Доступ к ПДн: как разграничить права в компании
Доступ к ПДн должен выдаваться по задаче, а не по должности «на всякий случай». Менеджеру может быть нужен телефон клиента, бухгалтеру — реквизиты оплаты, разработчику — технический доступ без реальных клиентских данных.
Разграничение прав снижает риск утечки, ошибок сотрудников и лишних выгрузок. Для сайта это касается админки, CRM, почты, облаков, рассылок и бэкапов.
Принцип минимального доступа
Сотрудник должен видеть только те данные, которые нужны для его работы. Если человек обрабатывает заявки, ему не обязательно видеть бэкапы, экспорт всей базы и настройки интеграций.
Подрядчикам лучше выдавать временный доступ и закрывать его после завершения задачи. Общие логины для нескольких людей — плохая практика.
Карта ролей
| Роль | Доступ | Ограничение |
|---|---|---|
| Менеджер | заявки и контакты | без экспорта всей базы |
| Бухгалтер | оплаты и документы | без маркетинговых данных |
| Разработчик | админка или тестовая среда | лучше без реальных ПДн |
| Маркетолог | аналитика и рассылки | без лишних полей клиентов |
Что включить в регламент
- кто согласует доступ;
- какие роли есть в CRM и админке;
- как создаются аккаунты;
- когда включается двухфакторная защита;
- как отзывается доступ при увольнении или окончании проекта;
- кто проверяет старые аккаунты;
- как фиксируются выгрузки и массовые действия.
Что проверить прямо сейчас
- нет ли общих логинов admin, manager, support;
- нет ли доступа у бывших сотрудников;
- кто может выгрузить всю базу;
- есть ли 2FA у администраторов;
- попадают ли реальные ПДн в тестовую среду;
- ограничены ли подрядчики по сроку и роли.
Коротко
Можно ли дать разработчику полный доступ к базе?
Только если без этого нельзя выполнить задачу и доступ оформлен. Для большинства задач лучше использовать тестовую или обезличенную базу.
Нужен ли журнал доступа?
Да, хотя бы в простом виде. Нужно понимать, кто получил доступ, когда, зачем и когда доступ закрыт.
Практический следующий шаг
Проверьте, кто видит клиентские данные
Месячный мониторинг 152-ФЗ за 1 490 ₽ помогает ловить новые формы, виджеты и изменения, которые расширяют доступ к ПДн.