Статья о запрете хранения персональных данных за рубежом
Может кто-нибудь из знающих прокомментировать, насколько это серьезно ?. Мне видится что это очень серьезно или это не так ?
Как то недавно еще видел статью, не знаю достоверную ли она информацию в себе отражает, но там было описано примерно следующее:
- Российское правительство обсудит с крупнейшими провадерами возможность "отсоединения интернета" (американских регионов). Так же обсуждение должно якобы быть о том, чем это может грозит для Российсктго региона.
Ничем не грозит, все порно на наших серверах) так что можно спать спокойно)
Я конечно не эксперт по Российскому рынку, но мне кажется что СФ в России почти никто не использует, может быть я ошибаюсь
Храни персональные данные на своих серверах в РФ. В чем проблема то?
Мы дак уже занимаемся разработкой такого решения.
Хотя тут я так понимаю основной акцент делается на понятие "персональные данные российских граждан". Что тогда понимать под этим понятием и как разделить какие данные персональные, а какие нет.
Госдума может запретить дешевые звонки на телефоны через интернет
Одна новость краше другой млин:)
В общем у нас в Израиле так уже давно причём на законодательном уровне это запрещено. Хранить за рубежом можно но только в зашифрованном виде и при сервер ключей должен стоять именно в Израиле.
В этом году SFDC открывает новые дата-центры в Европе. Так как Европе пока доверяют (точную формулировку нужно искать в ФЗ), то это снимает часть проблем.
А проблема хранения персональных данных локально не уникальна для России. С подобными ограничениями сталкиваются клиенты в Канаде, Израиле(насколько слышал), Китае. Потому уже появились решения для SFDC, которые позволяют шифровать или токенизировать персональные данные.
Это недешево, но если интересно, то это решения Perspecsys и Cipher Cloud.
У нас на проекте используется Сайфер Клауд. Писали его индусы. Честно скажу после общения с ними сложилось очень негативное ощущение. Но само решение имеет право на жизнь правда не без глюков, но работает.
Так точно. Просто нужно немного больше денег.
Именно потому я перечислил их в таком порядке ;-)
Если мне память не изменяет, то есть 2 варианта.
1. Есть клауд
2. Есть локальный сервак.
Но принцип работы везде одинаковый. Весь трафик идет или через клауд или через локальный сервак. И необходимые поля щифруются, расшифровываются на лету. В базе храняться всегда загифрованные данные.
Отчеты - без проблем, конвертирует все токенизированые поля сразу на уровне содержимого http-пакетов, как я понял.
С поиском сложнее, там есть два варианта:
1) замена стандартного поиска кастомным - таблицы индексирования и движок для поиска разворачивается локально, вместе с содержимым данных.
2) используется стандартный поиск, но шлюз ловит любое обращение к нему, токеизирует, и этот токен шлется в поиск форса и там уже ищется как обычный текст, который при отображении отображается нормально. Насколько я знаю, это возможно только при токенизации и далеко не при всех вариантах шифрования - некоторые убивают функциональность сортировки и поиска.
Плюс, там еще много чудесных вещей, если используется SSO, интеграцию чаще всего приходится заметно подпиливать и вообще это стоит довольно весомых денег :-/
Все абсолютно точно описал. Так же идет замена на все лукапы, там тоже предоставояется свой кастомный функционал
ну вот. закон подписан со сроком 1 сентября 2015.
российским програмистам, админам и инфраструктурщикам сейчас работы прибавится значительно, возможно и денег, так как все придется разворачивать на месте (говорил я вам учите JAVA).
а вот Сэйлсфорс в российском сегменте умрет окончательно (и срок известен), причем даже зарубежные компании, кто использует СФ в принципе и имеет филиалы в России, теперь не сможет использовать СФ в этом филиале. Это, в каком то смысле, потеря даже для вне-российского СФ. Например, какая-то приличная (восточно-) европейская компания, имеющая филиалы во многих страних в т.ч. и в России, будет выберать платформу для проекта, и выберет ли она СФ, зная что это не будет работать в одном из важных филиалов?
програмеров на форуме не прибавится особо (вот где моя печаль), админов и архитектов как не было, так и не будет...
хотя вот СФ админы в принципе могут работать для зарубежных работодателей, просто в отличии от своих индийских конкурентов, они не знают разговорного английского, а те кто хорошо знает, тот найдет работу получше чем администрирование СФ в преимущественно ночное время...
да, новых людей не прибавится... надо беречь и поддерживать тех кто есть...
Не все так печально)
Поддерживаю. Может салесфорс разродиться датацентом в России. В нашем регионе они давно обещают это сделать.
То что команды есть это точно. Вот фирма, с которой я ушел, крупнейшая в Беларуси по количеству Salesforce разработчиков, совсем не работает с русским рынком (пытались, но поняли, что это не выгодно). Просто один предприимчивый белорус в свое время уехал в США, нашел там заказчиков, в Беларуси нашел программистов и поперло. И я слышал про такие примеры не раз. Не знаю, но как по мне, этот пример классическое золотое дно. Поехать туда, найти проекты, здесь организовать разработчиков и разницу в карман. Хотя может это я все вижу в розовых очках со своей низкой колокольни и все не так радужно на самом деле.
Россия проблема 2015 года хранение данных
Час Х все ближе. Что слышно по это теме?
Есть ли новые данные?
1 сентября - час Ч.
Вчера видел новость - авиа перевозчики забеспокоились по поводу введения в жизнь документа о хранении персональных данных - мол, не смогут осуществлять регистрации пассажиров, потому что данные хранятся в распределенной системе за пределами России.
Может и пользователям Salesforce начать волноваться?
Вот по ходу ответ Salesforce на эту проблему
Lightning Connect
https://www.youtube.com/watch?v=OZWneVt_1Mk
https://www.youtube.com/watch?v=nSi_sD8Rqow
Осталось только разобраться как это работает и сколько будет стоить.
вот нашел упоминание:
The new Lightning Connect functionality is enabled in Developer Edition but customers will have to pay extra to use it in production. Pricing starts at $4000 per month per data source.
В двух словах после настройки (с бубнами) на орге появляются
новый тип объектов - external - очень похожие на обычные но отличаются
суффиском __x сместо __с и хранятся удаленно (vps, heroku) в какой-то базе с типом OData.
Работать с такими объектами в Salesforce можно как с родными, и даже связывать их можно с обычными и кверить вроде как обычно, но за каждым обращением к такому объекту будет стоять запрос на удаленное хранилище.
Я пока излагаю то что понял из видео, сам не пробовал.
Вот кому интересно есть еще замечательный туториал
http://developerforce.github.io/lightning-connect-tutorial/index.html
Руки чешутся попробовать, но цена все обламывает.
Проще самому за такие бабки написать.
Будет выгоднее и в плане денег и в плане саппорта. Хочешь, запили новую фишку. Хочешь , еще что нить запилил)
ПС: работаю в свободное время над такой штукой.. Жаль что времени свободного мало
В продолжении темы
External Storage for Salesforce своими руками.
А проблема все ближе
http://top.rbc.ru/technology_and_media/10/04/2015/5522a9f69a794752a5f478fa
то что начали дергаться такие гиганты, это уже о чем-то говорит.
Людей может и мало, а заказчиков, которые используют Salesforce достаточно!
Вот мне еще интересно.
Заказчики которые хостятся на том же Amazone тоже будут иметь проблемы?
Amazon, иностранные VPS.
Это короче какая движуха начнется!
Слушайте, а проблема то куда ГЛУБЖЕ!
Вот что вычитал (источник - http://ps.siliconrus.com/problem/8931/)
"Для начала пару слов о блокировках сайтов. Действительно, 1 сентября 2015 года в силу вступят поправки в федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — «Закон об информации»), согласно которым появится новое основание для ограничения доступа к интернет-ресурсу — нарушение прав субъектов персональных данных. По традиции для нового основания будет создан новый реестр, на этот раз «реестр нарушителей прав субъектов персональных данных».
Включение сайта в этот реестр повлечет его блокировку операторами связи по стандартной процедуре. Попасть в реестр можно будет исключительно на основании решения суда по иску конкретного субъекта персональных данных, либо по иску самого Роскомнадзора, и только в случае отсутствия реакции на уведомление со стороны Роскомнадзора."
А что это значит для России? - повсеместные блокировки IP Salesforce на уровне провайдеров. Веселое будет время 
Кстати еще очень интересная выдержка
"В вопросе приводится пример сервиса, собирающего у своих пользователей адреса электронной почты. Отметим, что адрес электронной почты (в особенности не корпоративный, а личный, открытый в общедоступном почтовом сервисе) не является персональными данными. Такого же мнения придерживается и Роскомнадзор, недавно опубликовавший комментарий к Закону о персональных данных. Цитируем: «к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения» [1]."
Слишком много пафосных слов)
External Object. Они просто сделали Сайфер клауд, или что скорее всего его же и использовали.
Хочу немного освежить в памяти и разложить по полкам.
External Object это не тоже самое что я описывал выше про Lightning Connect за 4000$?
Вроде сейчас 2000$ за один источник данных
Т.е. я правильно понимаю? Товарищи из http://www.dfg152.ru/
предлагают клиенту заплатить SF 2000$ за возможность использовать External Object и еще сверху за то что они предоставят OData хранилище с сервером на территории России?
Нет они используют решиния типа Сайферклауд.
Что за "Сайферклауд", не могу ничего нагуглить.
Экстернал обджектс проблему не решают. Данные все равно пересекают границу и обрабатываются бэкэндом форса как минимум. Это попадает под трансграничную передачу данных.
Решения типа перспексис, сайферклауд и dfg152 используют другие принципы - персональные данные в форс не передаются, они все должны быть токенизированы перед передачей и детокенизированы пользователем на уровне презентационного слоя, либо локального прокси.
И соответственно имеем кучу гемора. А с другой стороны те у кого сервак имеют кучу профита в виде данных.
Я в закон особо не вчитывался, но разве он не регламентирует "порядок хранения", а не "передачи" данных. Уже что, нельзя и передавать личные данные за границу? Я посмотрю как это дело будет контролироваться.
Великий китайский сниффер?
Что-то вообще нифига не понял. А как тогда обрабатывать эти данные? Бизнес логика? Опять же нужно переносить на сторону "русского" хранилища? И зачем нам тогда вообще SF нужен?
Понимаю еще следующий принцип - храним данные в России, но по любому чиху забираем в SF и обрабатываем, показываем, но никуда не сохраняем. Это еще похоже на правду. А если все личные данные даже не будут доходит до бизнес логики в SF смысл тогда от бизнес логики?
Понимаю еще следующий принцип - храним данные в России, но по любому чиху забираем в SF и обрабатываем, показываем, но никуда не сохраняем. Это еще похоже на правду. А если все личные данные даже не будут доходит до бизнес логики в SF смысл тогда от бизнес логики?
В сайферклайде есть вебсервис который ты можешь дергать и получать расшифрованные данные или наоборот зашифровать. Гемор еще тот.
Понимаю еще следующий принцип - храним данные в России, но по любому чиху забираем в SF и обрабатываем, показываем, но никуда не сохраняем. Это еще похоже на правду. А если все личные данные даже не будут доходит до бизнес логики в SF смысл тогда от бизнес логики?
Да, передавать данные для обработки бизнес-логикой тоже как бы нельзя.
Но данные можно обезличить: просто убрав из данных ФИО уже снимает большинство геморроя, ибо бизнес-логика работает, но над обезличенными данными. Там много нюансов, ибо, например, сам адрес персональными данными не является, в отличие от его сочетания с ФИО.
В общем, геморроя там выше крыши: сортировка, поиск, персонализация имэйлов, генерация документов, использование прочих решений с AppExchange.
В общем, форс лишается многих своих достоинств + почему-то в этом релизе они заявили о прекращении предоставления опции DRO, отдав все на откуп парнерам типа CipherCloud.
DRO
Звучит интересно, но я толком и не понял что это за хрень. Может кто простым языком объяснить и желательно реальный пример использования из жизни?
Звучит интересно, но я толком и не понял что это за хрень. Может кто простым языком объяснить и желательно реальный пример использования из жизни?
То же прокси-решение для токенизации/шифровки данных через промежуточное прокси, только от самого форса.
Были надежды, что сам факт разработки решения вендором решения позволит разработать более гибкое решение, может быть смогли бы сделать токенизацию на уровне аппликейшен сервера хоть.
Видимо, не смогли предложить никаких преимуществ относительно других вендоров и решили освободить место.
2 года спустя все живы, 
большенству просто наплевать на этот закон, все работают. Только самые отявленные пытаються что то замутить.
Так а смысл что-то мутить если под SF так и не найдена волшебного решения.
Слышу только одно вокруг - "можем", а что "можем" никто сказать не может.
Я так понимаю просто все работает по русскому принципу - дать на лапу кому надо.
нет тут скорей принцип другой, суровость закона компенсируется необязательностью его выполнения, а все эти токенизаторы и прочие изобретения они ни к чему.
Ну "необязательностью" это оставим на совести тех кто нарушает, но все же есть же фирмы на постсоветском пространстве которые предлагают услуги именно под SF. Как? Что они делают? Вот что интересно.
Я искренне бы советовал (бесплатно) эти услуги, если бы знал что это работает. А у меня очень часто спрашивают как защититься от закона. А я реально не знаю что посоветовать. Или кого. В итоге приходим к тому что все громкие заявления это всего лишь пыль и надеяться на 100% защиту увы нельзя.
Пока как я вижу как это работает. "Фирма" предлагает решение под SF чтобы удовлетворить требованиям законодатесльства. А в итоге все сводится к тому что вы нам дайте бабки, и продолжайте дальше пользоваться SF, а мы уже найдем сами с кем поделиться чтобы вас не трогали. Вот и все решение. Глубоко техническое
доделывал я для одной конторки довольно мутную схему, с подменой страниц по созданию и редактированию акаунтов, начала они уходили синхронно в базу расположенную на территории россии а после получения ответа сохранялись в сф, вроде под закон подошли.
Но конечно идея взял и пользуйся пропадает
Linkedin уже в России заблокировали Cкажем так они больше шума сделали поэтому в банковском секторе некоторые отказались по политическим соображениям от SalesForce.
ага рутрекер и порнохаб тоже заблокировали, но разьве это когонить остановило? :)
А разве это под закон подходит? Смысл закона хранить "ТОЛЬКО" на территории РФ, а не "И" на территории РФ. Я так понимаю что смысл в том чтобы личная информация о гражданах не уходила за границу. А с таким подходом смысл от 99% стандартной логики SF теряется.
ну на сколько я знаю смысл чтобы первоначально информация должна появиться на сервере в рф, а потом уже можно и за бугор, на самом деле это же много где и в европе такие требования.
Почему вы считаете, что "потом уже можно и за бугор"? В этом смысле я согласен с предыдущим сообщением Дмитрия)
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
обязан обеспечить запись с использованием баз данных находящихся на территории РФ, тут нет запрета на сохранение гдето ещё кроме РФ
на территории рф хранишь? Молодец, дальше делай чё хочешь. Вот и получается если ты изначально пишешь в локальную базу а потом за бугор то всё норм. А вот если ты сначала отправил за бугор то ты преступник хранящий данные не на территории РФ целых 30 милисекунд.
Можно подробнее сюда или в личку, очень интересно.
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации
обязан обеспечить запись с использованием баз данных находящихся на территории РФ, тут нет запрета на сохранение гдето ещё кроме РФ
Вот что говорится в разъяснениях Минкомсвязи:
— Насколько обоснована трактовка Закона, согласно которой оператор персональных данных обязан обеспечить запись, систематизацию, накопление, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, только при (первичном) сборе персональных данных, а последующая обработка с использованием баз данных, находящихся не на территории РФ, а также трансграничная передача данных третьему лицу не запрещается?
Трактовка в части первичного сбора является неверной по следующим основаниям. Закон не предусматривает понятия «первичный сбор», а устанавливает требования к обработке персональных данных при любом сборе информации, при этом выделяя такие операции с ПД, как уточнение (обновление, изменение) информации, содержащей персональные данные. В целях закона в процесс сбора информации включены также процедуры хранения и накопления информации, что само по себе не позволяет использовать такое понятие, как «первичный сбор». Таким образом, закон налагает на оператора обязанность при осуществлении обработки собранных персональных данных путем систематизации, накопления, хранения, уточнения, извлечения, использовать базы данных, находящиеся на территории Российской Федерации.
— Распространяется ли требование локализации на случаи внесения персональных данных российских граждан в базы данных, которые расположены за пределами Российской Федерации, если такие персональные данные ранее уже были локализованы в соответствии с ФЗ-242?
Актуальность данного вопроса обуславливается частым наличием в рамках одной организации множества баз данных, в которых может осуществляться обработка персональных данных. Также нередко сбор персональных данных первоначально осуществляется в «бумажной» форме (заполненные бланки заявлений, анкет и пр.), c последующим их занесением сотрудником организации в общекорпоративную электронную базу данных, расположенную за рубежом. Возложение на оператора обязанности по локализации каждой из таких баз данных приводит к существенному возрастанию затрат, не сопровождающихся усилением защиты субъектов персональных данных (поскольку их данные уже были локализованы на территории РФ). К тому же, в некоторых случаях особенности построения информационной инфраструктуры компании не позволяют осуществить локализацию всех баз данных без кардинальной перестройки своей глобальной инфраструктуры. Как следует из текста ч. 5 ст. 18 ФЗ «О персональных данных», обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считается исполненной, когда указанные действия были совершены при сборе персональных данных с использованием базы данных, находящейся на территории Российской Федерации. При этом, статья не содержит указания на то, что такие действия должны совершаться исключительно с использованием баз данных, размещенных на территории России. В связи с этим, если в отношении определенного набора персональных данных уже были ранее выполнены требования ФЗ-242, повторная локализация таких персональных данных не требуется, поскольку цели закона уже достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ.
А вот это уже интереснее.
— Возможно ли хранить персональные данные (ПД) граждан РФ за ее пределами при условии наличия дублирующей (копии) базы ПД граждан РФ на территории РФ (и наоборот, когда база ПД за пределами РФ является копией (или частью) базы данных, сформированной и находящейся на территории России?), либо обработка ПД на территории другого государства в принципе запрещена?
В соответствии с положениями пункта 7 части 4 статьи 16 Федерального закона №149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
Принимая во внимание также положения части 5 статьи 18 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» (вступающей в силу с 1 сентября 2015 года), устанавливающих, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, считаем, что обработка ПД граждан Российской Федерации на территории другого государства может осуществляться исключительно в случаях, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», для которых имеется изъятие в части 5 статьи 18 152-ФЗ. Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные. Вместе с тем, Федеральный закон не содержит указаний на общий запрет обработки персональных данных граждан Российской Федерации с использованием баз данных, не находящихся на территории Российской Федерации.
В этой связи считаем, что обработка персональных данных граждан Российской Федерации посредством сбора, записи, систематизации, накопления, хранения, уточнения, извлечения может осуществляться с использованием баз данных, не находящихся на территории Российской Федерации в следующих случаях:
если такая деятельность подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ;
если такая деятельность не подпадает под случаи, предусмотренные пунктами 2–4, 8 части 1 статьи 6 152-ФЗ, и на территории Российской Федерации находятся используемые для такой обработки персональных данных базы данных, в которых содержится больший объем персональных данных или равный находящемуся за пределами территории Российской Федерации (в этом случае недопустимо нахождение за пределами территории Российской Федерации персональных данных, которые одновременно не находятся в пределах территории Российской Федерации).
чёто я запутался, обрабатывать можно а хранить нет?
Что-то я все-таки думал что смысл закона - предотвратить утечку персональных данных за границу. Смысл от того что они будут храниться и тут и там? Только для того чтобы органы могли быстрее получить доступ к персональным данным? Или обеспечить работу наших датацентров?
Я не очень пока вчитывался в посты вверху, но если судить по активности компаний которые отказались от Salesforce в России из-за выше изложенной причины, то сейчас они снова набирают Salesforce разработчиков.
Это какие например?
Есть тут у нас одна лабораториез :)
