152-ФЗ для сайта

Доступ к ПДн: как разграничить права в компании

Доступ к ПДн должен выдаваться по задаче, а не по должности «на всякий случай». Менеджеру может быть нужен телефон клиента, бухгалтеру — реквизиты оплаты, разработчику — технический доступ без реальных клиентских данных.

Разграничение прав снижает риск утечки, ошибок сотрудников и лишних выгрузок. Для сайта это касается админки, CRM, почты, облаков, рассылок и бэкапов.

Принцип минимального доступа

Сотрудник должен видеть только те данные, которые нужны для его работы. Если человек обрабатывает заявки, ему не обязательно видеть бэкапы, экспорт всей базы и настройки интеграций.

Подрядчикам лучше выдавать временный доступ и закрывать его после завершения задачи. Общие логины для нескольких людей — плохая практика.

Карта ролей

РольДоступОграничение
Менеджерзаявки и контактыбез экспорта всей базы
Бухгалтероплаты и документыбез маркетинговых данных
Разработчикадминка или тестовая средалучше без реальных ПДн
Маркетологаналитика и рассылкибез лишних полей клиентов

Что включить в регламент

  • кто согласует доступ;
  • какие роли есть в CRM и админке;
  • как создаются аккаунты;
  • когда включается двухфакторная защита;
  • как отзывается доступ при увольнении или окончании проекта;
  • кто проверяет старые аккаунты;
  • как фиксируются выгрузки и массовые действия.

Что проверить прямо сейчас

  • нет ли общих логинов admin, manager, support;
  • нет ли доступа у бывших сотрудников;
  • кто может выгрузить всю базу;
  • есть ли 2FA у администраторов;
  • попадают ли реальные ПДн в тестовую среду;
  • ограничены ли подрядчики по сроку и роли.

Коротко

Можно ли дать разработчику полный доступ к базе?

Только если без этого нельзя выполнить задачу и доступ оформлен. Для большинства задач лучше использовать тестовую или обезличенную базу.

Нужен ли журнал доступа?

Да, хотя бы в простом виде. Нужно понимать, кто получил доступ, когда, зачем и когда доступ закрыт.

Практический следующий шаг

Проверьте, кто видит клиентские данные

Месячный мониторинг 152-ФЗ за 1 490 ₽ помогает ловить новые формы, виджеты и изменения, которые расширяют доступ к ПДн.