC 27001, и разработаны для провайдеров облачных сервисов.
Стандарт ISO/IEC 27018 выдвигает требования к защите ПДн при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению ИБ для защиты личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO/IEC 27001.
Дополнительную информацию о полученных Yandex Cloud сертификатах ISO 27001/27018, ISO 27017 и ISO 27701 смотрите на странице Стандарты ISO.
PCI DSS
PCI DSS содержит требования для защиты данных держателей карт. Они обязательны и распространяются на все компании, обрабатывающие данные Visa, MasterCard, American Express, JCB, Мир и других платежных систем.
Соответствие облачной инфраструктуры требованиям PCI DSS позволяет клиентам использовать облачные сервисы для обработки данных платежных карт и подтверждает высокий уровень безопасности, обеспечиваемый Yandex Cloud.
Yandex Cloud имеет сертификат соответствия требованиям PCI DSS v3.2.1. Выполнение требований стандарта ежегодно проверяются QSA аудитором.
Дополнительную информацию о полученных Yandex Cloud сертификатах PCI DSS и PCI DSS AOC смотрите на странице Стандарты безопасности PCI.
PCI PIN Security
Стандарт индустрии платежных карт, определяет требования, разработанные для безопасной обработки и передачи PIN-кодов, а так же управления криптографическими ключами, используемыми для защиты PIN-кодов. Клиенты Yandex Cloud могут разместить в облаке компоненты инфраструктуры по эквайрингу и обработке транзакций с использованием PIN-кодов.
Дополнительную информацию о полученных Yandex Cloud сертификатах PCI PIN Security смотрите на странице Стандарты безопасности PCI.
PCI 3-D Secure (PCI 3DS)
Стандарт PCI 3-D Secure (PCI 3DS) определяет требования к инфраструктуре, обеспечивающей прием платежей с использованием протокола 3-D Secure. Протокол реализует дополнительный запрос на подтверждение операции по карте. Такие компоненты протокола как Access Control Server (3DS Server или Directory Server) обычно расположены на стороне банка-эмитента карты.
Клиенты Yandex Cloud могут размещать в облачной инфраструктуре компоненты и сервисы, которые реализуют протокол 3-D Secure.
Дополнительную информацию о полученных Yandex Cloud сертификатах PCI 3DS смотрите на странице Стандарты безопасности PCI.
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 – это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и предлагает комплексный подход к формированию процесса защиты информации в финансовых организациях, а также содержит требования к защите информации на всех этапах жизненного цикла автоматизированных систем и приложений, используемых компаниями и банками. Стандарт определяет обязанность применять меры защиты информации для кредитных и некредитных финансовых организаций.
Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка (определены в положениях Банка России 683-П и 684-П) и обеспечить соответствие стандарту на стороне своих систем, развернутых в облаке.
Платформа Yandex Cloud получила заключение об оценке соответствия требованиям к обеспечению защиты информации, установленным нормативными актами Банка России. Заключение подтверждает, что была проведена оценка соответствия системы обеспечения и управления информационной безопасности ООО «Яндекс.Облако» требованиям стандарта ГОСТ Р 57580.1-2017 по усиленному уровню защиты информации. На момент окончания аудита итоговая оценка составила R=0,92 (пятый уровень соответствия). Согласно ГОСТ Р 57580.2-2018 это означает, что организационные и технические меры процесса системы защиты информации реализуются в полном объеме на постоянной основе в соответствии с общими подходами (способами), установленными в организации.
Сервисы Yandex Cloud могут использовать системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг.
Дополнительную информацию о полученных Yandex Cloud сертификатах ГОСТ Р 57580.1-2017 смотрите на странице ГОСТ Р 57580.
Cloud Security Alliance
Платформа Yandex Cloud является корпоративным членом Cloud Security Alliance — международной организации, целью которой является разработка и повышение осведомленности о лучших практиках информационной безопасности для облачных сервисов.
Yandex Cloud выполняет требования программы Security, Trust, Assurance and Risk (STAR) по уровню Level 1: Self-Assessment.
Высокоуровневое описание мер защиты платформы в одном из самых популярных форматов Consensus Assessments Initiative Questionnaire (CAIQ) v.4 доступно для публичного ознакомления в реестре CSA STAR
Мы также участвуем в программе Trusted Cloud Provider, которая отражает наше стремление к целостному подходу к безопасности, в том числе через непрерывное повышение квалификации наших сотрудников и активное участие в международном профессиональном сообществе.
Единый реестр российских программ для электронных вычислительных машин и баз данных
Платформа Yandex Cloud включена в реестр программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам «02.09 Системы управления базами данных», «04.07 Лингвистическое программное обеспечение», «04.13 Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».
Включение в Реестр подтверждает, что платформа Yandex Cloud и отдельные его сервисы перечисленных выше классов являются российской разработкой, что может являться преимуществом для организаций, где предъявляются повышенные требования к использованию отечественного программного обеспечения.
Дополнительную информацию о включении Yandex Cloud в реестры программного обеспечения и провайдеров хостинга смотрите на странице Государственные реестры РФ.