Технические меры защиты ПДн на сайте: минимум 2026 года
Технические меры защиты ПДн на сайте — это не только HTTPS. Владельцу нужно проверить доступы к админке и CRM, обновления, резервные копии, журналы действий, передачу данных в сторонние сервисы и хранение выгрузок.
Минимум 2026 года простой: закрыть очевидные входы, убрать лишние данные, ограничить доступы и иметь понятный план восстановления. Это не заменяет юридические документы, но без этого документы будут слабой защитой.
15 пунктов технического минимума
- HTTPS на всех страницах с формами.
- Отдельные аккаунты для сотрудников и подрядчиков.
- Двухфакторная защита для админки, CRM и почты.
- Запрет общих паролей и старых доступов.
- Регулярные обновления CMS, плагинов и зависимостей.
- Резервные копии с понятным сроком хранения.
- Ограничение доступа к бэкапам.
- Журнал действий в админке или CRM.
- Защита форм от спама и массовых отправок.
- Минимизация полей в формах.
- Проверка виджетов и внешних скриптов.
- Контроль токенов API и webhook-ссылок.
- Шифрование или защита выгрузок с клиентской базой.
- Порядок удаления заявок по сроку хранения.
- Проверка сайта после каждого крупного релиза.
Что проверять в первую очередь
| Зона | Частая проблема | Действие |
|---|---|---|
| Формы | лишние поля и нет согласия | сократить поля, добавить текст |
| Админка | общий логин | раздать роли и включить 2FA |
| CRM | все видят всё | ограничить права по задачам |
| Бэкапы | лежат в открытом облаке | ограничить доступ и срок |
Почему мониторинг лучше разовой уборки
Сайт меняется: маркетолог ставит пиксель, разработчик добавляет форму, подрядчик подключает чат, менеджер выгружает базу. Разовый аудит показывает состояние на дату проверки, а мониторинг ловит новые изменения.
Если сайт активно дорабатывается, месячный мониторинг снижает риск, что нарушение появится через неделю после исправления.
Связка с документами
Технические меры нужно отразить в документах: кто имеет доступ, как выдаются права, где хранятся данные, как удаляются заявки и кто отвечает за инциденты.
Документ без реальной меры не спасает. Реальная мера без документа тоже плохо объясняется при проверке. Нужна связка.
Коротко
HTTPS достаточно для 152-ФЗ?
Нет. HTTPS защищает передачу данных, но не решает доступы, хранение, бэкапы, CRM, подрядчиков и сроки удаления.
Нужно ли проверять внешние виджеты?
Да. Чаты, формы, коллтрекинг, аналитика и рассылки могут получать ПДн или технические идентификаторы пользователей.
Практический следующий шаг
Проверьте технический минимум сайта
Бесплатное превью покажет первые риски. Полный аудит 152-ФЗ стоит 700 ₽, мониторинг на месяц — 1 490 ₽.