Можно ли использовать VeloDB Cloud (SaaS) для ПДн в Казахстане?

Нет. VeloDB Cloud не имеет ЦОД в Казахстане. Для работы с персональными данными граждан РК необходим BYOC или On-Premise deployment в пределах территории РК.

Какие сертификации есть у VeloDB?

SOC2 Type 2, ISO 27001:2022, PCI DSS, GDPR. Сертификация ФСТЭК отсутствует (релевантно для РФ, не для КЗ/УЗ).

Подходит ли Apache Doris (open-source) без VeloDB Enterprise?

Да, для организаций с собственной DBA-командой. Apache Doris — Apache 2.0, без лицензионных ограничений. VeloDB Enterprise добавляет managed операции, SLA и security features.

Как быстро можно развернуть пилот в КЗ?

Типичный пилот: 2-4 недели. Datanomix.pro — эксклюзивный партнёр VeloDB в Центральной Азии.

Data Residency в Казахстане и Узбекистане: OLAP compliance

1. Data residency как барьер для покупки

Enterprise в Казахстане и Узбекистане не купит аналитическую платформу без ответа на вопрос: «Где будут храниться данные?»

Регуляторы усиливают контроль: персональные данные, банковская тайна, телекоммуникационные данные — всё это подпадает под требования локализации.

VeloDB/Apache Doris — единственная OLAP-платформа с BYOC (Bring Your Own Cloud) и air-gapped деплоем, позволяющая соответствовать требованиям локальных регуляторов.

Эта страница — ответ на главный вопрос ЛПР в банках, телекоме и госсекторе: можно ли использовать вашу платформу и не нарушить закон.

2. Казахстан: Закон о персональных данных (Закон 94-V)

Закон Республики Казахстан «О персональных данных и их защите» (№ 94-V от 21 мая 2013 года) устанавливает обязательные требования к обработке и хранению ПДн.

Базы данных, содержащие персональные данные граждан РК, должны размещаться на серверах, физически расположенных на территории Республики Казахстан.

Оператор обязан обеспечить защиту персональных данных при трансграничной передаче. Передача допускается в страны с адекватным уровнем защиты или при наличии согласия субъекта.

Исключения: международные договоры РК, согласие субъекта персональных данных, защита жизни и здоровья.

За нарушение требований предусмотрена административная и уголовная ответственность. Штрафы для юридических лиц — от 200 до 1000 МРП.

Практический вывод: облачные OLAP-системы (Snowflake, Databricks, ClickHouse Cloud) не имеют ЦОД в Казахстане. Для работы с ПДн граждан РК — только on-premise или BYOC в локальном облаке.

3. Узбекистан: Закон о персональных данных

Закон Республики Узбекистан «О персональных данных» (2019, с поправками 2026 года) регулирует сбор, обработку и хранение ПДн.

Поправки 2026 года ввели более гибкую модель: трансграничная обработка разрешена при определённых условиях (адекватный уровень защиты в стране получателя, согласие субъекта).

Однако: биометрические, генетические и телекоммуникационные данные обязаны храниться на территории Узбекистана. Исключений нет.

Банковский сектор: Центральный банк Республики Узбекистан дополнительно требует хранения финансовых данных в пределах республики.

Практический вывод: для банков, телекома, госсектора Узбекистана — только on-premise развёртывание. BYOC допустим при наличии VPC в узбекском дата-центре.

4. Модели развёртывания VeloDB/Apache Doris

Четыре модели развёртывания для разных уровней требований к data residency:

Модель	Описание	Compliance КЗ	Compliance УЗ	Для кого
BYOC	Развёртывание в вашем VPC. Данные под вашим контролем. Управление — VeloDB.	✅ Если VPC в КЗ	✅ Если VPC в УЗ	Enterprise с облачной инфрой
On-Premise	Установка в собственном ЦОД. Полная изоляция.	✅ Полное соответствие	✅ Полное соответствие	Банки, телеком, госсектор
Air-Gapped	Kubernetes-native, без интернета. Критическая инфраструктура.	✅ Максимальная защита	✅ Максимальная защита	Оборонка, критическая инфра
Public Cloud (SaaS)	VeloDB Cloud — нет ЦОД в КЗ/УЗ.	⚠️ Не соответствует	⚠️ Не соответствует	НЕ для ПДн КЗ/УЗ

5. Архитектура BYOC для Казахстана

Типичная архитектура BYOC-развёртывания в Казахстане:

Kubernetes-кластер в локальном облаке (PS Cloud, Beeline Cloud или собственный k8s на bare metal).
VeloDB Control Plane: encrypted tunnel для управления кластером, сбора метрик и доставки обновлений. Данные не передаются.
Data Plane: FE-ноды (Frontend, координация запросов) и BE-ноды (Backend, хранение и обработка) размещены в VPC клиента. Данные не покидают периметр.
S3-compatible storage (MinIO или Ceph) для lakehouse-данных — hot/cold tiering без выхода за пределы инфраструктуры клиента.

Ключевое преимущество: compliance + managed service. Не нужно держать DBA-команду — VeloDB управляет кластером удалённо через encrypted tunnel.

6. Безопасность и контроль доступа

Функции безопасности VeloDB/Apache Doris, критичные для регулируемых отраслей:

RBAC (Role-Based Access Control) — гранулярное управление правами на уровне баз, таблиц, колонок.
Row-Level Security — ограничение доступа по строкам. Банковское отделение видит только данные своего филиала.
Column-Level Security — маскирование PII-полей (ФИО, ИИН, номер карты) для пользователей без привилегий.
Audit Log — полный аудит всех SQL-запросов: кто, когда, какой запрос, сколько строк вернулось.
TLS/SSL — шифрование данных при передаче (in transit) между клиентом, FE и BE нодами.
Encryption at Rest — шифрование данных на диске (AES-256).
LDAP/Kerberos интеграция — Single Sign-On для enterprise, интеграция с Active Directory.

Сертификации VeloDB: SOC2 Type 2, ISO 27001:2022, PCI DSS, GDPR.

7. Практический чек-лист для внедрения

Восемь шагов от решения до production-эксплуатации:

Определить категории обрабатываемых данных (ПДн, банковская тайна, телекоммуникационные данные).
Выбрать модель развёртывания (BYOC vs On-Premise vs Air-Gapped) на основе требований регулятора.
Подготовить инфраструктуру: Kubernetes-кластер, S3-совместимое хранилище, сетевые политики.
Настроить RBAC и Row-Level Security в соответствии с оргструктурой.
Включить audit logging для всех SQL-запросов.
Провести пилот с реальными данными (2–4 недели).
Получить заключение службы информационной безопасности.
Подготовить документацию для регулятора (если требуется сертификация).

Compliance в КЗ и УЗ: data residency для OLAP-платформ