• Утечкам конфиденциальных данных
• Юридическим нарушениям
• Финансовым потерям

• Простоям бизнес-процессов
• Репутационному ущербу
• Штрафам регуляторов

152-ФЗ о персональных данных

• Оператор отвечает за действия поставщика
• Требуется договор поручения обработки ПДн
• Обязательное уничтожение данных при расторжении
• Уведомление Роскомнадзора об изменении обработки

242-ФЗ о локализации данных

• Персональные данные граждан должны храниться в стране
• Трансграничная передача только с согласия субъекта
• Проверка мест хранения у поставщика
• Штрафы до 6 млн рублей за нарушение

Реальный кейс: Компания сменила облачного провайдера без уничтожения данных у предыдущего. Через 6 месяцев произошла утечка — штраф Роскомнадзора 300 000 рублей + искы клиентов.

1

Инвентаризация и аудит

Составьте полный перечень: какие данные хранятся, какие интеграции работают, кто имеет доступ. Используйте средства автоматического обнаружения — многие компании не знают о всех используемых SaaS-сервисах.

2

Резервное копирование данных

Экспортируйте все данные в читаемом формате перед отключением. Проверьте целостность бэкапов. Особое внимание — метаданные и связи между объектами.

3

Отключение интеграций

Поэтапно отключайте API-интеграции, проверяя работу зависимых систем. Ведите лог отключений для отката при проблемах.

4

Деактивация доступа

Отключите всех пользователей, сервисные аккаунты, API-ключи. Особое внимание — привилегированные учетные записи для администрирования.

5

Подтверждение уничтожения данных

Получите от поставщика официальный акт об уничтожении данных. Требуйте доказательства — логи удаления, скриншоты, сертификаты.

6

Юридическое закрытие

Подпишите акт выполненных работ, расторгните договор, убедитесь в отсутствии финансовых обязательств.

Руководство компании

• Потеря контроля над данными
• Непредсказуемые расходы
• Зависимость от одного поставщика
• Сложность миграции

Служба безопасности

• Недостаток прозрачности СЗИ
• Сложность проведения проверок
• Риски цепочки поставщиков
• Соответствие требованиям ФСТЭК/ФСБ

Системные администраторы

• Изменение привычных процессов
• Новые инструменты мониторинга
• Зависимость от интернет-канала
• Необходимость новых компетенций

Как преодолеть сопротивление:

• Разработать четкую стратегию миграции с откатом
• Провести пилотные проекты с измеримыми KPI
• Обучить сотрудников работе с новыми технологиями
• Создать регламенты инцидентного响应 для облака
• Внедрить инструменты мониторинга безопасности cloud-native

✅ Данные экспортированы и проверены

✅ Все интеграции отключены

✅ Учетные записи деактивированы

✅ Получен акт уничтожения данных

✅ Договор расторгнут официально

✅ Уведомлены регуляторы при необходимости

Ключевой вывод: Безопасная декомиссия поставщика — это не техническая задача, а комплексный бизнес-процесс, требующий участия юристов, специалистов по безопасности, администраторов и бизнес-пользователей.