Обязательно ли реги...
 

Обязательно ли регистрировать иностранное ПО в России?

   RSS

0

У меня вопрос, является ли обязательной сертификация, лицензирование, регистрация и т.д. иностранного софта в России?

Есть 2 иностранных разработчика, которые заинтересованы в выходе на российский рынок. Первый предлагает облачные решения по прослеживаемости и маркировке ЛС. Второй разработчик предлагает аналог LIMS для микробиологических лабораторий, но с функционалом, заточенным только под нужды мкб лаборатории и дешевле (облако).

Встал вопрос, с чего вообще начинать продвижение? Понятно, что надо перевести и локализовать софт. А что делать дальше? 

Буду благодарна за любые подсказки

6 ответа(-ов)
2

Я непосредственно с этим не связан, но, насколько знаю, в связи с импортозамещением существует госреестр программого обеспечения. Не знаю можно ли в обход него продавать, но программы значащиеся в госреестре имеет более высокий приоритет в закупке, чем все остальные.

Локализация само собой.

Если в лабе уже есть ЛИМС/ЛИС, то там уже скорее всего есть модуль для микробов, если есть этот отдел.

Я сейчас начала изучать вопрос и нашла, что в госреестр для госзакупок включается только ПО российского происхождения или не имеющее аналогов в России. Насколько я понимаю, иностранный софт даже не может участвовать в госзакупках при условии наличия аналогичного софта российских разработчиков.

У разработчика упор на те мкб лаборатории, которые не могут себе позволить стоимость ЛИМС, а работают на бумаге и в экселе.

Ну да, такие есть лаборатории. Но те, что я знаю - это госконторы и они со слабой платежеспособностью. Вам скорее стоит для начала прощупать рынок, перед тем как вообще начинать возиться со всеми этими регистрациями. Может рынка сбыта или спроса не быть - вот ведь в чем вопрос.

2

Для начала они должны перенести облако в РФ и скорее всего некая регистрация понадобится, так как облачное ПО подразумевает некую криптозащиту. В РБ этим занимается ОАЦ, в РФ какой-то подобный орган, он и сможет дать вам подробнейшую информацию по сертификации и регистрации.

Ого, про перенос облака в РФ я даже не подозревала. 

Да, я ищу именно информацию, что является обязательным для регистрации ПО и насколько реально это выполнить собственными силами компании-разработчика, или же лучше обратиться за помощью к специалистам

Да, Олег прав. Вы, возможно, слышали истории с Гуглом и Линкедин. Последний как раз из-за этого и заблокировали. Персональные данные пользователей из РФ должны храниться на территории РФ.

Спасибо за информацию, теперь буду знать )). Про Линкедин я, конечно, слышала, но особо не вдавалась в подробности. Теперь понятна причина.

Лидия, если вы контактируете с разработчиками, то возможно стоит рассмотреть вариант, чтобы персональные данные хранились в отдельном облаке, которое при необходимости можно вынести на любую локацию, а сама система может размещаться где угодно.

Антон, спасибо за предложенный вариант, это может быть хороший вариант в данном случае. Я отправила разработчикам эту информацию. 

Олег (@oleg_aleshkovich), а как с этим дела в РБ? Тоже надо регистрировать, сертифицировать?

Антон, в РБ с хранением личных данных таже история. Из опыта общения с государственным регулятором в лице ОАЦ процедура сертификации стоит не одну тысячу долларов и срок не один месяц, я бы сказал что этот срок стартует минимум от 6 месяцев. Причем в дальнейшем компания производитель может столкнуться с проблемой регулярного обновления ядра системы (как это сейчас происходит с антивирусными продуктами на рынке РБ). Но хотел бы сказать что наша компания сейчас ищет облачный lims и мы готовы пройти с производителем все круги этого ада не только в РБ но и в РФ.

Понял, спасибо!

Олег (@oleg_aleshkovich), я могу вам дать контактные данные, если вы хотите  поообщаться с компанией напрямую и договориться о показе возможностей системы. Это облачный Лимс для мкб лаборатории. Один из разработчиков, которого я лично знаю, более 10 лет руководил мкб лабораторией на фармпредприятии, выпускающем стерильные формы, поэтому постарался учесть всё, с чем сталкивался лично в работе. 

Разработчики сказали, что в Европе ПО не зарегистрировано как медизделие, а как ПО для лаборатории. При использовании локального сервера для хранения личных данных, по словам разработчика, возможно удорожание системы и небольшая задержка в обновлении.

Лидия, буду очень признателен за контакт. Если удобно то напишу вам в fb

2

Александр, отличный развернутый ответ по поводу регистрации ПО. Я полностью согласен с вами в части выбора ПО и его регистрации. Скорее всего регистрация понадобится только для гос. компаний. Для частных компаний вопрос регистрации может всплыть в момент когда для доступа к ПО и подписанию неких внутренних документов пользователь захочет использовать ЭЦП - это же обеспечение целостности и подлинности данных. Хотя конечно сертификация ПО это вещь очень относительная и очень размытая в формулировках, особенно на пост советском пространстве.

И еще, Александр:

Иначе давайте систему учета движения сырья, материалов и готовой продукции, выполненную, скажем, на базе 1С тоже будем сертифицировать

Насколько я понимаю (имел опыт продаж криптографического и антивирусного оборудования в стародавние времена, поэтому и точка зрения из того же периода общения с ОАЦ) сертификации подлежит не готовая конфигурация, а ядро системы. 1С в таком случае не самый лучший пример, давайте рассуждать логически 1С работает напрямую с платежными базами банков, следовательно скорее всего там все уже сертифицировано. Углубляясь в понятия сертификации не стоит углубляться в модули и их конфиги, но это лично мое мнение и мое представление реальности. Тоже самое я бы хотел сказать про ЭЦП и криптографию, если ОАЦ скажет надо, то никто не будет сертифицировать именно ЛИМС или СЭД в случае если они одно целое, сертификацию будет проходить некое ядро системы отвечающее за криптографию например.

Теперь давайте проанализируем причинно-следственную связь. В Руководстве ГИЛС и НП от 02.2019 нет даже полунамёка на то, что данные должны быть локализованы в РФ. Это не гостайна, не госучреждение - это вообще частный выбор частной компании, пусть и фармацевтической в данном случае. В разрез какому прямому требованию действующего законодательства он идёт? 

Что касается хранения данных в стране пребывания.

Для РФ все более менее понятно. В законе о персональных данных написано:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

То есть персональные данные это данные физического лица: фио, номер телефона, дата рождения, паспортные данные и иные данные которые могут быть точно соотнесены с конкретным лицом. Полного и "стопроцентного" запрета на передачу данных нету, если данные передаются в страну участницу Конвенции Совета Европы о защите физ. лиц и автоматизированной обработке персональных данных 1981 года то и спрашивать не нужно, если страна не входит в список участниц конвенции то нужно спрашивать, но и это не большая проблема. Но нужно и учесть что данные хранимые в другой стране подчиняются законам этой страны.

Ну а теперь о главном:

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Комментарий экспертов:

Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.

А теперь о родине моей, Беларусь IT страна, поэтому...

Информация по защите персональных данных у нас отражена в следующих законах и гос. документах:

Закон о регистре населения №418-3, закон об электронном документе и ЭЦП №113-3, указ Президента о некоторых вопросах развития информационного общества №515. Общего понятия "Персональные данные" нет вообще. Но, есть проект закона о защите персональных данных. 

Вкратце из него:

«Хорошая новость: операторам не надо регистрироваться ни в каких реестрах, — отмечает эксперт. — Очень хорошая новость: требования локализации данных, то есть хранения данных белорусских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. И вот еще: каждая организация должна будет назначить DPO (сотрудника или отдел по защите персональных данных)».
Читать полностью:   https://42.tut.by/599571

Ну вот в общем-то как-то так. Но это все мое видение ситуации.

1

Спасибо за все ответы. Разработчик написал, что уже ищет сервер в РФ для хранения персональных данных и хочет найти специалиста/компанию, которые занимаются регистрацией ПО.

Если кто-нибудь сможет выполнить все действия, необходимые для регистрации (сертификации или т.п.) иностранного ПО в России, напишите мне на lidial2007(собака)gmail.com или через фейсбук. 

Заранее спасибо за ответы.

1

Коллеги, хотел бы развить для начала столь лихо стартовавшую белорусскую ветку (хотя безусловно интересна конкретика и других стран). Конкретно по затронутому ОАЦ - в отношении сертификации вовсе не факт, что придётся что-либо сертифицировать - вот условия на сертификации на сайте ОАЦ. Конечно, формулировки весьма расплывчаты:

2019 05 12 07 02 10

Тем не менее, пару акцентов. Во-первых, ОАЦ ведет речь исключительно о средствах защиты информации. В фармацевтической промышленности ни ЛИМС, ни СЭД не позиционируется именно как средства защиты информации, а лишь включают в себя элементы защиты данных согласно своих отраслевых требований - Приложение 11 GMP п. 12 (пока не приплетаем многочисленные документы по целостности данных в фарма - они вне целевого поля рассмотрения ОАЦ и могут пересекаться ситуативно и спорадически). По формулировкам, приведенным выше. Второй пункт сильно смущает, потому что ограниченный доступ - это априори любой продукт, где реализованы учетные записи. Таким образом можно сертифицировать ПО групповой упаковки, если там есть ограниченный доступ для оператора, техника и супервайзера 🙂 Но в таком случае попахивает банальной стимуляцией спроса. Впрочем, почти как и с аккредитацией испытательной деятельности - где в большинстве случаев она не является обязательным требованием.

По Техническому регламенту, на который ссылается ОАЦ - вот определение средства защиты информации:

2019 05 12 07 13 02

Выводим нашу систему из-под определения средства защиты информации и нет проблем. Опять же, отталкиваемся от определения компьютеризированная система согласно GMP. Я не сталкивался ни с замечаниями Центра экспертиз, ни с замечаниями Минздрава по этому поводу. Иначе давайте систему учета движения сырья, материалов и готовой продукции, выполненную, скажем, на базе 1С тоже будем сертифицировать - причем понятное дело, сертифицировать-то нужно сконфигурированный продукт (т.е. единичное изделие в терминах Регламента и прилагаемых к нему схем сертификации) - именно в нём нарезаются пресловутые учетки, формируются склады, прописывается трассировка движения ТМЦ и т.п.
 
Но при этом соглашусь и разделю мнение, что можно как декларировать соответствие регламенту, так и проходить указанную сертификацию в добровольном порядке.

Буду признателен коллегам, кто разовьет данную тематику.

1

И немного вдогонку, уже держа в фокусе новейшее Руководство ГИЛС и НП по Целостности данных и валидации компьютеризированных систем - там есть п. 9.9.2 "Валидация облачных систем" - наконец-то появились даже "целевые аббревиатуры" в фарма SaaS, IaaS, PaaS. На самом деле (я так понимаю, в основном благодаря содействию компании PQE) в Руководстве изложены вполне логичные подходы - и оценка поставщика, и тот факт, что конечная ответственность в любом случае лежит на регулируемой компании (т.е. в нашем случае на конечном пользователе облачного сервиса), вот только немного "уронили" изложение последним абзацем, как по мне:

2019 05 12 07 38 42

 
Если мы используем PaaS или IaaS,то нас оправляют сделать квалификацию их ИТ-инфраструктуры. Кто ж вас к инфраструктуре Google, Dropbox или Яндекс пустит-то:) Тем самым они просто аннулируют свою сертификацию по ISO27k - а подтверждающие документы они вполне способны предоставить - тот же коллега Алексей Попов (@fosgen_13) очень своевременно по сервисам Google тему поднял.

Теперь давайте проанализируем причинно-следственную связь. В Руководстве ГИЛС и НП от 02.2019 нет даже полунамёка на то, что данные должны быть локализованы в РФ. Это не гостайна, не госучреждение - это вообще частный выбор частной компании, пусть и фармацевтической в данном случае. В разрез какому прямому требованию действующего законодательства он идёт? Да, есть риск, если облако "чужое", то в какой-то момент у вас может возникнуть трабл с целостностью, доступностью и конфиденциальностью данных (правда это будет выстрел в ногу глобального облачного сервиса, но исключать такой вариант не будем). Тогда в результате анализа рисков можно логично прийти к тому, что хорошо бы данные хранить на своём локальном сервере в своей ЛВС - это, как правило, заметно удорожит стоимость развертывания и сопровождения вашей ИТ-инфраструктуры со всеми вытекающими.

* * *
Почему я решил эту относительно свежую тему актуализировать? Чтобы не вышло как в параллельных темах в части средств измерений в плане определения причастности к сфере законодательной метрологии (РБ)/сфере государственного регулирования (РФ) и сопряжённой с ними чехарде в части поверок/калибровок. Глубоко изучив эту тему, уверяю вас, в большинстве случаев и в РБ, и в РФ абсолютно спокойно снимается вопрос без излишней стимуляции спроса. А в Украине он вообще снят, поскольку вы спокойно можете создать собственную метрологическую группу, закупить поверяемые (в УкрМетрТестСтандарте или региональных ЦСМС) эталоны  и калибровать для собственных нужд датчики температуры в автоклавах хоть через день с выдачей внутреннего протокола калибровки. Исключения есть, но их немного, например, средства измерения, критические для безопасности, в частности, манометры сосудов, работающих под давлением и т.п. Датчики температуры и влажности на кондиционерах калибруйте сами для своих нужд в полный рост и не колхозно (как часто случается, выдирая «с мясом» конечный датчик-преобразователь и измеряя его аналоговый сигнал, который сам по себе ещё ничего вам не гарантирует), а весь измерительный канал, включающий в себя поправки после АЦП.

Похожая штука – аккредитация испытательных лабораторий согласно (IEC/ISO 17025). В межударной нормативке ультимативного требования, как правило, не существует в этом отношении. Аккредитация может быть добровольной (хотя есть забавные формулировки по квалификации весов и рН-метров от EDQM – но это частные ситуации). А вот у нас «любят выломать руки», защищая несуществующие рынки и на самом деле удорожая стоимость услуг или блокируя их вовсе. ? Потому что любые процедуры, которые длятся «от полугода» и стоят «не одну тысячу долларов», во-первых, сами по себе ничего вам не гарантируют (хотя, соглашусь, что увеличивают вероятность того, что продукт или услуга «не колхозные»), во-вторых, доступность продукта или услуги не увеличат.

Ваш ответ


 

Подписывайтесь на каналы PHARM COMMUNITY:

   
Поделиться:
  
Обработка

Пожалуйста, Вход или Регистрация