Проверить сайт Тарифы Статьи О сервисе
Бесплатная проверка
Руководства

Чек-лист для SaaS-сервиса: требования РФ законодательства

Требования законодательства РФ к SaaS-сервисам: 152-ФЗ, локализация данных, договорная документация, технические меры защиты.

SaaS-сервис (Software as a Service) — это особый вид оператора персональных данных: вы обрабатываете не только данные ваших пользователей, но зачастую и данные, которые ваши клиенты (B2B) хранят в вашей системе. Это создаёт двойную ответственность и повышенные требования к соответствию законодательству.

Блок 1: Документация и договоры

  1. Публичная оферта — детальный договор на использование сервиса с описанием тарифов, SLA, ограничений.
  2. DPA (Data Processing Agreement) — договор об обработке данных для B2B-клиентов: вы как оператор обрабатываете ПД их клиентов.
  3. Политика конфиденциальности — отдельная для пользователей сервиса и для данных клиентов.
  4. SLA — гарантии доступности, время реагирования на инциденты безопасности.
  5. Политика использования (AUP) — что запрещено делать в сервисе.

Блок 2: Локализация и инфраструктура

  1. Серверы в РФ — основная БД с ПД граждан РФ физически в России.
  2. Резервные копии — бекапы данных, хранение в РФ.
  3. CDN — если используется CDN, убедитесь, что ПД не кешируются на зарубежных узлах.
  4. Субпроцессоры — все сторонние сервисы (email, платежи, поддержка) задокументированы в политике.

Блок 3: Технические меры защиты

  1. Шифрование данных в покое (at rest) — AES-256 или аналог.
  2. Шифрование в транзите — TLS 1.2+ для всех соединений.
  3. Двухфакторная аутентификация — доступна (или обязательна для администраторов).
  4. Разграничение прав доступа — принцип минимальных привилегий.
  5. Логирование доступа к данным — кто, когда и к каким данным обращался.
  6. Тестирование на проникновение — регулярный pentest.

Блок 4: Управление инцидентами

  1. Процедура реагирования на утечки — задокументирована, протестирована.
  2. Уведомление РКН в 24 часа — процедура запуска уведомления при обнаружении инцидента.
  3. Уведомление клиентов — процедура информирования B2B-клиентов об инцидентах с их данными.

Блок 5: Права субъектов данных

  1. Удаление аккаунта — функция в интерфейсе с подтверждением удаления всех данных.
  2. Экспорт данных — пользователь может выгрузить свои данные в читаемом формате.
  3. Исправление данных — пользователь может редактировать свой профиль.
  4. Срок удаления после деактивации — данные удаляются в течение заявленного срока (30-90 дней).

Блок 6: Соответствие регулятору

  1. Уведомление в РКН направлено.
  2. Внутренний аудит ПД — проводится раз в год.
  3. Ответственный за ПД — назначен приказом, его контакты опубликованы.

Связанные статьи

О локализации данных — Локализация данных на территории РФ: требования ФЗ-242. О трансграничной передаче — Трансграничная передача данных: новые правила 2025–2026.

Итог

SaaS-сервис с выстроенной системой соответствия — конкурентное преимущество для B2B-клиентов. Проверьте базовые параметры с помощью аудита на help152.ru.

Теги: 152-ФЗ Политика конфиденциальности Персональные данные Роскомнадзор

Проверьте свой сайт прямо сейчас

Бесплатно, без регистрации, результат за 30 секунд.
Более 15 201 сайтов уже проверено.

Начать бесплатную проверку