व्यक्तिगत डेटा को अनधिकृत पहुंच से बचाने के लिए, एक विशेष सॉफ्टवेयर पैकेज 1C बनाया गया: एंटरप्राइज़ 8.3z (ZPK)। सुरक्षित कॉम्प्लेक्स का उपयोग सरकारी सूचना प्रणालियों में सुरक्षा वर्ग 1 तक, समावेशी, और व्यक्तिगत डेटा सुरक्षा स्तर 1 तक की सूचना प्रणालियों में किया जा सकता है।
सुरक्षित सॉफ़्टवेयर पैकेज 1C: एंटरप्राइज़ 8.3z का उपयोग आदेश द्वारा अनुमोदित व्यक्तिगत डेटा सूचना प्रणालियों में प्रसंस्करण के दौरान व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए संगठनात्मक और तकनीकी उपायों की संरचना और सामग्री के अनुसार व्यक्तिगत डेटा की सुरक्षा को व्यवस्थित करने के लिए किया जा सकता है। सभी सुरक्षा स्तरों की व्यक्तिगत डेटा सूचना प्रणालियों में, रूस के एफएसटीईसी दिनांक 18 फरवरी 2013 एन 21।
कॉम्प्लेक्स 1C: एंटरप्राइज़ 8.3z का उपयोग किया जा सकता है:
- ऐसे संगठनों में जो व्यक्तिगत डेटा के संचालक हैं और व्यक्तिगत डेटा को स्वतंत्र रूप से संसाधित करते हैं
- कई ऑपरेटरों के आईएसपीडी को बनाए रखने के लिए सेवाएं प्रदान करने वाले संगठनों में। ZPK 1C: एंटरप्राइज़, संस्करण 8.3z
इसका उपयोग एक कानूनी इकाई या उद्यमी और कंपनियों के समूह (होल्डिंग) के लिए जानकारी संसाधित करते समय किया जा सकता है।
| कोड | नाम | अनुशंसित खुदरा मूल्य, रगड़ें। | |
|---|---|---|---|
|
4601546119070 |
सुरक्षित सॉफ़्टवेयर पैकेज "1C: एंटरप्राइज़ 8.3z" (x86-32) |
18 000*
|
खरीदना |
|
4601546119087 |
सुरक्षित सॉफ़्टवेयर पैकेज "1C: एंटरप्राइज़ 8.3z" (x86-64) |
54 000*
|
खरीदना |
| अतिरिक्त सीटों के लिए लाइसेंस | |||
| 4601546080875 | 1सी: एंटरप्राइज 8. 1 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 6 300 | खरीदना |
| 4601546080882 | 1सी: एंटरप्राइज 8. 5 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 21 600 | खरीदना |
| 4601546080899 | 1सी: एंटरप्राइज 8. 10 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 41 400 | खरीदना |
| 4601546080905 | 1सी: एंटरप्राइज 8. 20 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 78 000 | खरीदना |
| 4601546080912 | 1सी: एंटरप्राइज 8. 50 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 187 200 | खरीदना |
| 4601546080929 | 1सी: एंटरप्राइज 8. 100 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 360 000 | खरीदना |
| 4601546080936 | 1सी: एंटरप्राइज 8. 300 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 1 068 000 | खरीदना |
| 4601546080943 | 1सी: एंटरप्राइज 8. 500 वर्कस्टेशन के लिए क्लाइंट लाइसेंस | 1 776 000 | खरीदना |
FSTEC ने सुरक्षित सॉफ़्टवेयर कॉम्प्लेक्स "1C:एंटरप्राइज़, 8.2z" का प्रमाणीकरण (152-FZ "व्यक्तिगत डेटा पर") पूरा कर लिया है, जिसमें प्रौद्योगिकी प्लेटफ़ॉर्म संस्करण 8.2 (सभी प्रकार के एप्लिकेशन सर्वर सहित) का पूरा सेट शामिल है। प्लेटफ़ॉर्म की 10 हजार प्रतियों के लिए अनुरूपता प्रमाणपत्र संख्या 2137 प्राप्त हुआ (20 जुलाई 2013 तक वैध)। यह प्रमाणपत्र पुष्टि करता है कि 1C: एंटरप्राइज़ 8.2z सॉफ़्टवेयर पैकेज को एक सामान्य-उद्देश्यीय सॉफ़्टवेयर के रूप में मान्यता प्राप्त है, जिसमें जानकारी को अनधिकृत पहुंच से बचाने के अंतर्निहित साधन हैं, जिसमें राज्य रहस्य बनाने वाली जानकारी शामिल नहीं है। प्रमाणीकरण परिणामों के आधार पर, शासी दस्तावेजों की आवश्यकताओं के अनुपालन की पुष्टि की गई:
- एनएसडी से सुरक्षा के संदर्भ में, कक्षा 5
- गैर-अनुपालन सामग्री की अनुपस्थिति पर नियंत्रण के स्तर के अनुसार - नियंत्रण के चौथे स्तर के अनुसार
- कक्षा 1जी समावेशी तक एएस बनाने के साथ-साथ कक्षा के1 समावेशी तक व्यक्तिगत डेटा की सूचना प्रणालियों में जानकारी की सुरक्षा के लिए उपयोग की संभावना की पुष्टि की गई है।बी
निम्नलिखित कार्यक्रम प्रमाणित हैं:
- अनधिकृत पहुंच के खिलाफ सुरक्षा के लिए दिशानिर्देशों की आवश्यकताओं के अनुपालन के लिए संरक्षित हार्डवेयर और सॉफ्टवेयर कॉम्प्लेक्स "1C: एंटरप्राइज़, संस्करण 8.2z" - कक्षा 5। चौथे स्तर के नियंत्रण के साथ गैर-अनुपालन की अनुपस्थिति के नियंत्रण के स्तर के अनुसार वर्गीकरण, कक्षा 1 जी समावेशी तक स्वचालित प्रणालियों में उपयोग, साथ ही प्रसंस्करण के लिए आईएसपीडी में शामिल सूचना सुरक्षा की आवश्यकताओं के अनुपालन के लिए कक्षा K2 तक का व्यक्तिगत डेटा सम्मिलित (प्रमाण पत्र प्राप्त करने का अपेक्षित समय जनवरी-फरवरी 2010 है);
- K3 तक के व्यक्तिगत डेटा को संसाधित करने के लिए सुरक्षित सॉफ़्टवेयर और हार्डवेयर कॉम्प्लेक्स "1C:एंटरप्राइज़, संस्करण 7.7z" (प्रमाणपत्र प्राप्त करने का अपेक्षित समय फरवरी 2010 है)।
इस तथ्य के बावजूद कि कानून 1 जनवरी, 2011 को ही पूरी तरह से लागू हो जाएगा, आइए विचार करें कि सूचीबद्ध सूचना सुरक्षा वर्गों के अनुपालन के पीछे वास्तव में क्या छिपा है।
व्यक्तिगत डेटा सुरक्षा के लिए कक्षा K2 का अनुपालन
कृपया ध्यान दें कि निम्नलिखित आवश्यकताएँ विभिन्न अधिकारों के साथ बहु-उपयोगकर्ता एक्सेस मोड में K2 क्लास सिस्टम पर लागू होती हैं:
- कम से कम छह अल्फ़ान्यूमेरिक वर्णों के सशर्त स्थायी पासवर्ड का उपयोग करके सूचना प्रणाली में लॉग इन करते समय उपयोगकर्ता की पहचान और प्रमाणीकरण।
- सिस्टम में (सिस्टम से) उपयोगकर्ता लॉगिन (निकास) का पंजीकरण या ऑपरेटिंग सिस्टम और उसके सॉफ़्टवेयर स्टॉप की लोडिंग और आरंभीकरण का पंजीकरण। सूचना प्रणाली के हार्डवेयर बंद होने के क्षणों में सिस्टम से बाहर निकलने या बंद होने का पंजीकरण नहीं किया जाता है। पंजीकरण पैरामीटर सिस्टम के उपयोगकर्ता लॉगिन (लॉगआउट) या बूट (शटडाउन) की तारीख और समय, लॉगिन प्रयास का परिणाम (सफल या असफल), उपयोगकर्ता पहचानकर्ता (कोड या उपनाम) को एक्सेस का प्रयास करते समय प्रस्तुत किया जाता है।
- सभी संरक्षित भंडारण मीडिया को चिह्नित करके और उनके जारी करने (रिसेप्शन) के बारे में एक नोट के साथ लेखांकन लॉग में क्रेडेंशियल दर्ज करके उन पर नज़र रखें।
- व्यक्तिगत डेटा सुरक्षा प्रणाली के सॉफ़्टवेयर की अखंडता, संसाधित जानकारी, साथ ही सॉफ़्टवेयर वातावरण की अपरिवर्तनीयता सुनिश्चित करना। इस मामले में, सूचना सुरक्षा उपकरणों के घटकों के चेकसम का उपयोग करके सिस्टम को लोड करते समय सॉफ़्टवेयर की अखंडता की जाँच की जाती है, और सॉफ़्टवेयर वातावरण की अखंडता उच्च-स्तरीय भाषाओं के अनुवादकों के उपयोग और अनुपस्थिति से सुनिश्चित की जाती है। संरक्षित जानकारी के प्रसंस्करण और (या) भंडारण के दौरान प्रोग्राम के ऑब्जेक्ट कोड को संशोधित करने के साधन
- सूचना प्रणाली (उपकरण और भंडारण मीडिया) की भौतिक सुरक्षा, अनधिकृत व्यक्तियों द्वारा सूचना प्रणाली के परिसर तक पहुंच पर नियंत्रण प्रदान करना, सूचना प्रणाली के परिसर में अनधिकृत प्रवेश और भंडारण मीडिया के भंडारण में विश्वसनीय बाधाओं की उपस्थिति
- व्यक्तिगत डेटा सुरक्षा प्रणाली के कार्यों का आवधिक परीक्षण जब सॉफ़्टवेयर वातावरण और सूचना प्रणाली के उपयोगकर्ता परीक्षण कार्यक्रमों का उपयोग करके बदलते हैं जो अनधिकृत पहुंच प्रयासों का अनुकरण करते हैं
- व्यक्तिगत डेटा सुरक्षा प्रणाली को बहाल करने के साधनों की उपलब्धता, सूचना सुरक्षा उपकरणों के सॉफ्टवेयर घटकों की दो प्रतियां बनाए रखने, उनके आवधिक अद्यतन और प्रदर्शन की निगरानी प्रदान करना
वर्ग K2 का अनुपालन करने के लिए, 1C कंपनियों ने 1C: एंटरप्राइज़ 8.2 प्लेटफ़ॉर्म पर चलने वाले कॉन्फ़िगरेशन में कई घटनाओं को पंजीकृत करने की क्षमता लागू की है, जिसे "व्यक्तिगत डेटा सुरक्षा" टैब पर कॉन्फ़िगर किया जा सकता है।
सूचना तक अनधिकृत पहुंच के विरुद्ध सुरक्षा के लिए दिशानिर्देशों की आवश्यकताओं का अनुपालन (वर्ग 1जी)
व्यक्तिगत डेटा की सुरक्षा के लिए क्लास K2 के अलावा, क्लास 1G एनएसडी की आवश्यकताएं एक्सेस कंट्रोल, अकाउंटिंग और इंटीग्रिटी सबसिस्टम की आवश्यकताओं को निर्दिष्ट करती हैं। उदाहरण के लिए:
- संरक्षित फ़ाइलों तक सॉफ़्टवेयर टूल (प्रोग्राम, प्रक्रियाएं, कार्य, कार्य) द्वारा पहुंच प्रयासों का पंजीकरण
- अतिरिक्त पंजीकरण मापदंडों को दर्शाते हुए, "हार्ड" कॉपी पर मुद्रित (ग्राफिक) दस्तावेज़ जारी करने का पंजीकरण
नियंत्रण के स्तर 4 पर अघोषित क्षमताओं की अनुपस्थिति के नियंत्रण के स्तर का अनुपालन
स्तर 4 नियंत्रण के लिए आवश्यकताओं में शामिल हैं:
- दस्तावेज़ीकरण की संरचना और सामग्री का नियंत्रण (सॉफ़्टवेयर में शामिल फ़ाइलों के चेकसम को इंगित करने वाले प्रोग्राम का विवरण, सॉफ़्टवेयर में शामिल प्रोग्रामों के स्रोत कोड)
- सॉफ़्टवेयर की प्रारंभिक स्थिति की निगरानी करना (वर्तमान सॉफ़्टवेयर चेकसम की गणना और प्रारंभिक स्थिति के साथ तुलना)
- प्रोग्राम स्रोत कोड का स्थैतिक विश्लेषण (फ़ाइल स्तर पर सॉफ़्टवेयर स्रोत कोड की पूर्णता और अतिरेक की अनुपस्थिति की निगरानी करना, इसके बूट कोड के साथ सॉफ़्टवेयर स्रोत ग्रंथों के अनुपालन की निगरानी करना)
- 1-3 के लिए रिपोर्ट तैयार करना
ZPK डिलीवरी सेट में शामिल हैं:
- प्रमाणित प्लेटफ़ॉर्म "1C:Enterprise 8.2z" की वितरण किट
- चेकसम के साथ फॉर्म
- संरक्षित उत्पाद पंजीकरण कार्ड
- विनिर्देश
- आवेदन विवरण
- परीक्षण दस्तावेज़ीकरण
- कार्यक्रम विवरण
- एफएसटीईसी प्रमाणपत्र की प्रति
बड़ा करने के लिए क्लिक करें
आप अभी 8.2z खरीद सकते हैं!
आप यहां उत्पाद ऑर्डर कर सकते हैं [ईमेल सुरक्षित]
रूस के किसी भी शहर में आपके कार्यालय में डिलीवरी हमारे खर्च पर आपके लिए निःशुल्क है।
व्यक्तिगत डेटा का लेखांकन प्रत्येक संगठन के कार्य में एक महत्वपूर्ण घटक है। चाहे वह बड़ा उद्यम हो या छोटा संगठन, वे सभी ग्राहकों, आपूर्तिकर्ताओं और सबसे पहले अपने कर्मचारियों का रिकॉर्ड रखते हैं, उनमें से प्रत्येक के व्यक्तिगत डेटा को ध्यान में रखते हैं और संग्रहीत करते हैं। इस प्रकार, संगठन उसे प्रदान की गई जानकारी की गोपनीयता और सुरक्षा के लिए दायित्व मानता है।
27 जुलाई 2006 का संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर" नियमों में संगठनों की जिम्मेदारी के स्तर को स्थापित करता है। उपरोक्त कानून में कहा गया है: "इस संघीय कानून की आवश्यकताओं का उल्लंघन करने के दोषी व्यक्ति रूसी संघ के कानून द्वारा प्रदान किए गए नागरिक, आपराधिक, प्रशासनिक, अनुशासनात्मक और अन्य दायित्व वहन करते हैं।"
1 जनवरी 2011 को इस कानून में कुछ बदलाव किये गये। इसमें संशोधन किया गया है और कई नए प्रावधान सामने आए हैं। इस कानून के मुख्य प्रावधानों में से एक के अनुसार, 1सी प्रोग्राम के सभी उपयोगकर्ताओं को 1 जनवरी 2010 से पहले बनाई गई सभी व्यक्तिगत डेटा सूचना प्रणालियों को इस संघीय कानून की आवश्यकताओं के अनुपालन में लाना होगा।
पिछले साल की शुरुआत से, व्यक्तिगत डेटा के प्रसंस्करण में उल्लंघन करने वाले ऑपरेटरों पर जुर्माना भी काफी बढ़ गया है। कंपनियों की सूचना प्रणालियों का संबंधित नियामक अधिकारियों द्वारा नियमित रूप से ऑडिट किया जाता है। यदि उल्लंघन का पता चलता है, विशेष रूप से व्यक्तिगत डेटा की सुरक्षा सौ प्रतिशत नहीं है, तो कंपनी दंड से नहीं बच पाएगी।
सुरक्षा कैसे मजबूत करें? एक उत्तर है.
सबसे पहले, आइए यह पता लगाने का प्रयास करें कि कर्मचारियों और ग्राहकों का व्यक्तिगत डेटा संग्रहीत करते समय कंपनियों को किन कठिनाइयों का सामना करना पड़ सकता है।
तो, पहली बात. कानूनी मानदंडों के आधार पर, हम व्यक्तिगत डेटा की सुरक्षा के लिए पहला कदम उठाएंगे और कई तकनीकी, संगठनात्मक और प्रशासनिक उपाय करेंगे। सूचना प्रणाली के विकास के स्तर, उपयोगकर्ताओं और तीसरे पक्षों के लिए उस तक पहुंच की सुरक्षा को ध्यान में रखते हुए, हम एक व्यक्तिगत सुरक्षा परिसर का निर्माण करेंगे।
दूसरा। आपको संभवतः अपने डेटा सुरक्षा सॉफ़्टवेयर के लिए प्रमाणन प्राप्त करने की आवश्यकता होगी (यदि यह पहले से प्रमाणित नहीं है)। आइए हम आपको बताएं कि क्या अधिकृत ऑपरेटर प्रमाणन करते हैं (उदाहरण के लिए, एफएसटीईसी)। सॉफ़्टवेयर को कार्यकारी कोड से लेकर प्रोग्राम के स्रोत कोड तक व्यापक व्यापक विश्लेषण के साथ गहन शोध के अधीन किया जाता है। अघोषित सॉफ़्टवेयर क्षमताओं के नियंत्रण के स्तर का विश्लेषण किया जाता है।
उपरोक्त सभी चीजें कितनी भी जटिल और बोझिल क्यों न लगें, कई और महत्वपूर्ण कारक हैं जो किसी भी संगठन के सफल संचालन को प्रभावित करते हैं। क्या आपको अपने सॉफ़्टवेयर को प्रमाणित करना आवश्यक है या नहीं? व्यक्तिगत डेटा के प्रसंस्करण के लिए सब कुछ सूचना प्रणाली के वर्ग पर निर्भर करता है। सिस्टम के कुल चार वर्ग हैं। प्रमाणीकरण केवल प्रथम श्रेणी के लिए आवश्यक है; दूसरी और तीसरी कक्षा के लिए इसकी आवश्यकता है या नहीं यह एक विशेषज्ञ ऑपरेटर द्वारा निर्धारित किया जाता है। चतुर्थ श्रेणी सूचना प्रणाली को प्रमाणीकरण की आवश्यकता नहीं होती है।
प्रथम श्रेणी का मुख्य अंतर नस्ल और राष्ट्रीयता, राजनीतिक विचारों और धार्मिक विश्वासों, स्वास्थ्य स्थिति या अंतरंग जीवन के बारे में जानकारी की उपलब्धता है। दूसरा मामला जिसमें आपके आईपी को प्रथम श्रेणी के रूप में वर्गीकृत किया जा सकता है वह एक लाख से अधिक ग्राहकों और कर्मचारियों के बारे में जानकारी संग्रहीत करना है। यदि आप कर्मचारियों का व्यक्तिगत डेटा, या बीमार छुट्टी के बारे में जानकारी संग्रहीत करते हैं, तो आपका सिस्टम प्रथम श्रेणी का है!
पूरी तरह तैयार रहें!
मुझे क्या करना चाहिए? आप सब कुछ स्वयं करने का प्रयास कर सकते हैं, उन्मत्त धैर्य का भंडार कर सकते हैं, विधायी जंगल में उतर सकते हैं और वीरतापूर्वक उसमें से अपना रास्ता बना सकते हैं। कानूनी और तकनीकी शब्दों का परिश्रमपूर्वक अध्ययन करें। और यदि आप सफल होते हैं, तो आप समझ जायेंगे कि अब अपने सूचना तंत्र के साथ क्या करना है। इस मामले में कई बारीकियां और सवाल होंगे. उदाहरण के लिए, यदि सिस्टम प्रमाणीकरण पास नहीं करता है तो क्या करें, इसे तत्काल बदलें, या छोड़ दें? किस प्रकार के सॉफ़्टवेयर को प्रमाणित किया जाना चाहिए और "अघोषित सॉफ़्टवेयर क्षमताएँ" क्या हैं? आपका सिर घूम रहा है, लेकिन अभी भी आपके महत्वपूर्ण सवालों का कोई जवाब नहीं है?
आइए मदद करने का प्रयास करें. तो, अघोषित क्षमताएं? इसका मतलब यह है कि आपके सॉफ़्टवेयर से उस तरीके से जानकारी "डाउनलोड" करना संभव है जो उसके दस्तावेज़ में निर्दिष्ट नहीं है।
आपके ग्राहकों और कर्मचारियों के व्यक्तिगत डेटा को संग्रहीत करने के लिए उपयोग किया जाने वाला सॉफ़्टवेयर प्रमाणीकरण के अधीन है। यदि आप Excel या Word का उपयोग करते हैं, तो इन प्रोग्रामों को प्रमाणित करें। यदि आप विशेष सॉफ्टवेयर का उपयोग करते हैं, तो इसे प्रमाणित करवा लें।
लेकिन यदि आप 1C प्रोग्राम का उपयोग करते हैं: व्यक्तिगत डेटा संग्रहीत करते हैं, 1C:एंटरप्राइज़ प्लेटफ़ॉर्म पर किसी प्रोग्राम में जानकारी का रिकॉर्ड रखते हैं - तो हम आपको आश्वस्त कर सकते हैं, आपके साथ सब कुछ ठीक है!
1C से अभेद्य सुरक्षा!
1सी कंपनी कानून में नवाचारों के कारण उत्पन्न होने वाली समस्याओं के कारण अपने ग्राहकों को अकेला नहीं छोड़ती है। हाल ही में, 1C कंपनी ने एक नया उत्पाद - एक सुरक्षित सॉफ़्टवेयर पैकेज "1C:एंटरप्राइज़, संस्करण 8.2z" जारी किया है, जो सूचना तक अनधिकृत पहुंच से सुरक्षा प्रदान करता है। इस उत्पाद ने रूस के एफएसटीईसी प्रमाणीकरण को सफलतापूर्वक पारित कर दिया है। सुरक्षित सॉफ़्टवेयर पैकेज (SCP) "1C:एंटरप्राइज़, संस्करण 8.2z" को एक सामान्य-उद्देश्यीय सॉफ़्टवेयर के रूप में अनुमोदित किया गया है, जिसमें जानकारी को अनधिकृत पहुंच (NSD) से बचाने के अंतर्निहित साधन हैं, जिसमें राज्य रहस्य बनाने वाली जानकारी शामिल नहीं है।
क्या कम महत्वपूर्ण नहीं है! पीपीसी की प्रत्येक प्रति का अपना प्रमाणपत्र होता है। और बिक्री पर उपलब्ध संरक्षित सॉफ़्टवेयर सिस्टम की संख्या सीमित है। चूंकि सीमित संख्या में कॉम्प्लेक्स ने प्रमाणीकरण पारित किया है।
संरक्षित सॉफ़्टवेयर पैकेज में निम्न शामिल हैं:
प्रमाणित मंच का प्रत्यक्ष वितरण;
चेकसम के साथ फॉर्म;
संरक्षित उत्पाद का पंजीकरण कार्ड;
विशिष्टता;
आवेदन का विवरण;
परीक्षण दस्तावेज़ीकरण;
कार्यक्रम विवरण;
रूस के FSTEC प्रमाणपत्र की एक प्रति (प्लस एक FSTEC स्टिकर)।
इसलिए, किसी कंपनी में एक सुरक्षित सॉफ़्टवेयर पैकेज स्थापित करने से आप व्यक्तिगत निर्माण करते समय 1सी:एंटरप्राइज़ 8.2 प्लेटफ़ॉर्म (उदाहरण के लिए, 1सी: वेतन और कार्मिक प्रबंधन 8, 1सी: विनिर्माण उद्यम प्रबंधन 8, आदि) पर चलने वाले सभी कॉन्फ़िगरेशन का उपयोग कर सकते हैं। किसी भी वर्ग की डेटा सूचना प्रणाली। प्लेटफ़ॉर्म प्रमाणित होने के कारण एप्लिकेशन समाधानों के अतिरिक्त प्रमाणीकरण की आवश्यकता नहीं होगी। अलग उपयोगकर्ता लाइसेंस (कुंजियाँ) की भी आवश्यकता नहीं होगी।
इसके अलावा, ZPK "1C:एंटरप्राइज़, संस्करण 8.2z" संस्करण 8.0 और 8.1 के साथ एक विशेष संगतता मोड का समर्थन करता है। यह इसे कॉन्फ़िगरेशन में परिवर्तन किए बिना संस्करण 8.0 और 8.1 के लिए विकसित कॉन्फ़िगरेशन के साथ उपयोग करने की अनुमति देता है। इस मोड में, 1C:एंटरप्राइज़ प्लेटफ़ॉर्म संस्करण 8.0 और 8.1 पर विकसित एप्लिकेशन समाधानों का उपयोग अतिरिक्त प्रसंस्करण के बिना संस्करण 8.2 प्लेटफ़ॉर्म के साथ किया जा सकता है।
100% समर्थन
क्या आप 1सी उपयोगकर्ता और 1सी-बिजनेस आर्किटेक्ट कंपनी के सेंटर फॉर कॉम्प्रिहेंसिव बिजनेस डेवलपमेंट के ग्राहक हैं? आप दोगुने भाग्यशाली हैं!
प्रमाणित सुरक्षा प्रणाली "1C:एंटरप्राइज़, संस्करण 8.2z" की स्थापना एक उच्च योग्य विशेषज्ञ द्वारा की जाएगी। काम उच्च मानक पर और प्रस्तावित निःशुल्क घंटों (32-बिट संस्करण के लिए 2 घंटे और 64-बिट संस्करण के लिए 4 घंटे) के भीतर पूरा किया जाएगा।
यदि आप अपने डेटा को और अधिक सुरक्षित रखना चाहते हैं, तो हमारे विशेषज्ञ आपको उपयुक्त सॉफ़्टवेयर चुनने और इंस्टॉल करने में मदद करेंगे।
क्या आप 1C:Enterprise 7.7 उत्पाद श्रृंखला में काम करते हैं जो 1C:Enterprise सॉफ़्टवेयर, संस्करण 8.2z के साथ असंगत है? इसे आपको परेशान न होने दें. हमारे विशेषज्ञों के पास ग्राहकों को "7" से "8" में स्थानांतरित करने का काफी अनुभव है!
हम आपकी सहायता के लिए तैयार हैं! कार्यों की मात्रा और जटिलता के बावजूद! चाहे वह सुरक्षित संचार लाइनों, वर्कस्टेशन, सर्वर रूम के सही संगठन से लेकर आवश्यक नौकरी विवरणों के विकास तक की पूरी श्रृंखला हो, जिसमें आपकी कंपनी के उन कर्मचारियों के लिए उचित प्रशिक्षण भी शामिल है जो व्यक्तिगत जानकारी के साथ काम करते हैं।
1सी-बिजनेस आर्किटेक्ट सेंटर फॉर कॉम्प्रिहेंसिव बिजनेस डेवलपमेंट के विशेषज्ञ आपको जानकारी और तकनीकी सहायता प्रदान करने में प्रसन्न होंगे।
सूचना सुरक्षासूचना सुरक्षा की तरह, सुरक्षा सुनिश्चित करने के उद्देश्य से एक जटिल कार्य है, जिसे सुरक्षा प्रणाली के कार्यान्वयन द्वारा कार्यान्वित किया जाता है। सूचना सुरक्षा की समस्या बहुआयामी और जटिल है और इसमें कई महत्वपूर्ण कार्य शामिल हैं।
समाज के सभी क्षेत्रों में डेटा प्रोसेसिंग और ट्रांसमिशन के तकनीकी साधनों के प्रवेश से सूचना सुरक्षा समस्याएं लगातार बढ़ रही हैं; वित्तीय लेखांकन प्रणालियों के क्षेत्र में यह समस्या विशेष रूप से तीव्र है। रूस में सबसे लोकप्रिय लेखांकन, बिक्री और सीआरएम प्रक्रिया प्रणाली 1सी एंटरप्राइज प्रणाली है।
आइए 1सी प्रोग्राम का उपयोग करते समय संभावित सुरक्षा खतरों पर विचार करें।
|
फ़ाइल स्वरूप में डेटाबेस के साथ 1सी का उपयोग करना। 1C फ़ाइल डेटाबेस भौतिक प्रभाव के प्रति सबसे अधिक असुरक्षित हैं। यह इस प्रकार के डेटाबेस की वास्तुशिल्प विशेषताओं के कारण है - ऑपरेटिंग सिस्टम के सभी उपयोगकर्ताओं के लिए सभी कॉन्फ़िगरेशन फ़ाइलों और फ़ाइल डेटाबेस को खुला (पूर्ण पहुंच के साथ) रखने की आवश्यकता। परिणामस्वरूप, कोई भी उपयोगकर्ता जिसके पास 1C फ़ाइल डेटाबेस में काम करने का अधिकार है, वह सैद्धांतिक रूप से दो माउस क्लिक के साथ 1C सूचना डेटाबेस को कॉपी या हटा भी सकता है। |
|
 |
DBMS प्रारूप में डेटाबेस के साथ 1C का उपयोग करना।इस प्रकार की समस्या तब उत्पन्न होती है जब एक DBMS (PosgreSQL, MS SQL) का उपयोग 1C डेटाबेस के लिए स्टोरेज के रूप में किया जाता है, और एक एंटरप्राइज़ 1C सर्वर का उपयोग 1C और DBMS के बीच एक मध्यवर्ती संचार सेवा के रूप में किया जाता है। यह एक उदाहरण है - कई कंपनियां अपनी आवश्यकताओं के अनुरूप 1सी कॉन्फ़िगरेशन को संशोधित करने का अभ्यास करती हैं। परिशोधन की प्रक्रिया में, परियोजना "उपद्रव" की स्थितियों में, नई, बेहतर कार्यक्षमता का निरंतर परीक्षण, जिम्मेदार विशेषज्ञ अक्सर नेटवर्क सुरक्षा के नियमों की उपेक्षा करते हैं। |
 |
सर्वर उपकरण का खुलापन और पहुंच।यदि सर्वर उपकरण तक अनधिकृत पहुंच है, तो कंपनी के कर्मचारी या तीसरे पक्ष इस पहुंच का उपयोग जानकारी चुराने या क्षति पहुंचाने के लिए कर सकते हैं। सीधे शब्दों में कहें तो, यदि कोई हमलावर 1सी सर्वर की बॉडी और कंसोल तक सीधी पहुंच प्राप्त करता है, तो उसकी क्षमताओं की सीमा दस गुना बढ़ जाती है। |
 |
व्यक्तिगत डेटा की चोरी और रिसाव का जोखिम।यहां, व्यक्तिगत डेटा की सुरक्षा के लिए वर्तमान खतरों को उन स्थितियों और कारकों के एक समूह के रूप में समझा जाता है जो सूचना प्रणाली में उनके प्रसंस्करण के दौरान व्यक्तिगत डेटा तक अनधिकृत, आकस्मिक सहित पहुंच का वर्तमान खतरा पैदा करते हैं, उदाहरण के लिए, जिम्मेदार कर्मचारियों द्वारा, पीसी संचालक, लेखा विभाग, आदि। |
 |
नेटवर्क सुरक्षा। GOST, सुरक्षा आवश्यकताओं, अनुशंसाओं के उल्लंघन या उचित आईटी समर्थन के अभाव में निर्मित एक उद्यम सूचना प्रणाली छिद्रों, वायरस और स्पाइवेयर और कई बैकडोर (आंतरिक नेटवर्क तक अनधिकृत पहुंच) से भरी हुई है, जो सीधे कॉर्पोरेट डेटा की सुरक्षा को प्रभावित करती है। 1सी. इससे किसी हमलावर के लिए व्यावसायिक रूप से संवेदनशील जानकारी तक आसान पहुंच हो जाती है। उदाहरण के लिए, एक हमलावर व्यक्तिगत लाभ के लिए बैकअप प्रतियों तक मुफ्त पहुंच और बैकअप प्रतियों वाले अभिलेखागार के लिए पासवर्ड की अनुपस्थिति का उपयोग कर सकता है। वायरल गतिविधि से 1C डेटाबेस को होने वाली प्राथमिक क्षति का उल्लेख नहीं किया गया है। |
 |
1सी और बाहरी वस्तुओं के बीच संबंध।एक अन्य संभावित खतरा "बाहरी दुनिया" के साथ संचार करने के लिए 1सी अकाउंटिंग डेटाबेस की आवश्यकता (और कभी-कभी एक विशेष विपणन सुविधा) है। ग्राहक बैंकों के अपलोड/डाउनलोड, शाखाओं के साथ सूचना का आदान-प्रदान, कॉर्पोरेट वेबसाइटों, पोर्टलों, अन्य रिपोर्टिंग कार्यक्रमों, ग्राहक और बिक्री प्रबंधन और बहुत कुछ के साथ नियमित सिंक्रनाइज़ेशन। चूंकि 1C के इस क्षेत्र में सुरक्षा मानकों के अनुपालन और नेटवर्क सूचना विनिमय की एकरूपता को प्रोत्साहित नहीं किया जाता है, इसलिए इसके मार्ग में किसी भी बिंदु पर रिसाव काफी वास्तविक है। |
ऐसी समस्याओं के समाधान के लिए क्या प्रस्तावित किया जा सकता है?
1. 1C फ़ाइल डेटाबेस के साथ काम करते समयठिकानों की सुरक्षा सुनिश्चित करने के लिए कई उपायों को लागू करना अनिवार्य है:
- एनटीएफएस पहुंच प्रतिबंधों का उपयोग करते हुए, केवल उन उपयोगकर्ताओं को आवश्यक अधिकार दें जो इस डेटाबेस के साथ काम करते हैं, जिससे डेटाबेस को बेईमान कर्मचारियों या हमलावर द्वारा चोरी या क्षति से बचाया जा सके;
- उपयोगकर्ता वर्कस्टेशन में लॉग इन करने और नेटवर्क संसाधनों तक पहुंचने के लिए हमेशा विंडोज प्राधिकरण का उपयोग करें;
- एन्क्रिप्टेड डिस्क या एन्क्रिप्टेड फ़ोल्डर का उपयोग करें जो आपको 1सी डेटाबेस हटाने पर भी गोपनीय जानकारी सहेजने की अनुमति देगा;
- एक स्वचालित स्क्रीन लॉकिंग नीति स्थापित करें, साथ ही प्रोफ़ाइल लॉकिंग की आवश्यकता को समझाने के लिए उपयोगकर्ता को प्रशिक्षण प्रदान करें;
- 1सी स्तर पर पहुंच अधिकारों के विभेदन से उपयोगकर्ताओं को केवल उसी जानकारी तक पहुंच प्राप्त करने की अनुमति मिलेगी जिसके लिए उनके पास उचित अधिकार हैं;
- 1C कॉन्फिगरेटर को केवल उन्हीं कर्मचारियों को लॉन्च करने की अनुमति देना आवश्यक है जिन्हें इसकी आवश्यकता है।
2. DBMS 1C डेटाबेस के साथ काम करते समयकृपया निम्नलिखित अनुशंसाओं पर ध्यान दें:
- डीबीएमएस से जुड़ने के क्रेडेंशियल में प्रशासनिक अधिकार नहीं होने चाहिए;
- डीबीएमएस डेटाबेस तक पहुंच अधिकारों को अलग करना आवश्यक है, उदाहरण के लिए, प्रत्येक सूचना आधार के लिए अपना स्वयं का खाता बनाएं, जो किसी एक खाते के हैक होने पर डेटा हानि को कम करेगा;
- एंटरप्राइज़ डेटाबेस और 1C सर्वर तक भौतिक और दूरस्थ पहुंच को सीमित करने की अनुशंसा की जाती है;
- डेटाबेस के लिए एन्क्रिप्शन का उपयोग करने की अनुशंसा की जाती है; यह गोपनीय डेटा को बचाएगा, भले ही कोई हमलावर डीबीएमएस फ़ाइलों तक भौतिक पहुंच प्राप्त कर ले;
- इसके अलावा, महत्वपूर्ण निर्णयों में से एक डेटा बैकअप के लिए एन्क्रिप्ट करना या पासवर्ड सेट करना है;
- 1सी क्लस्टर के साथ-साथ 1सी सर्वर के लिए प्रशासक बनाना अनिवार्य है, क्योंकि डिफ़ॉल्ट रूप से, यदि कोई उपयोगकर्ता नहीं बनाया जाता है, तो सिस्टम के सभी उपयोगकर्ताओं के पास सूचना आधारों तक पूर्ण पहुंच होती है।
3. सर्वर उपकरण की भौतिक सुरक्षा सुनिश्चित करने के लिए आवश्यकताएँ:
(गोस्ट आर आईएसओ/आईईसी टीओ-13335 के अनुसार)
- उन क्षेत्रों तक पहुंच जहां संवेदनशील जानकारी संसाधित या संग्रहीत की जाती है, नियंत्रित की जानी चाहिए और केवल अधिकृत व्यक्तियों तक ही सीमित होनी चाहिए;
- प्रमाणीकरण नियंत्रण, जैसे एक्सेस कंट्रोल कार्ड और व्यक्तिगत पहचान संख्या , किसी भी पहुंच को अधिकृत और पुष्टि करने के लिए उपयोग किया जाना चाहिए;
- सभी पहुंच का ऑडिट ट्रेल एक सुरक्षित स्थान पर रखा जाना चाहिए;
- तीसरे पक्ष के सहायता कर्मियों को आवश्यकता पड़ने पर ही सुरक्षा क्षेत्रों या संवेदनशील सूचना प्रसंस्करण सुविधाओं तक सीमित पहुंच दी जानी चाहिए;
- इस पहुंच को हर समय अधिकृत और मॉनिटर किया जाना चाहिए;
- सुरक्षा क्षेत्रों तक पहुंच अधिकारों की नियमित रूप से समीक्षा और अद्यतन किया जाना चाहिए, और यदि आवश्यक हो तो रद्द कर दिया जाना चाहिए;
- प्रासंगिक सुरक्षा और स्वास्थ्य नियमों और मानकों को ध्यान में रखा जाना चाहिए;
- मुख्य सुविधाएं इस प्रकार स्थित की जानी चाहिए कि आम जनता की उन तक पहुंच को रोका जा सके;
- जहां लागू हो, इमारतें और कमरे सादे होने चाहिए और अपने उद्देश्य का न्यूनतम संकेत देना चाहिए, इमारत के बाहर या अंदर कोई प्रमुख संकेत नहीं होना चाहिए, जो सूचना प्रसंस्करण गतिविधियों की उपस्थिति का संकेत दे;
- संवेदनशील सूचना प्रसंस्करण सुविधाओं के स्थान बताने वाले संकेत और आंतरिक टेलीफोन पुस्तकें आम जनता के लिए आसानी से उपलब्ध नहीं होनी चाहिए।
4. व्यक्तिगत डेटा की गोपनीयता.व्यक्तिगत डेटा की सुरक्षा को व्यवस्थित करने का मुख्य लक्ष्य परिभाषित सूचना प्रणाली में मौजूदा खतरों को बेअसर करना है 27 जुलाई 2006 का संघीय कानून संख्या 152-एफजेड "व्यक्तिगत डेटा पर"
, राज्य मानकों और अंतर्राष्ट्रीय आईटी सुरक्षा प्रमाणपत्रों की आवश्यकताओं की एक सूची (गोस्ट आर आईएसओ/आईईसी 13335 2-5, आईएसओ 27001)
. यह सूचना तक उसके प्रकारों के आधार पर पहुंच को सीमित करके, उपयोगकर्ता की भूमिकाओं के आधार पर सूचना तक पहुंच को सीमित करके, सूचना के प्रसंस्करण और भंडारण की प्रक्रिया को संरचित करके प्राप्त किया जाता है।
यहां कुछ प्रमुख बिंदु दिए गए हैं:
- व्यक्तिगत डेटा का प्रसंस्करण विशिष्ट, पूर्व-परिभाषित और वैध उद्देश्यों की प्राप्ति तक सीमित होना चाहिए;
- व्यक्तिगत डेटा के प्रसंस्करण के लिए सहमति विशिष्ट, सूचित और सचेत होनी चाहिए;
- व्यक्तिगत डेटा के प्रसंस्करण की अनुमति नहीं है जो व्यक्तिगत डेटा एकत्र करने के उद्देश्यों से असंगत है;
- केवल व्यक्तिगत डेटा जो उनके प्रसंस्करण के उद्देश्यों को पूरा करता है, प्रसंस्करण के अधीन है;
- ऑपरेटर और अन्य व्यक्ति जिनके पास व्यक्तिगत डेटा तक पहुंच है, वे व्यक्तिगत डेटा के विषय की सहमति के बिना तीसरे पक्ष को खुलासा नहीं करने या व्यक्तिगत डेटा वितरित नहीं करने के लिए बाध्य हैं, जब तक कि संघीय कानून द्वारा अन्यथा प्रदान न किया गया हो;
- फोटोग्राफिक, वीडियो, ऑडियो या अन्य रिकॉर्डिंग उपकरण जैसे मोबाइल उपकरणों पर कैमरे की अनुमति तब तक नहीं दी जानी चाहिए जब तक कि अधिकृत न किया गया हो;
- हटाने योग्य मीडिया वाली ड्राइव को केवल तभी अनुमति दी जानी चाहिए जब इसकी व्यावसायिक आवश्यकता हो;
- यह सुनिश्चित करने के लिए कि गोपनीय जानकारी के साथ छेड़छाड़ न हो, कागज और इलेक्ट्रॉनिक मीडिया को उपयोग में न होने पर, विशेष रूप से गैर-कार्य घंटों के दौरान, उचित रूप से बंद अलमारियों और/या अन्य सुरक्षित फर्नीचर में संग्रहित किया जाना चाहिए;
- महत्वपूर्ण या संवेदनशील मालिकाना जानकारी वाले मीडिया को दूर रखा जाना चाहिए और आवश्यकता न होने पर लॉक कर दिया जाना चाहिए (उदाहरण के लिए, अग्निरोधक तिजोरी या कैबिनेट में), खासकर जब क्षेत्र खाली हो।
5. नेटवर्क सुरक्षा- यह किसी उद्यम के कंप्यूटर नेटवर्क के बुनियादी ढांचे और उसमें काम करने की नीतियों के लिए आवश्यकताओं का एक सेट है, जिसका कार्यान्वयन अनधिकृत पहुंच से नेटवर्क संसाधनों की सुरक्षा सुनिश्चित करता है। नेटवर्क सुरक्षा को व्यवस्थित करने और सुनिश्चित करने के लिए अनुशंसित कार्यों के हिस्से के रूप में, बुनियादी बातों के अलावा, आप निम्नलिखित सुविधाओं पर विचार कर सकते हैं:
- सबसे पहले, कंपनी को उचित निर्देशों के साथ एक एकीकृत सूचना सुरक्षा विनियमन लागू करना होगा;
- उपयोगकर्ताओं को यथासंभव फ़ाइल होस्टिंग सेवाओं सहित अवांछित साइटों तक पहुंच से वंचित किया जाना चाहिए;
- केवल वे पोर्ट जो उपयोगकर्ताओं के सही संचालन के लिए आवश्यक हैं, बाहरी नेटवर्क से खुले होने चाहिए;
- उपयोगकर्ता के कार्यों की व्यापक निगरानी और सभी सार्वजनिक रूप से उपलब्ध संसाधनों की सामान्य स्थिति के उल्लंघन की त्वरित अधिसूचना के लिए एक प्रणाली होनी चाहिए, जिसका संचालन कंपनी के लिए महत्वपूर्ण है;
- मैलवेयर को साफ करने और हटाने के लिए एक केंद्रीकृत एंटी-वायरस सिस्टम और नीतियों की उपलब्धता;
- एंटी-वायरस सॉफ़्टवेयर के प्रबंधन और अद्यतन के लिए एक केंद्रीकृत प्रणाली की उपलब्धता, साथ ही नियमित ओएस अपडेट के लिए नीतियां;
- हटाने योग्य फ़्लैश मीडिया चलाने की क्षमता यथासंभव सीमित होनी चाहिए;
- पासवर्ड कम से कम 8 अक्षर लंबा होना चाहिए, इसमें संख्याएं और बड़े और छोटे अक्षर शामिल होने चाहिए;
- मुख्य सूचना विनिमय फ़ोल्डरों की सुरक्षा और एन्क्रिप्शन होना चाहिए, विशेष रूप से 1सी एक्सचेंज फ़ाइलों और क्लाइंट-बैंक सिस्टम में;
- सूचना प्रसंस्करण सुविधाओं में शामिल बिजली और लंबी दूरी की संचार लाइनें जहां संभव हो भूमिगत होनी चाहिए या पर्याप्त वैकल्पिक सुरक्षा के अधीन होनी चाहिए;
- नेटवर्क केबलों को अनधिकृत अवरोधन या क्षति से बचाया जाना चाहिए, उदाहरण के लिए एक नाली का उपयोग करके या सार्वजनिक रूप से सुलभ क्षेत्रों से गुजरने वाले मार्गों से बचकर।
उपरोक्त सभी को सारांशित करते हुए, मैं यह नोट करना चाहूंगा कि सूचना की सुरक्षा के लिए मुख्य नियम उपयोगकर्ताओं के अधिकारों और क्षमताओं को सीमित करना है, साथ ही सूचना प्रणालियों का उपयोग करते समय उन पर नियंत्रण भी है। किसी सूचना प्रणाली के साथ काम करते समय उपयोगकर्ता के पास जितने कम अधिकार होंगे, दुर्भावनापूर्ण इरादे या लापरवाही के कारण सूचना के लीक होने या क्षति की संभावना उतनी ही कम होगी।
1C डेटाबेस सहित एंटरप्राइज़ डेटा की सुरक्षा के लिए एक व्यापक समाधान, "इज़राइल में सर्वर" समाधान है, जिसमें उच्च स्तर की सूचना गोपनीयता सुनिश्चित करने के लिए नवीनतम उपकरण शामिल हैं।
प्रणाली एकीकरण। CONSULTING
1 जुलाई, 2017 से, व्यक्तियों के व्यक्तिगत डेटा के साथ बातचीत करते समय उल्लंघन के लिए दायित्व को काफी सख्त कर दिया गया है। यह संघीय कानून दिनांक 02/07/2017 संख्या 13-एफजेड) के प्रावधानों का अनुसरण करता है। परिवर्तन बिना किसी अपवाद के सभी नियोक्ताओं को प्रभावित करेंगे जो कर्मचारियों और व्यक्तिगत ठेकेदारों के व्यक्तिगत डेटा के प्रसंस्करण में शामिल हैं। इसके अलावा, हम कह सकते हैं कि संशोधन लगभग पूरे व्यावसायिक समुदाय पर लागू होते हैं जो व्यक्तियों के व्यक्तिगत डेटा (उदाहरण के लिए, वेबसाइटों के मालिक जो आगंतुकों के व्यक्तिगत डेटा एकत्र करते हैं) के साथ बातचीत करते हैं। बदलावों की तैयारी कैसे करें? क्या बढ़ेगा जुर्माना? व्यक्तिगत डेटा के प्रसंस्करण में उल्लंघन का पता कौन लगाएगा? आइए इसका पता लगाएं।
व्यक्तिगत डेटा: विशेष जानकारी
कर्मचारियों का व्यक्तिगत डेटा श्रम संबंधों के संबंध में और किसी विशिष्ट कर्मचारी से संबंधित नियोक्ता के लिए आवश्यक कोई भी जानकारी है (27 जुलाई 2006 के संघीय कानून के अनुच्छेद 3 के खंड 1, संख्या 152-एफजेड "व्यक्तिगत डेटा पर")।
एक नियोक्ता (संगठन या व्यक्तिगत उद्यमी) के लिए, कर्मचारियों के व्यक्तिगत डेटा को अक्सर उनके व्यक्तिगत कार्ड और व्यक्तिगत फाइलों में संक्षेपित किया जाता है। साथ ही, लगभग हर मानव संसाधन प्रबंधक या मानव संसाधन विशेषज्ञ जानता है कि व्यक्तिगत डेटा केवल कर्मचारियों से व्यक्तिगत रूप से प्राप्त किया जा सकता है। यदि व्यक्तिगत जानकारी केवल तीसरे पक्ष से प्राप्त की जा सकती है, तो रूसी कानून कर्मचारी को इस बारे में सूचित करने और उससे लिखित सहमति प्राप्त करने के लिए बाध्य है (रूसी संघ के श्रम संहिता के अनुच्छेद 86 के भाग 1 के खंड 3)।
नियोक्ता को व्यक्तिगत डेटा प्राप्त करने और संसाधित करने का अधिकार नहीं है जो सीधे तौर पर किसी व्यक्ति की कार्य गतिविधि से संबंधित नहीं है। अर्थात्, जानकारी एकत्र करना असंभव है, उदाहरण के लिए, कर्मचारियों के धर्म के बारे में। आखिरकार, ऐसी जानकारी एक व्यक्तिगत या पारिवारिक रहस्य बनती है और किसी भी तरह से कार्य कर्तव्यों के प्रदर्शन से जुड़ी नहीं हो सकती (रूसी संघ के श्रम संहिता के अनुच्छेद 86 के भाग 1 के खंड 4)।
व्यक्तिगत डेटा प्राप्त करने के बाद, नियोक्ता, कानूनी आवश्यकताओं के आधार पर, कर्मचारी की सहमति के बिना इसे तीसरे पक्ष को वितरित या प्रकट नहीं करने के लिए बाध्य है (27 जुलाई, 2006 के संघीय कानून संख्या 152-एफजेड के अनुच्छेद 7)।
व्यक्तिगत डेटा को किसी विशिष्ट व्यक्ति (व्यक्तिगत डेटा का विषय) से प्रत्यक्ष या अप्रत्यक्ष रूप से संबंधित किसी भी जानकारी के रूप में समझा जा सकता है - 27 जुलाई 2006 के संघीय कानून संख्या 152-एफजेड के अनुच्छेद 3 के अनुच्छेद 1। ऐसी जानकारी के उदाहरण अंतिम नाम, प्रथम नाम, संरक्षक, जन्म तिथि और स्थान, निवास स्थान आदि हो सकते हैं।
एक नियोक्ता व्यक्तिगत डेटा की सुरक्षा के लिए कैसे बाध्य है?
व्यक्तिगत डेटा की सुरक्षा और उस तक पहुंच को सीमित करने के लिए, नियोक्ता को उनकी सुरक्षा के लिए एक उच्च-गुणवत्ता और आधुनिक प्रणाली प्रदान करनी होगी। यह वास्तव में कैसे करें? प्रत्येक नियोक्ता इस मुद्दे को स्वतंत्र रूप से तय करता है। उसी समय, व्यक्तिगत डेटा प्राप्त करने, संसाधित करने, स्थानांतरित करने और संग्रहीत करने की प्रक्रिया संगठन के स्थानीय अधिनियम में निहित होनी चाहिए, उदाहरण के लिए कर्मचारियों के व्यक्तिगत डेटा के प्रसंस्करण पर विनियम (श्रम संहिता के अनुच्छेद 8, 87) रूसी संघ के, खंड 2, भाग 1, 27 जुलाई 2006 के संघीय कानून संख्या 152-एफजेड के अनुच्छेद 18.1)।
साथ ही, नियोक्ता को आधिकारिक तौर पर एक कर्मचारी नियुक्त करना होगा जो व्यक्तिगत डेटा (रूसी संघ के श्रम संहिता के अनुच्छेद 88 के भाग 5) के साथ काम करने के लिए जिम्मेदार है। उदाहरण के लिए, यह मानव संसाधन विभाग का एक कर्मचारी हो सकता है जो व्यक्तिगत फाइलों के साथ बातचीत करता है, प्रसंस्करण के लिए कर्मचारी की सहमति प्राप्त करता है, कर्मचारी कार्ड बनाए रखता है, आदि।
व्यक्तिगत डेटा के प्रसंस्करण के संबंध में नियोक्ता का निरीक्षण रोसकोम्नाडज़ोर के विभागों द्वारा किया जाता है। 14 नवंबर, 2011 को रूस के दूरसंचार और जन संचार मंत्रालय के आदेश संख्या 312 ने राज्य नियंत्रण (पर्यवेक्षण) के कार्यान्वयन के लिए रोसकोम्नाडज़ोर द्वारा कार्यों के निष्पादन के लिए प्रशासनिक विनियमों को मंजूरी दी।
नियोक्ताओं पर क्या जिम्मेदारियाँ लागू होती हैं
कर्मचारियों के व्यक्तिगत डेटा को प्राप्त करने, संसाधित करने, संग्रहीत करने और संरक्षित करने की प्रक्रिया के उल्लंघन के लिए, अनुशासनात्मक, सामग्री, प्रशासनिक और आपराधिक दायित्व प्रदान किया जाता है (रूसी संघ के श्रम संहिता के अनुच्छेद 90, भाग 1, संघीय कानून के अनुच्छेद 24) 27 जुलाई 2006 संख्या 152-एफजेड)। आइए इनमें से प्रत्येक प्रकार की ज़िम्मेदारी पर नज़र डालें।
अनुशासनात्मक जिम्मेदारी
जो कर्मचारी, श्रम संबंधों के कारण, व्यक्तिगत डेटा के साथ काम करने के नियमों का पालन करने के लिए बाध्य हैं, लेकिन उन्होंने उनका उल्लंघन किया है (रूसी संघ के श्रम संहिता के अनुच्छेद 192) को व्यक्तिगत डेटा के साथ काम करते समय उल्लंघन के लिए जिम्मेदार ठहराया जा सकता है। यानी, आप जवाबदेह ठहरा सकते हैं, उदाहरण के लिए, मानव संसाधन प्रबंधक जिसे संबंधित कार्य सौंपा गया है। व्यक्तिगत डेटा एकत्र करने, संसाधित करने और संग्रहीत करने के अनुशासनात्मक अपराध के लिए, नियोक्ता अपने कर्मचारी को निम्नलिखित दंडों में से एक लागू करके दंडित कर सकता है (रूसी संघ के श्रम संहिता के अनुच्छेद 192 का भाग 1):
- टिप्पणी;
- डाँटना;
- बर्खास्तगी.
भौतिक दायित्व
किसी कर्मचारी की वित्तीय देनदारी तब उत्पन्न हो सकती है, जब संगठन के व्यक्तिगत डेटा के साथ काम करने के नियमों के उल्लंघन के कारण प्रत्यक्ष वास्तविक क्षति होती है (रूसी संघ के श्रम संहिता के अनुच्छेद 238)। आइए मान लें कि मानव संसाधन विभाग के जिम्मेदार कर्मचारी ने घोर उल्लंघन किया - उसने कर्मचारियों का व्यक्तिगत डेटा इंटरनेट पर वितरित किया। इस बारे में जानने के बाद, श्रमिकों ने नियोक्ता के खिलाफ मुकदमा दायर किया, जिसमें फैसला सुनाया गया: "घायल श्रमिकों को मौद्रिक मुआवजा देना - प्रत्येक को 50,000 रूबल।" ऐसी स्थिति में, नियोक्ता के पास दोषी मानव संसाधन विभाग के कर्मचारी पर उसकी औसत मासिक कमाई (रूसी संघ के श्रम संहिता के अनुच्छेद 241) की सीमा के भीतर सीमित वित्तीय दायित्व लगाने का अवसर होता है। कर्मचारी को हुई क्षति की राशि के अंतिम निर्धारण की तारीख से एक महीने के भीतर प्रबंधक के आदेश से क्षति की वसूली की जा सकती है। यदि माह की अवधि समाप्त हो गई है तो हर्जाना न्यायालय के माध्यम से वसूल करना होगा। यह प्रक्रिया रूसी संघ के श्रम संहिता के अनुच्छेद 248 में प्रदान की गई है।
ये भी पढ़ें ओवरटाइम काम के लिए आराम का समय
पूर्ण वित्तीय दायित्व के साथ, कर्मचारी को व्यक्तिगत डेटा के क्षेत्र में उल्लंघन (रूसी संघ के श्रम संहिता के अनुच्छेद 242 और 243) के संबंध में हुई क्षति की पूरी राशि के लिए संगठन को पूरी तरह से मुआवजा देना होगा। हालाँकि, एक नियम के रूप में, व्यक्तिगत डेटा के प्रसंस्करण के लिए जिम्मेदार कर्मचारियों को पूर्ण वित्तीय जिम्मेदारी नहीं दी जाती है।
एक नियोक्ता (उदाहरण के लिए, एक वाणिज्यिक संगठन) पूरी तरह से अपने विवेक पर अनुशासनात्मक और वित्तीय दायित्व लागू करता है। राज्य नियामक प्राधिकरण (रोसकोम्नाडज़ोर सहित) इस प्रक्रिया में भाग नहीं लेते हैं।
प्रशासनिक जिम्मेदारी
नियोक्ता और अधिकारियों के व्यक्तिगत डेटा को एकत्र करने, संग्रहीत करने, उपयोग करने या वितरित करने की प्रक्रिया के उल्लंघन के लिए, नियामक अधिकारी जुर्माने के रूप में प्रशासनिक दायित्व लगा सकते हैं, जिसकी राशि हो सकती है:
- अधिकारियों के लिए (उदाहरण के लिए, महानिदेशक, मुख्य लेखाकार, कार्मिक अधिकारी या व्यक्तिगत उद्यमी): 500 से 1000 रूबल तक;
- एक संगठन के लिए: 5,000 से 10,000 रूबल तक।
आधिकारिक या पेशेवर कर्तव्यों के प्रदर्शन के संबंध में व्यक्तिगत डेटा का खुलासा करने के लिए अधिकारियों के लिए एक अलग (स्वतंत्र) जुर्माना 4,000 से 5,000 रूबल तक है। इस तरह के दंड का वर्णन प्रशासनिक अपराधों पर रूसी संघ की संहिता के अनुच्छेद 13.11 और 13.14 में किया गया है।
अपराधी दायित्व
निदेशक, मुख्य लेखाकार या कंपनी के मानव संसाधन विभाग के प्रमुख या व्यक्तिगत डेटा के साथ काम करने के लिए जिम्मेदार अन्य व्यक्ति के लिए अवैध कार्यों के लिए आपराधिक दायित्व उत्पन्न हो सकता है:
- किसी कर्मचारी के निजी जीवन के बारे में उसकी सहमति के बिना, उसके व्यक्तिगत या पारिवारिक रहस्य के बारे में जानकारी का संग्रह या प्रसार;
- सार्वजनिक भाषण, सार्वजनिक रूप से प्रदर्शित कार्य या मीडिया में कर्मचारी के बारे में जानकारी का प्रसार।
व्यक्तिगत डेटा के प्रबंधन के संबंध में ऐसे उल्लंघनों के लिए, निम्नलिखित आपराधिक दंड की अनुमति है:
- 200,000 रूबल तक का जुर्माना (या 18 महीने तक की अवधि के लिए दोषी व्यक्ति की आय की राशि में);
- 360 घंटे तक अनिवार्य कार्य;
- एक वर्ष तक के लिए सुधारात्मक श्रम;
- कुछ पदों पर रहने या तीन साल तक की अवधि के लिए कुछ गतिविधियों में संलग्न होने के अधिकार से वंचित किए बिना दो साल तक की अवधि के लिए जबरन श्रम;
- चार महीने तक की गिरफ़्तारी;
- कुछ पदों पर रहने या तीन साल तक की अवधि के लिए कुछ गतिविधियों में शामिल होने के अधिकार से वंचित करने के साथ दो साल तक की कैद।
किसी व्यक्ति द्वारा अपने आधिकारिक पद का उपयोग करके किए गए समान कृत्यों को अधिक गंभीर रूप से दंडित किया जाता है:
- 100,000 से 300,000 रूबल तक का जुर्माना। (या एक से दो साल की अवधि के लिए दोषी व्यक्ति की आय की राशि में);
- दो से पांच साल की अवधि के लिए कुछ पदों पर रहने या कुछ गतिविधियों में संलग्न होने के अधिकार से वंचित करना;
- चार साल तक की अवधि के लिए जबरन श्रम, कुछ पदों पर रहने या पांच साल तक की अवधि के लिए कुछ गतिविधियों में संलग्न होने के अधिकार से वंचित करना;
- चार से छह महीने की अवधि के लिए गिरफ्तारी;
- कुछ पदों को रखने या पांच साल तक की अवधि के लिए कुछ गतिविधियों में संलग्न होने के अधिकार से वंचित करने के साथ चार साल तक की कैद (रूसी संघ के आपराधिक संहिता के अनुच्छेद 137)।
1 जुलाई 2017 से क्या बदलेगा?
07.02 का संघीय कानून। 2017 नंबर 13-एफजेड ने व्यक्तिगत डेटा सुरक्षा के क्षेत्र में नियोक्ता को प्रशासनिक दायित्व में लाने के लिए आधारों की सूची का विस्तार किया, और प्रशासनिक जुर्माने की राशि भी बढ़ा दी। यह कानून 1 जुलाई, 2017 को लागू हुआ। आइए हम तुरंत कहें कि व्यक्तिगत डेटा के क्षेत्र में प्रशासनिक जिम्मेदारी काफी कड़ी कर दी गई है। साथ ही, निम्नलिखित महत्वपूर्ण है: रूसी संघ के प्रशासनिक अपराधों की संहिता के अनुच्छेद 13.11 में वर्णित एकमात्र प्रकार के प्रशासनिक दायित्व के बजाय, सात दिखाई देंगे। इस प्रकार, व्यक्तिगत डेटा के क्षेत्र में नियोक्ताओं द्वारा विभिन्न उल्लंघनों के लिए अलग-अलग जुर्माना लगाया जा सकता है। यदि अलग-अलग अपराधों के लिए कई उल्लंघन पाए जाते हैं, तो जुर्माने की संख्या तदनुसार बढ़ सकती है। आइए नए अपराधों के बारे में विस्तार से बताएं।
उल्लंघन 1: "अन्य" उद्देश्यों के लिए व्यक्तिगत डेटा का प्रसंस्करण
1 जुलाई, 2017 से, कानून द्वारा प्रदान नहीं किए गए मामलों में व्यक्तिगत डेटा का प्रसंस्करण, या व्यक्तिगत डेटा एकत्र करने के उद्देश्यों के साथ असंगत व्यक्तिगत डेटा का प्रसंस्करण स्वतंत्र प्रकार के प्रशासनिक उल्लंघन हैं (प्रशासनिक संहिता के अनुच्छेद 13.11 का भाग 1) रूसी संघ के अपराध)। आइए एक उदाहरण दें: एक नियोक्ता संगठन कर्मचारियों का व्यक्तिगत डेटा एकत्र करता है और इस डेटा को विज्ञापन उद्देश्यों के लिए तीसरे पक्ष की कंपनियों को स्थानांतरित करता है (पूरा नाम, टेलीफोन नंबर, निवास का क्षेत्र, आय स्तर स्थानांतरित किया जाता है)। फिर विज्ञापन कंपनियाँ कर्मचारियों को फ़ोन, ई-मेल और घर के पते पर विभिन्न स्पैम और विज्ञापन ऑफ़र भेजना शुरू कर देती हैं। यदि नियोक्ता की ऐसी कार्रवाइयों से किसी आपराधिक अपराध का पता नहीं चलता है, तो प्रशासनिक दायित्व लागू किया जा सकता है। 1 जुलाई, 2017 से प्रशासनिक दंड इस प्रकार हो सकते हैं:
- या चेतावनी;
- या जुर्माना.
उल्लंघन 2: सहमति के बिना व्यक्तिगत डेटा का प्रसंस्करण
नियोक्ता द्वारा व्यक्तिगत डेटा का प्रसंस्करण, एक सामान्य नियम के रूप में, केवल कर्मचारियों की लिखित सहमति से ही संभव है। ऐसी सहमति में निम्नलिखित जानकारी शामिल होनी चाहिए (27 जुलाई 2006 के कानून संख्या 152-एफजेड के अनुच्छेद 9 का भाग 4):
- कर्मचारी का पूरा नाम, पता, पासपोर्ट विवरण (उसकी पहचान साबित करने वाला अन्य दस्तावेज़), दस्तावेज़ जारी करने की तारीख और जारी करने वाले प्राधिकारी के बारे में जानकारी सहित;
- कर्मचारी की सहमति प्राप्त करने वाले नियोक्ता (ऑपरेटर) का नाम या पूरा नाम और पता;
- व्यक्तिगत डेटा संसाधित करने का उद्देश्य;
- व्यक्तिगत डेटा की सूची जिसके प्रसंस्करण के लिए सहमति दी गई है;
- नियोक्ता की ओर से व्यक्तिगत डेटा संसाधित करने वाले व्यक्ति का नाम या पूरा नाम और पता, यदि प्रसंस्करण ऐसे व्यक्ति को सौंपा जाएगा;
- व्यक्तिगत डेटा के साथ कार्यों की एक सूची जिसके लिए सहमति दी गई है, व्यक्तिगत डेटा को संसाधित करने के लिए नियोक्ता द्वारा उपयोग की जाने वाली विधियों का एक सामान्य विवरण;
- वह अवधि जिसके दौरान कर्मचारी की सहमति वैध है, साथ ही इसे वापस लेने की विधि, जब तक कि अन्यथा संघीय कानून द्वारा स्थापित न हो;
- कर्मचारी का हस्ताक्षर।
1 जुलाई, 2017 से, कर्मचारी की लिखित सहमति के बिना व्यक्तिगत डेटा का प्रसंस्करण, या यदि लिखित सहमति में ऊपर बताई गई जानकारी शामिल नहीं है, तो प्रशासनिक अपराध संहिता के अनुच्छेद 13.11 के भाग 2 में प्रदान किया गया एक स्वतंत्र प्रशासनिक उल्लंघन है। रूसी संघ। इसके लिए जुर्माना संभव है:
उल्लंघन 3: व्यक्तिगत डेटा प्रोसेसिंग नीति तक पहुंच
व्यक्तिगत डेटा ऑपरेटर (उदाहरण के लिए, एक नियोक्ता या वेबसाइट) व्यक्तिगत डेटा की सुरक्षा के लिए कार्यान्वित आवश्यकताओं के बारे में जानकारी के लिए, व्यक्तिगत डेटा के प्रसंस्करण के संबंध में अपनी नीति को परिभाषित करने वाले दस्तावेज़ को प्रकाशित करने या अन्यथा अप्रतिबंधित पहुंच प्रदान करने के लिए बाध्य है। इंटरनेट पर व्यक्तिगत डेटा एकत्र करने वाला ऑपरेटर (उदाहरण के लिए, एक वेबसाइट के माध्यम से) इंटरनेट पर व्यक्तिगत डेटा के प्रसंस्करण के संबंध में अपनी नीति को परिभाषित करने वाला एक दस्तावेज़ और व्यक्तिगत डेटा की सुरक्षा के लिए कार्यान्वित आवश्यकताओं के बारे में जानकारी प्रकाशित करने के लिए बाध्य है, साथ ही निर्दिष्ट दस्तावेज़ तक पहुँचने की क्षमता प्रदान करें। यह 27 जुलाई 2006 के कानून संख्या 152-एफजेड के अनुच्छेद 18.1 के पैराग्राफ 2 में प्रदान किया गया है।
कई इंटरनेट उपयोगकर्ताओं को व्यवहार में इस दायित्व को पूरा करने का सामना करना पड़ता है। इसलिए, उदाहरण के लिए, जब आप वेबसाइटों पर कोई एप्लिकेशन छोड़ते हैं और अपना पूरा नाम और ई-मेल इंगित करते हैं, तो आप समान दस्तावेजों के लिंक पर ध्यान दे सकते हैं: "व्यक्तिगत डेटा प्रसंस्करण नीति", "व्यक्तिगत डेटा के प्रसंस्करण पर विनियम" , वगैरह। । हालाँकि, यह पहचानने योग्य है कि कुछ साइटें इसकी उपेक्षा करती हैं और कोई लिंक प्रदान नहीं करती हैं। और यह पता चला है कि एक व्यक्ति साइट पर एक अनुरोध छोड़ता है, यह नहीं जानता कि साइट किस उद्देश्य से व्यक्तिगत डेटा एकत्र करती है।
कुछ नियोक्ता अपनी वेबसाइटों पर उपलब्ध रिक्तियों को भी प्रदर्शित करते हैं और उम्मीदवारों को "मेरे बारे में" फॉर्म भरने के लिए आमंत्रित करते हैं। ऐसे मामलों में, वेबसाइट को "व्यक्तिगत डेटा प्रोसेसिंग नीति" तक पहुंच भी प्रदान करनी होगी।
1 जुलाई, 2017 से, रूसी संघ के प्रशासनिक अपराधों की संहिता के अनुच्छेद 13.11 के भाग 3 ने एक स्वतंत्र अपराध की पहचान की है - प्रसंस्करण के लिए एक नीति के साथ दस्तावेज़ को प्रकाशित करने या असीमित पहुंच प्रदान करने के दायित्व को पूरा करने में ऑपरेटर द्वारा विफलता। व्यक्तिगत डेटा या उनकी सुरक्षा पर जानकारी। इस लेख के तहत दायित्व चेतावनी या प्रशासनिक जुर्माने जैसा लग सकता है:
उल्लंघन 4: जानकारी छिपाना
व्यक्तिगत डेटा का विषय (अर्थात्, वह व्यक्ति जिसका यह डेटा है) को अपने व्यक्तिगत डेटा के प्रसंस्करण के संबंध में जानकारी प्राप्त करने का अधिकार है, जिसमें जानकारी शामिल है (27 जुलाई, 2006 के कानून के अनुच्छेद 14 के भाग 7)। 152-एफजेड) :
- ऑपरेटर द्वारा व्यक्तिगत डेटा के प्रसंस्करण के तथ्य की पुष्टि;
- व्यक्तिगत डेटा के प्रसंस्करण के कानूनी आधार और उद्देश्य;
- ऑपरेटर द्वारा उपयोग किए जाने वाले व्यक्तिगत डेटा को संसाधित करने के उद्देश्य और तरीके;
- ऑपरेटर का नाम और स्थान, व्यक्तियों के बारे में जानकारी (ऑपरेटर के कर्मचारियों को छोड़कर) जिनके पास व्यक्तिगत डेटा तक पहुंच है या जिनके व्यक्तिगत डेटा का खुलासा ऑपरेटर के साथ समझौते के आधार पर या संघीय कानून के आधार पर किया जा सकता है;
- व्यक्तिगत डेटा के प्रासंगिक विषय, उनकी प्राप्ति के स्रोत से संबंधित संसाधित व्यक्तिगत डेटा, जब तक कि संघीय कानून द्वारा ऐसे डेटा की प्रस्तुति के लिए एक अलग प्रक्रिया प्रदान नहीं की जाती है;
- व्यक्तिगत डेटा के प्रसंस्करण की शर्तें, जिसमें उनके भंडारण की अवधि भी शामिल है;
- इस संघीय कानून द्वारा प्रदान किए गए अधिकारों के व्यक्तिगत डेटा के विषय द्वारा अभ्यास की प्रक्रिया;
- पूर्ण या इच्छित सीमा पार डेटा स्थानांतरण के बारे में जानकारी;
- ऑपरेटर की ओर से व्यक्तिगत डेटा संसाधित करने वाले व्यक्ति का नाम या उपनाम, पहला नाम, संरक्षक और पता, यदि प्रसंस्करण ऐसे व्यक्ति को सौंपा गया है या सौंपा जाएगा;
- संघीय कानून या अन्य संघीय कानूनों द्वारा प्रदान की गई अन्य जानकारी।
