«Яндекс» получил международный сертификат на обработку персональных данных
Так «дочка» компании сможет хранить в российских ЦОДах данные нидерландской части «Яндекса», считают экспертыYandex Cloud получила сертификат соответствия международному стандарту ISO 27701, что позволит провайдеру выполнять требования по защите персональных данных (ПД), в том числе прописанные в едином европейском регламенте GDPR. Сертификат был выдан 9 декабря на три года венским органом сертификации TÜV Austria CERT GmbH на два юрлица – ООО «Яндекс.Облако» и ООО «Яндекс.Технологии» для трех центров обработки данных (ЦОД) во Владимире, подмосковных Мытищах и Сасове (Рязанская обл.). Это следует из документа, с которым ознакомились «Ведомости». Подлинность сертификата подтвердил представитель «Яндекса».
Под сертификацию по стандарту ISO 27701 попали самые востребованные облачные сервисы, следует из сообщения «Яндекса»: инфраструктурные, платформа данных, контейнеризация приложений и бессерверные вычисления. С какой целью компании инициировала процедуру международной аттестации, ее представитель отказался объяснять, ограничившись формулировкой «регулярного подтверждения соответствия российским и международным стандартам безопасности для защиты данных клиентов».
«Ведомости» направили запрос в орган сертификации.
Вероятнее всего, «Яндекс» будет размещать в сертифицированных по европейским стандартам ЦОДах данные, обрабатываемые нидерландской частью компании, допускают два опрошенных «Ведомостями» источника, близких к разным компаниям на рынке ЦОДов. Сейчас компания рассматривает процесс как переходный период при разделении компании, а потом зарубежное облако переедет из России, полагают они.
Такой сертификат нужен «Яндексу» для обслуживания европейских клиентов, объясняют опрошенные «Ведомостями» эксперты. Сертификация по стандарту ISO 27701 скорее репутационный ход, считает руководитель отдела аналитики «Серчинформа» Алексей Парфентьев. Если сертификата нет, это не обязательно значит, что компания плохо защищает данные. Поэтому, когда иностранные компании выбирают российские сервисы или другие услуги российских ЦОДов, это говорит только об их функциональных предпочтениях, говорит он.
«При прохождении сертификации по этому стандарту компании подтверждают реализацию требований по GDPR и внедрение необходимых мер контроля. Наличие такого документа позволяет компаниям оказывать соответствующие услуги на территории ЕС», – поясняет заместитель руководителя отдела комплаенс и аттестации центра «Solar интеграция» компании «РТК-Солар» Андрей Семенов.
Схожей позиции придерживается директор по развитию сервисов «КРОК облачные сервисы» Сергей Зинкевич. Вероятнее всего, указанный стандарт нужен для тех, кто работает с клиентами из стран, подпадающих под действие GDPR, и обусловлен бизнес-необходимостью, считает он. По словам бизнес-консультанта по информационной безопасности Positive Technologies Алексея Лукацкого, действия «Яндекса» можно назвать «правилом хорошего тона» и демонстрацией своим нынешним и будущим клиентам, что новая стратегия развития компании учитывает такой важный аспект, как защита ПД.
Ничто не мешает работать с международными компаниями без каких-либо сертификатов: важны договорные обязательства, замечает источник «Ведомостей» в одном из крупных облачных провайдеров. «Сертификаты лишь упрощают участие в конкурсах компаний, у которых – опять же для простоты процедуры – есть требования по этим сертификатам. Им (компаниям) не нужно разбираться с каждым потенциальным подрядчиком, они доверяют подтверждениям третьей стороны», – говорит он.
Европейские компании, скорее всего, не будут торопиться размещать свои ресурсы в сертифицированных ЦОДах Yandex Cloud, добавляет IТ-директор 3data Валентин Соколов. «Возможным зарубежным клиентам нужно время на то, чтобы присмотреться и оценить преимущества предлагаемых услуг, а также внедрить эти новые требования в политику информационной безопасности», – говорит он.
Представитель пресс-службы компании Cloud утверждает, что сертификаты соответствия стандарту ISO 27701 российские компании уже получали. У Cloud он есть, уверяет он. Также он имеется у «Онланты», сообщил «Ведомостям» представитель этой компании.
МТС, «Ростелеком-ЦОД» и Selectel отказались от комментариев.