152-ФЗ для сайта

Технические меры защиты ПДн на сайте: минимум 2026 года

Технические меры защиты ПДн на сайте — это не только HTTPS. Владельцу нужно проверить доступы к админке и CRM, обновления, резервные копии, журналы действий, передачу данных в сторонние сервисы и хранение выгрузок.

Минимум 2026 года простой: закрыть очевидные входы, убрать лишние данные, ограничить доступы и иметь понятный план восстановления. Это не заменяет юридические документы, но без этого документы будут слабой защитой.

15 пунктов технического минимума

  • HTTPS на всех страницах с формами.
  • Отдельные аккаунты для сотрудников и подрядчиков.
  • Двухфакторная защита для админки, CRM и почты.
  • Запрет общих паролей и старых доступов.
  • Регулярные обновления CMS, плагинов и зависимостей.
  • Резервные копии с понятным сроком хранения.
  • Ограничение доступа к бэкапам.
  • Журнал действий в админке или CRM.
  • Защита форм от спама и массовых отправок.
  • Минимизация полей в формах.
  • Проверка виджетов и внешних скриптов.
  • Контроль токенов API и webhook-ссылок.
  • Шифрование или защита выгрузок с клиентской базой.
  • Порядок удаления заявок по сроку хранения.
  • Проверка сайта после каждого крупного релиза.

Что проверять в первую очередь

ЗонаЧастая проблемаДействие
Формылишние поля и нет согласиясократить поля, добавить текст
Админкаобщий логинраздать роли и включить 2FA
CRMвсе видят всёограничить права по задачам
Бэкапылежат в открытом облакеограничить доступ и срок

Почему мониторинг лучше разовой уборки

Сайт меняется: маркетолог ставит пиксель, разработчик добавляет форму, подрядчик подключает чат, менеджер выгружает базу. Разовый аудит показывает состояние на дату проверки, а мониторинг ловит новые изменения.

Если сайт активно дорабатывается, месячный мониторинг снижает риск, что нарушение появится через неделю после исправления.

Связка с документами

Технические меры нужно отразить в документах: кто имеет доступ, как выдаются права, где хранятся данные, как удаляются заявки и кто отвечает за инциденты.

Документ без реальной меры не спасает. Реальная мера без документа тоже плохо объясняется при проверке. Нужна связка.

Коротко

HTTPS достаточно для 152-ФЗ?

Нет. HTTPS защищает передачу данных, но не решает доступы, хранение, бэкапы, CRM, подрядчиков и сроки удаления.

Нужно ли проверять внешние виджеты?

Да. Чаты, формы, коллтрекинг, аналитика и рассылки могут получать ПДн или технические идентификаторы пользователей.

Практический следующий шаг

Проверьте технический минимум сайта

Бесплатное превью покажет первые риски. Полный аудит 152-ФЗ стоит 700 ₽, мониторинг на месяц — 1 490 ₽.