Как правильно хранить персональные данные в приложении: чек-лист для разработчика

Когда приложение обрабатывает персональные данные, оно становится частью информационной системы персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.), и к нему применяются меры приказа ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21. Большинство из них ложатся на код и архитектуру. Вот практический чек-лист, который закрывает основную часть технических требований.

Минимизация

Не собирайте и не храните данные, которые не нужны для цели. Меньше данных — меньше поверхность риска и ниже потенциальный штраф за утечку. Лишние поля (паспорт, дата рождения «на всякий случай») — частая ошибка.

Разграничение доступа

Доступ к ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). — только по ролям и по необходимости (принцип наименьших привилегий). Никаких общих учёток, никакого прямого доступа разработчиков к продовой базе с реальными данными. Доступ выдаётся и отзывается централизованно.

Шифрование и пароли

• передача — только по TLS (HTTPS), без исключений;
• чувствительные поля и резервные копии — шифровать; диск/том — шифрование на уровне хранилища;
• пароли пользователей — только хеш с солью (bcrypt, scrypt, Argon2), никогда в открытом виде и не обратимым шифрованием;
• где требуется по уровню защищённости — применять сертифицированные СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. (приказ ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. №378).

Обезличивание для тестов и аналитики

В тестовых, демо- и аналитических средах не должно быть реальных ПДн. Используйте обезличивание (псевдонимизацию, маскирование, синтетические данные). Копировать прод-базу в стейдж с живыми данными — прямой путь к утечке.

ПДн в логах

Логи — недооценённый источник утечек. Не пишите в логи пароли, токены, номера документов, полные ПДн. Маскируйте чувствительные поля, ограничивайте доступ к логам и срок их хранения. Логи с ПДн — это тоже хранение ПДн со всеми требованиями.

Удаление по запросу и по сроку

Должна быть техническая возможность найти и удалить данные конкретного субъекта — по его требованию и по достижении цели. Продумайте удаление из резервных копий и связанных таблиц. «Мягкое» удаление (флаг deleted) само по себе не равно удалению ПДн — данные физически остаются.

Локализация базы

Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны выполняться в базах данных на территории России (часть 5 статьи 18 152-ФЗ). Зарубежный хостинг основной базы — нарушение; зарубежные сервисы (аналитика, рассылки) — повод проверить трансграничную передачу.

Журналирование доступа

Регистрируйте события безопасности и доступ к ПДн (кто, когда, к каким данным). Это и требование мер регистрации событий, и то, что позволит расследовать инцидент в сроки 24/72 часа.

Главное

Большая часть соответствия по ИСПДн — это инженерные решения: минимизация, доступ по ролям, шифрование, хеширование, обезличивание сред, чистые логи, удаляемость и локализация. Сверх этого идёт организационный слой (документы, модель угроз, оценка эффективности) — см. обработку ПДн с использованием средств автоматизации. Собрать требования под свою ИСПДн можно в сервисе ГрамотаИБ.