Бэкапы с ПДн: как хранить резервные копии
Бэкапы с ПДн — это резервные копии сайта, CRM, базы заказов, заявок или файлов, где остаются персональные данные клиентов. Их нужно защищать так же, как основную систему: ограничивать доступы, задавать срок хранения, проверять восстановление и удалять старые копии без публичных ссылок и пересылок в мессенджеры.
Безопасное резервное копирование начинается с трёх вопросов: что именно копируется, кто имеет доступ и когда старая копия удаляется.
Что считать бэкапом с ПДн
- копия базы сайта или CRM;
- выгрузка заказов в CSV или Excel;
- дамп PostgreSQL, MySQL или другой базы;
- архив с заявками и вложениями;
- копия файлового хранилища с документами клиентов;
- экспорт рассылки или клиентской базы.
Минимальные правила хранения
| Правило | Что сделать |
|---|---|
| Ограничить доступ | только админ и ответственный |
| Задать срок | например, 7, 14 или 30 дней по процессу |
| Защитить копию | шифрование или закрытое хранилище |
| Проверить восстановление | тестировать не реже регламентного срока |
| Удалять старое | не копить архивы без цели |
Ошибки, которые создают утечки
Самый частый сценарий — выгрузка клиентской базы в файл и отправка подрядчику без ограничения доступа. Второй сценарий — автоматические бэкапы, о которых никто не помнит, но они годами лежат в облаке.
Если бэкап нужен для разработки, лучше использовать обезличенную копию. Разработчику редко нужны реальные телефоны, адреса и email клиентов.
Что прописать в документах
- какие системы резервируются;
- как часто создаются копии;
- где они хранятся;
- кто имеет доступ;
- как проверяется восстановление;
- когда старые копии удаляются;
- что делать при утрате или раскрытии бэкапа.
Коротко
Можно ли хранить бэкапы в облаке?
Можно, если облако подходит под требования по хранению, доступам, договору и локализации. Нужно проверить провайдера и не делать публичные ссылки.
Нужно ли удалять ПДн из старых бэкапов?
Если срок хранения истёк или данные должны быть уничтожены, старые копии тоже нужно учитывать в процессе. Иначе удаление будет неполным.
Практический следующий шаг
Проверьте, куда уходят копии клиентской базы
Полный аудит 152-ФЗ за 700 ₽ помогает найти формы, внешние сервисы и места, где могут храниться копии данных.