# SOC 2 и GDPR: о чём следует спросить поставщика прокси-серверов с домашними IP-адресами


Вопросы, которые стоит задать поставщику резидентных прокси, начинаются с одной темы: откуда берется сеть. Сертификаты свидетельствуют о том, что поставщик эффективно осуществляет контроль, и они имеют значение, но наиболее полезно понять, каким образом были получены IP-адреса, поскольку именно на этом основано всё остальное. Это вполне обоснованные вопросы, которые следует задавать любому партнеру по веб-данным, включая Massive. В данном руководстве приведены эти вопросы в том порядке, в котором их следует задавать, а также указано, как распознать убедительный ответ и, где это уместно, как на них отвечает компания Massive. Это позволит вам отличить прокси-серверы для частного использования, действительно соответствующие требованиям GDPR, от тех, кто лишь на словах заявляет о своей соответственности. Уважаемая сеть предоставит конкретные ответы на каждый из них.

Если вы отвечаете за выбор поставщика веб-данных или объясняете этот выбор команде по безопасности, данное руководство предназначено именно для вас. В нём предполагается, что вы знаете, зачем ваша организация собирает общедоступные веб-данные, и основное внимание уделяется мерам должной осмотрительности, которые обеспечивают надёжность сбора данных и позволяют легко обосновать его правомерность.

## Ключевые выводы

- **Источник данных — это первый вопрос, а не последний.** Сертификаты подтверждают, что поставщик применяет меры контроля; ответ о происхождении данных рассказывает, каким образом IP-адреса были включены в базу. Прежде чем обращать внимание на какие-либо сертификаты, поинтересуйтесь, как устройства попадают в сеть.
- **У SOC 2 есть сфера применения и тип, и оба эти аспекта имеют значение.** Отчёт SOC 2 типа II проверяет меры контроля в течение определённого периода времени; отчёт типа I представляет собой однодневный «моментальный снимок». Уточните, какой именно тип отчёта, за какой период и какие из пяти критериев доверия он охватывает.
- **Соответствие GDPR подразумевает наличие законного основания и соглашения о обработке данных (DPA), которое вы можете подписать.** Для прокси-сети ключевым моментом является то, что участие устройств соответствует стандарту получения согласия и что вы можете заключить соглашение об обработке данных с указанием конкретного списка субподрядчиков.
- **Аудиторский след является доказательством прозрачности.** Поставщик, способный отследить запрос до источника, давшего согласие, может продемонстрировать результаты своей работы. Это та же самая [цепочка ответственности](https://www.joinmassive.com/blog/rendering-web-through-consent), которую призвана обеспечить сеть с добровольным участием.
- **Надежный партнёр приветствует такие вопросы.** Качественная проверка предполагает сотрудничество, а не противостояние. Цель заключается в подтверждении прочной основы, и сеть, построенная на такой основе, даст чёткие ответы.

## Почему вопрос об источниках заслуживает честного ответа

Поставщик прокси-серверов для частных пользователей занимает важное место в вашей инфраструктуре: ваш трафик проходит через устройства, которые он предоставляет, поэтому то, как эти устройства присоединились к сети, является частью вашей собственной основы. Именно поэтому понимание источников является важным и полезным моментом, а не просто формальностью.

Не каждая сеть домашних прокси построена на основе согласия, и именно поэтому вопрос об источниках заслуживает реального ответа, а не простого описания. Хорошая новость заключается в том, что сеть, основанная на согласии, упрощает этот процесс: она может указать механизм, через который IP-адреса дали согласие, сослаться на сертификаты, охватывающие каждую часть цепочки, и описать аудиторский след, связывающий запрос с устройством, давшем согласие. Задавая приведенные ниже вопросы, вы просто убеждаетесь в наличии этой основы, и именно такую тщательность ожидает и ценит надежный партнёр.

## Вопросы, которые следует задать, в порядке приоритета

Работайте с этими четырьмя группами вопросов последовательно. Группа вопросов о происхождении данных специально расположена первой, поскольку она является основой, на которой строится всё остальное.

### Группа 1: Поиск поставщиков и согласие

Эта группа имеет наибольшее значение, и именно с неё стоит начать.

- **Как IP-адреса попадают в вашу сеть?** Вам необходим конкретный механизм, открытый SDK, а также пользователи, дающие согласие в обмен на определенную выгоду.
- **Что получил владелец устройства в обмен, и было ли ему разъяснено, на что он даёт согласие?** Действительное согласие в соответствии со [статьёй 4(11) GDPR](https://gdpr-info.eu/art-4-gdpr/) должно быть добровольным, конкретным, осознанным и недвусмысленным. Именно реальный обмен ценностями делает его подлинным.
- **Может ли пользователь отозвать своё согласие, и что происходит в этом случае?** Статья 7(3) GDPR предусматривает, что отзыв согласия должен быть столь же простым, как и его предоставление. Чёткий ответ свидетельствует о надёжной модели.
- **Можно ли отследить конкретный запрос до устройства, с которого было дано согласие?** Это вопрос, касающийся аудиторского следа, и утвердительный ответ с пояснением является самым весомым сигналом, который может дать поставщик.

### Группа 2: Сертификаты и их сфера действия

Теперь перейдём к сертификатам, с указанием сферы их действия, которая придаёт им значение.

- **Имеете ли вы сертификат SOC 2, и является ли он типом I или типом II?** Тип II проверяет, эффективно ли действовали меры контроля в течение определенного периода времени в соответствии с [Критериями доверительных услуг AICPA](https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022) (безопасность, доступность, целостность обработки, конфиденциальность, неприкосновенность частной жизни). Запросите отчёт на условиях соглашения о неразглашении (NDA) и проверьте период действия и критерии, входящие в сферу действия сертификата.
- **Имеете ли вы сертификат, охватывающий сам процесс регистрации приложения?** [AppEsteem](https://customer.appesteem.com/Home/AppCertReqs) сертифицирует приложения на соответствие требованиям в отношении отдельного информированного согласия, раскрытия информации о входящих в комплект компонентах и полного удаления. Для сети, основанной на SDK, это является прямым доказательством момента получения согласия.
- **Имеете ли вы сертификат ISO/IEC 27001?** Соответствующим является пункт A.5.19, касающийся отношений с поставщиками, а наличие сертификата свидетельствует о наличии управляемой программы безопасности.

### Группа 3: Обработка данных и правовые аспекты

Документация, облегчающая налаживание отношений.

- **Подпишете ли вы соглашение об обработке данных и каково ваше правовое основание в соответствии со статьёй 6 GDPR?** Вам необходимо соглашение об обработке данных (DPA), и поставщик должен быть в состоянии указать своё правовое основание для привлечения подрядчиков.
- **Кто является вашими субподрядчиками по обработке данных и как нас будут уведомлять об изменениях?** Статья 28 GDPR регулирует гарантии обработчика и раскрытие информации о субподрядчиках. Наличие конкретного перечня — это правильный ответ.
- **Каковы ваши обязательства в отношении сроков хранения данных и уведомления о нарушениях?** Вам необходимы четко определенные сроки хранения данных и график уведомлений, на основе которых вы сможете планировать свои действия.

### Группа 4: Операционные вопросы и поддержка

Вопросы, которые будут важны для службы безопасности после подписания соглашения.

- **Каков ваш процесс реагирования на инциденты и как нам связаться с реальным специалистом в случае инцидента?** Для корпоративного заказчика прямой канал поддержки предпочтительнее очереди на обработку заявок.
- **Как вы обеспечиваете работоспособность и мониторинг своей сети?** Поставщик, активно поддерживающий свой инфраструктурный пул, заботится об основании, от которого зависит ваша деятельность.

## Как выглядит убедительный ответ: пример ответов компании Massive

Цель этих вопросов — получить конкретные сведения. Чтобы наглядно продемонстрировать это, приведём пример того, как на них отвечает сильная сетевая компания, используя нашу собственную сеть в качестве примера. Рассматривайте это как образец хорошего ответа, а не как сценарий, который нужно повторять слово в слово.

| Ваш вопрос | Убедительный, конкретный ответ | Как отвечает Massive |
|----------------|---------------------------|---------------------|
| Как IP-адреса присоединяются к программе? | Указывает на открытый SDK и реальный обмен ценностями | Каждый IP-адрес присоединился через SDK Massive, где пользователи обменивали неиспользуемую пропускную способность на премиальные преимущества приложения |
| Возможно ли отследить запрос до источника, давшего согласие? | Да, описывается аудиторский след | Полный аудиторский след от источника до запроса |
| SOC 2? | Тип II, указаны период и критерии, предоставляется в соответствии с соглашением о неразглашении (NDA) | Прошёл аудит SOC 2 Тип I (безопасность), декабрь 2025 г.; отчёт предоставляется в соответствии с соглашением о неразглашении (NDA) через Центр доверия |
| Отзыв согласия? | Четко проработанный процесс, столь же простой, как и предоставление согласия | Возможность отзыва участия в соответствии со ст. 7(3) GDPR |
| Субподрядчики и соглашение об обработке данных (DPA)? | Имеется именной список, соглашение DPA готово к подписанию | Соответствует требованиям GDPR, соглашение DPA доступно |
| Сертификация регистрации? | AppEsteem или эквивалент | Сертифицировано AppEsteem; образцы экранов согласия доступны в соответствии с соглашением о неразглашении (NDA) |
| Охват и присутствие? | Реальные устройства, конкретные регионы | Реальные потребительские устройства в более чем 195 странах |

Обратите внимание на конкретность ответов: надежный поставщик предоставляет механизмы и документы в качестве подтверждения. Именно это позволяет ускорить процесс проверки, поскольку ответы уже готовы.

## Анкета для поставщиков, которую можно использовать повторно

Используйте эти десять вопросов непосредственно при следующей проверке партнера по веб-данным. Их можно справедливо задать любому, включая нас:

1. Опишите точно, каким образом IP-адрес становится частью вашей сети.
2. Что получает владелец устройства за участие, и каким образом ему раскрывается информация об участии?
3. Как пользователь может отказаться от участия, и каковы последствия такого отказа?
4. Можете ли вы отследить конкретный исходящий запрос до исходного устройства, давшего согласие? Опишите аудиторский след.
5. Предоставьте ваш отчет SOC 2. Укажите тип отчета, отчетный период и критерии, входящие в сферу его действия.
6. Какая сертификация охватывает вопросы получения согласия и раскрытия информации при регистрации приложения?
7. Укажите правовое основание в соответствии с GDPR для сбора данных и подтвердите, что вы подпишете соглашение о обработке данных (DPA).
8. Перечислите ваших субподрядчиков по обработке данных и опишите процесс уведомления об изменениях.
9. Укажите сроки хранения данных и сроки уведомления о нарушениях.
10. Опишите ваш процесс реагирования на инциденты и каналы поддержки, доступные во время инцидента.

Партнер, который даст конкретные ответы на все десять вопросов, — это тот, с которым вы можете смело сотрудничать. Принципы, определяющие, что делает [сеть прокси-серверов для частных пользователей](https://www.joinmassive.com/blog/ethically-sourced-web-access-network) этически обоснованной, служат основой для каждого из этих вопросов.

## Часто задаваемые вопросы

### Является ли сеть прокси-серверов для частных пользователей соответствующей требованиям GDPR только потому, что так заявляет поставщик?

Это утверждение легко проверить, и именно в этом заключается смысл данного вопроса. Соответствие сети прокси-серверов требованиям GDPR подразумевает наличие законного основания в соответствии со статьёй 6, согласие на участие устройства, отвечающее стандарту статьи 4(11), соглашение об обработке данных, готовое к подписанию, а также раскрытие информации о субподрядчиках. Поставщик, способный предоставить соглашение об обработке данных (DPA) и указать своё правовое основание, соответствует требованиям, что вы можете проверить; при этом надёжный поставщик будет иметь эти документы в готовом виде.

### В чём заключается разница между SOC 2 Тип I и Тип II для поставщика прокси-услуг?

Тип I описывает меры контроля поставщика на определённый момент времени; Тип II проверяет, эффективно ли эти меры контроля функционировали в течение определённого периода, обычно от 3 до 12 месяцев. Отчет SOC 2 Тип II имеет наибольший вес при проверке, поскольку отражает устойчивую работу. Уточните, какой тип отчета предоставляется, какой период он охватывает и какие из пяти критериев доверия (Trust Services Criteria) входят в его сферу применения.

### Какими сертификатами должен обладать провайдер прокси-сервисов для частных пользователей, соответствующий нормативным требованиям?

Обратите внимание на сертификат SOC 2 Типа II, подтверждающий наличие операционных механизмов контроля; соответствие требованиям GDPR с возможностью подписания соглашения о обработке данных (DPA) для обеспечения законных оснований и получения согласия; а также сертификат, охватывающий процесс регистрации приложений, например AppEsteem, для подтверждения момента получения согласия. Сертификат ISO/IEC 27001 является весомым дополнительным подтверждением. Набор этих сертификатов важен, поскольку каждый из них охватывает отдельный аспект: регистрацию, правовые основания и операционную деятельность. В совокупности они свидетельствуют о надежном функционировании сети.

### Как аудиторский след помогает мне как покупателю?

Он обеспечивает вам подтверждаемую прозрачность. Поставщик, способный отследить запрос до исходного устройства, давшего согласие, может не просто утверждать, а доказать, что его ресурс был подключен с согласия пользователя. Это и есть практическое подтверждение заявлений о происхождении ресурсов, и именно такой ответ упрощает проведение проверки безопасности. Когда поставщик может продемонстрировать вам всю эту цепочку, вы можете с уверенностью внедрить данную сеть.

## Вывод

Качественная проверка поставщика прокси-услуг на самом деле заключается в подтверждении прочной основы, и она начинается с одного вопроса: каким образом ваши IP-адреса были включены в сеть. Сертификаты, соглашения о защите данных (DPA) и анкеты существуют для того, чтобы подкрепить ответ доказательствами, и у авторитетной сети эти доказательства всегда готовы. Поинтересуйтесь механизмом, сертификатами с определённой сферой действия и аудиторским следом, а также обратите внимание на конкретные детали.

Поставщики, с которыми стоит сотрудничать, будут рады таким вопросам, поскольку сеть, построенная на основе открытого процесса «opt-in», прошедшая аудит SOC 2 Типа I, соответствующая требованиям GDPR, имеющая сертификат AppEsteem и полный аудиторский след от источника до запроса, создана именно для того, чтобы отвечать на них. Чтобы узнать о механизме, лежащем в основе этой модели, ознакомьтесь со статьёй [«Как на самом деле работает прокси-сеть с добровольным согласием»](https://www.joinmassive.com/blog/rendering-web-through-consent), а также посмотрите, как одна из сетей документирует своё соответствие нормативным требованиям, на сайте [Massive](https://joinmassive.com).
