Где ИИ Битрикс24 обрабатывает данные: приватность, 152-ФЗ и контроль
BitrixGPT и другие ИИ-инструменты Битрикс24 работают с данными вашей CRM — это означает, что вопрос о месте обработки и соответствии 152-ФЗ становится практическим, а не теоретическим. Разбираем, где реально обрабатываются данные, чем облако отличается от коробки и что нужно сделать до запуска ИИ в чувствительных отраслях.
Кто за что отвечает по 152-ФЗ
Прежде чем говорить об ИИ — важно разграничить роли, которые определяет закон.
Ваша компания — оператор персональных данных. Именно вы:
- организуете и осуществляете обработку ПДн,
- определяете цели обработки,
- несёте полную ответственность за безопасность данных, взаимодействие с Роскомнадзором и соблюдение прав субъектов.
ООО «1С-Битрикс24» — обработчик. Компания обрабатывает данные по вашему поручению, в рамках Поручения на обработку персональных данных и Политики обработки персональных данных.
Это разграничение критично: даже если BitrixGPT «что-то сделал» с данными клиента, юридическую ответственность несёт оператор — то есть ваша компания.
С 1 сентября 2022 года компании, работающие с персональными данными, обязаны уведомить об этом Роскомнадзор. Это требование касается и пользователей облачного Битрикс24.
Что указать в уведомлении в Роскомнадзор
- Сведения о компании: название, адрес, ИНН, ОГРН.
- Перечень обрабатываемых данных (ФИО, телефон, паспортные данные и т. д.).
- Цели обработки: кадровый учёт, договоры с клиентами, маркетинг.
- Категории субъектов: сотрудники, клиенты, посетители сайта.
- Способы обработки: сбор, хранение, передача, удаление.
- Меры защиты по ст. 18.1 и ст. 19 ФЗ «О персональных данных»: шифрование, ответственное лицо.
- Сроки обработки данных.
Битрикс24 предоставляет только общую информацию и не консультирует по заполнению уведомления — это ответственность оператора.
Где физически хранятся данные облачного Битрикс24
Все облачные порталы Битрикс24 в доменной зоне .ru размещены в российских дата-центрах. Согласно п. 5 ст. 18 № 152-ФЗ, данные хранятся на серверах на территории РФ.
АО «Корп Софт»:
- г. Москва, Коровинское ш., д. 41
- г. Москва, ул. 8 Марта, д. 14
- г. Москва, ул. Бутлерова, д. 7
ООО «Цифровое облако»:
- г. Москва, проспект Мира, д. 105, стр. 6
- г. Москва, Коровинское ш., д. 41
- г. Москва, Чермянская ул., д. 4
Провайдеры имеют лицензии и сертификаты безопасности. Это значит, что сам факт хранения ПДн в облачном Битрикс24 не противоречит требованию 152-ФЗ о локализации данных на территории России.
Как BitrixGPT обрабатывает данные в облаке
Ключевой вопрос для ИБ-специалиста: куда уходит запрос, когда сотрудник использует BitrixGPT?
Когда ИИ-функции работают в облачном Битрикс24, запрос (текст письма, содержимое сделки, транскрипт звонка) передаётся на серверы вендора для обработки моделью. Важно понимать несколько вещей:
- Облачная инфраструктура Битрикс24 находится в РФ (см. выше).
- Данные обрабатываются в рамках Поручения на обработку — договорные отношения оформлены.
- Однако конкретная ИИ-модель, которую вызывает BitrixGPT, может быть как российской, так и внешней — это зависит от конкретного инструмента и настроек.
Практический вывод для оператора: перед активацией ИИ-инструментов необходимо убедиться, что в вашем уведомлении в Роскомнадзор отражена передача данных обработчику (Битрикс24), и что поручение на обработку подписано или принято в рамках оферты.
Подробнее о том, что умеет BitrixGPT в CRM и как его включить, — в отдельном материале.
Коробочный Битрикс24: максимальный контроль над данными
Для компаний с повышенными требованиями к приватности (медицина, финансы, госзаказ) коробочная версия даёт принципиально иной уровень контроля.
Что меняется:
- Все данные хранятся на серверах компании — физически и юридически в вашем периметре.
- Вы контролируете, какие сервисы имеют доступ к сети, а какие — нет.
- Коробка может работать в полностью закрытом контуре — без выхода к внешним серверам.
ИИ в закрытом контуре:
Коробочный Битрикс24 может работать без доступа к внешним серверам. При этом часть ИИ-инструментов, которые по умолчанию обращаются к облачным серверам Битрикс24, в таком режиме будет недоступна или потребует настройки на серверах компании. Некоторые из них можно перенастроить на внутреннюю инфраструктуру — для этого нужно обратиться в поддержку Битрикс24.
Ключевой принцип: в закрытом контуре ИИ-инструменты с доступом к внешним серверам включаются осознанно и только там, где это допускает политика безопасности компании.
Подробнее о том, когда и зачем переходить на коробку: переход с облачного Битрикс24 на коробку.
Архитектура безопасности коробки
При проектировании коробочной версии Битрикс24 безопасность закладывалась на всех этапах разработки и тестирования. Реализованы:
- Продуманная политика разграничения доступа: гибкие права для пользователей и групп.
- Защищённость программного кода: постоянное тестирование внутренней службой ИБ на стойкость к известным угрозам, независимый аудит архитектуры.
- Привязка сессии к IP-адресу или маске сети (защита от XSS/перехвата).
- Настраиваемый срок активности сессии и авторизации.
- Ограничение количества одновременных запомненных авторизаций на пользователя.
- Для администраторов — повышенный уровень политики безопасности.
Код проверяется внутренним отделом ИБ и независимыми аудиторами. Финальное решение о включении нового функционала в обновления принимают специалисты по безопасности.
Облако vs Коробка: сравнение по приватности данных ИИ
На схеме ниже показано, как различается обработка данных при использовании ИИ в облачной и коробочной версиях: где проходит граница периметра компании, куда уходят запросы.
flowchart TD
subgraph cloud["☁️ Облако (SaaS)"]
U1[Сотрудник] --> B24C[Битрикс24 облако]
B24C --> AI_C[BitrixGPT / ИИ-модель]
AI_C --> DC["Дата-центры РФ\n(Корп Софт, Цифровое облако)"]
end
subgraph box["🖥️ Коробка (Self-hosted)"]
U2[Сотрудник] --> B24B[Битрикс24 коробка]
B24B --> INNER[Локальные серверы компании]
B24B -- "Только при явном разрешении" --> EXT[Внешние ИИ-сервисы]
end
| Критерий | Облако | Коробка |
|---|---|---|
| Физическое расположение данных | Дата-центры РФ (Москва) | Серверы компании (любая локация) |
| Контроль над инфраструктурой | У вендора | У компании |
| Данные для ИИ уходят на сервер вендора | Да (в рамках Поручения) | Только при явном включении |
| Работа в закрытом контуре (без интернета) | Нет | Да |
| Поручение на обработку ПДн | Оферта / договор с 1С-Битрикс24 | Не требуется (данные внутри) |
| Уведомление в Роскомнадзор | Обязательно | Обязательно (как оператор) |
| Гибкость настройки политик безопасности | Ограничена тарифом | Полная (AD/LDAP, SSO, IP-фильтры) |
| Предпочтительно для | Большинства компаний | Мед., фин., госзаказ, режимные объекты |
Как Битрикс24 защищает данные технически
Вне зависимости от варианта развёртывания, вендор применяет многоуровневую защиту.
Меры на стороне Битрикс24 (облако):
- Шифрование соединений SSL 256 бит — в том числе через публичный Wi-Fi.
- Двухфакторная аутентификация: пароль + одноразовый код.
- Проактивный веб-фаервол (WAF) — анализ запросов в реальном времени, блокировка атак.
- Своевременное обновление системного ПО.
- Регулярный аудит безопасности кода и инфраструктуры.
- Ограничение доступа к инфраструктуре через сетевой экран.
- Постоянный мониторинг активности.
- Автоматическая и полуавтоматическая реакция на аварийные ситуации.
Меры на стороне дата-центров:
- Резервное электропитание.
- Охранная сигнализация и видеонаблюдение.
- Физическое разделение сетей.
- Система контроля доступа.
- Антивирусная защита.
- Защита от DDoS-атак.
- Мониторинг и шифрование трафика.
- Запись системных событий.
Что учесть при запуске ИИ: практический чек-лист
Перед тем как активировать BitrixGPT или ИИ-анализ звонков в промышленной эксплуатации, пройдите по следующим пунктам.
Организационные меры:
- Уведомление в Роскомнадзор подано и актуализировано — в нём отражён факт передачи данных обработчику (1С-Битрикс24).
- Поручение на обработку персональных данных подписано или принято в рамках оферты Битрикс24.
- Политика конфиденциальности компании охватывает автоматизированную обработку данных с помощью ИИ.
- Сотрудники, использующие ИИ, прошли инструктаж: что можно передавать в запросы, а что — нет.
Технические меры:
- Разграничены права: ИИ-инструменты доступны только тем ролям, кому это необходимо.
- Минимизированы данные в запросах: в промпте — только то, что нужно для задачи, без избыточных ПДн.
- Для коробки: явно определено, какие ИИ-инструменты могут обращаться к внешним серверам.
- Включена двухфакторная аутентификация для всех пользователей с доступом к ПДн.
- Ведётся аудит действий в CRM (кто, когда, к каким данным обращался).
Принцип минимизации данных — ключевой при работе с ИИ: не передавайте в запросы паспортные данные, СНИЛС, медицинские сведения, если задача этого не требует. ИИ эффективно работает с обезличенными или агрегированными данными.
Если вы настраиваете смарт-процессы или автоматизацию с участием ИИ — убедитесь, что роботы и триггеры не передают в ИИ-блоки поля с чувствительными ПДн без необходимости.
Особенности для чувствительных отраслей
Для некоторых отраслей требования к обработке данных существенно строже:
Медицина. Медицинские данные относятся к специальным категориям ПДн (ст. 10 152-ФЗ). Для медицинских центров на Битрикс24 использование облачного ИИ с доступом к данным пациентов требует отдельного юридического анализа. Коробочная версия в закрытом контуре — предпочтительный вариант.
Финансы и банки. Помимо 152-ФЗ действуют требования Банка России по защите информации. Передача данных во внешние ИИ-сервисы без согласования с ИБ-службой недопустима.
Госзаказ и оборонные предприятия. Как правило, требуется полная изоляция от внешних сетей — только коробка в закрытом контуре без ИИ-инструментов с внешними обращениями.
Ритейл, логистика, B2B-сервисы. Облачный Битрикс24 с правильно оформленным Поручением и уведомлением в Роскомнадзор, как правило, достаточен при соблюдении принципа минимизации данных.
Частые вопросы
Нужно ли подавать уведомление в Роскомнадзор, если я использую облачный Битрикс24?
Да. С 1 сентября 2022 года все компании, обрабатывающие персональные данные, обязаны уведомить Роскомнадзор. Использование облачного Битрикс24 не освобождает от этой обязанности — вы остаётесь оператором, а 1С-Битрикс24 выступает обработчиком по Поручению.
Данные в облачном Битрикс24 хранятся в России?
Да. Все облачные порталы в зоне .ru размещены в российских дата-центрах: АО «Корп Софт» и ООО «Цифровое облако» — оба в Москве. Это соответствует требованию 152-ФЗ о локализации ПДн.
Можно ли использовать BitrixGPT, если у нас обрабатываются медицинские данные?
Медицинские данные — специальная категория ПДн (ст. 10 152-ФЗ), требования к их защите выше. Перед активацией ИИ-инструментов в медицинской организации необходим юридический анализ. Коробочная версия в закрытом контуре обеспечивает максимальный контроль и предпочтительна для таких случаев.
Можно ли настроить коробочный Битрикс24 так, чтобы данные вообще не покидали периметр компании?
Да. Коробка поддерживает режим полностью закрытой сети. В этом режиме ИИ-инструменты, требующие доступа к внешним серверам, будут недоступны или потребуют перенастройки на внутреннюю инфраструктуру. Часть таких инструментов можно настроить на серверах компании через обращение в поддержку Битрикс24.
Кто несёт ответственность, если ИИ Битрикс24 обработал персональные данные с нарушением?
Юридическую ответственность несёт оператор — ваша компания. 1С-Битрикс24 как обработчик действует строго по Поручению на обработку. Именно поэтому важно правильно оформить документы и настроить права доступа до запуска ИИ.
Как минимизировать риск утечки ПДн при использовании ИИ в CRM?
Придерживайтесь принципа минимизации данных: не передавайте в ИИ-запросы паспортные данные, СНИЛС и другие чувствительные сведения, если задача этого не требует. Разграничьте права: ИИ-инструменты должны быть доступны только нужным ролям. Включите двухфакторную аутентификацию и ведите аудит действий.
На основе практики
Статья подготовлена на основе 11 внутренних документов из практики АС Проект — планов работ, ТЗ, опросных листов и кейсов внедрения Битрикс24.
Нужна помощь с внедрением Битрикс24?
АС Проект — платиновый партнёр Битрикс24. Разберём вашу задачу, оценим объём работ в часах и предложим план — бесплатно.