Хостинг BigBlueButton в Германии, соответствующий GDPR: что нужно знать
Разбираемся в сложных вопросах защиты данных, AV-соглашений и размещения серверов для безопасных видеоконференций.
Для школ, государственных учреждений и компаний в Европе выбор инструмента видеоконференций — это уже не только качество видео, но и соответствие требованиям. По Общему регламенту по защите данных (GDPR) риски высоки. Использование решений из США часто создает правовые серые зоны в отношении передачи данных и закона CLOUD Act.
BigBlueButton стал ведущей альтернативой с открытым исходным кодом, прежде всего потому, что его можно размещать в строго контролируемой среде. Однако не весь хостинг BigBlueButton одинаков. Чтобы быть на безопасной стороне, мы составили чек-лист ключевых требований для хостинга в Германии, соответствующего GDPR.
10 требований GDPR, которым должен соответствовать ваш хостинг BBB
Расположение сервера в Германии
Данные не должны покидать германскую юрисдикцию, чтобы избежать рисков передачи в третьи страны.
AV-соглашение (AVV)
Договор об обработке данных (Auftragsverarbeitungsvertrag) в соответствии со ст. 28 GDPR обязателен.
Шифрованная передача
Должно применяться транспортное шифрование (TLS/SSL для данных, DTLS/SRTP для медиа).
Без сторонних трекеров
Интерфейс не должен содержать внешних скриптов (например, Google Analytics), которые раскрывают метаданные пользователей.
Гранулярный контроль записи
Администраторы должны иметь возможность глобально отключать записи, чтобы предотвратить случайный сбор данных.
Анонимизированные журналы
Журналы сервера должны быть минимальными и автоматически удаляться после короткого срока хранения (например, 7–14 дней).
Дата-центры, сертифицированные по ISO 27001
Физическая инфраструктура должна соответствовать высоким стандартам безопасности, чтобы предотвратить несанкционированный физический доступ.
Экономия данных (Sparsamkeit)
Должны обрабатываться только те данные, которые строго необходимы для технического функционирования.
Безопасный контроль доступа
Для предотвращения несанкционированного доступа («Zoombombing») должны быть доступны функции вроде залов ожидания и кодов доступа в комнаты.
Без субобработчиков за пределами ЕС
Убедитесь, что хостер не использует цепочки поддержки или субобработчиков, расположенных в небезопасных третьих странах.
Понимание основных понятий
Договор обработки данных (AVV)
Без подписанного договора обработки данных (AVV) использование услуги хостинга является юридически рискованным. Этот договор обязывает хостера обрабатывать данные только по вашим инструкциям. На bbbserver мы предоставляем стандартный AVV сразу после оформления заказа, чтобы обеспечить соответствие ст. 28 GDPR.
Расположение сервера имеет значение
Хостинг в Германии означает, что ваши данные защищены немецким законодательством, одним из самых строгих в мире. Это позволяет избежать сложностей, связанных с US CLOUD Act, по которому власти США могут требовать доступ к данным, размещённым у американских компаний, даже если серверы находятся в Европе.
Хранение и удаление
Минимизация данных — ключевой принцип GDPR. Мы настраиваем наши серверы на автоматическое удаление временных данных конференций. Если вы явно не выбираете запись сеанса, данные исчезают сразу после закрытия конференц-комнаты.
FAQ для уполномоченных по защите данных и IT-менеджеров
Защитите свою связь уже сегодня
Защита данных не должна быть препятствием для эффективной коммуникации. С bbbserver вы получаете среду, полностью соответствующую требованиям GDPR, готовую к немедленному использованию.
Хотите самостоятельно проверить нашу инфраструктуру? Вы можете начать бесплатный пробный период, чтобы оценить техническую конфигурацию и производительность. Начать бесплатный пробный период