Energetika-VDS Заявка за оферта
BG

Блог

GDPR и монтаж на печатни платки: как EU EMS борави с вашия BOM, firmware и интелектуална собственост

Публикувано 2026-05-27

Практическо ръководство за това как EU базираните EMS доставчици обработват BOM файлове, firmware бинарни файлове и интелектуалната собственост на клиента съгласно GDPR — и защо това е важно при сравнение с китайските монтажни предприятия.

Резюме

  • GDPR се прилага за PCBA, когато BOM-овете, схемите или firmware съдържат лични данни, имена на контрактори или идентификатори на устройства, свързани с физически лица.
  • EU EMS доставчиците работят под единен режим за защита на данните; китайските монтажни предприятия са под PIPL плюс Закона за киберсигурност на Китай, които включват разпоредби за държавен достъп.
  • Energetika-VDS пази техническите файлове на клиента в рамките на договорения гаранционен период, след което ги изтрива сигурно; NDA-тата са двустранни и подписани, преди какъвто и да е BOM да попадне в нашата MES.

Кратък отговор: GDPR е релевантен за PCB assembly, когато проектните ви файлове носят идентифицируеми лични данни — имена на изпълнители, device-bound user ID, embedded service accounts или test-jig логове с operator ID. EU-базирани EMS доставчици като Energetika-VDS оперират под един, изпълним режим за защита на данните с граждански средства за защита; китайските доставчици оперират под PIPL и Закона за киберсигурност на Китай, където държавният достъп до търговски данни е законно принуден в определени случаи.

За повечето купувачи на електроника, "защита на данните в PCBA" звучи като HR тема. Не е. Вашият BOM съдържа вашия списък с доставчици, вашият фърмуер съдържа вашите алгоритми, вашите тестови доклади съдържат вашите добиви, а вашите fixture-и кодират вашата тестова стратегия. Къде живеят тези данни — и кой може да бъде принуден да ги разкрие — е бизнес решение, а не съответствена бележка под линия.

Защо GDPR изобщо засяга PCB assembly

GDPR (EU Регламент 2016/679) регулира обработката на лични данни на EU резиденти. PCBA изглежда като B2B техническа услуга, но няколко точки на контакт пресичат линията:

  • BOM файловете често включват имена и имейли на инженери, дистрибутори и договорни дизайнери.
  • Фърмуерните бинарни могат да носят компилирани service accounts, telemetry endpoints, обвързани с идентифицируеми потребители, или криптографски ключове, асоциирани с именувани индивиди.
  • DFM обратни имейли са лична кореспонденция по дефиниция.
  • Проследяемостни записи, произведени по време на PCB assembly, свързват operator ID със специфични серийни номера — това са лични данни по член 4(1).
  • Quote-stage uploads към оценител на оферти носят IP адреси и контактна метадата.

В момента, в който което и да от горните влезе в EMS система, GDPR се ангажира. Въпросът не е "прилага ли се?", а "чиста ли е controller-processor връзката?"

EU EMS срещу китайски доставчици: правната рамка

Юрисдикция Първичен закон Правило за трансграничен трансфер Разпоредби за държавен достъп Граждански средства за защита при нарушение
EU (вкл. Energetika-VDS в MK като PEM страна, GDPR-подравнен) GDPR + национален DPA Член 45 адекватност / SCC Само съдебна заповед До 4% от глобалните приходи
Китай (JLCPCB, PCBWay) PIPL + Закон за киберсигурност CAC оценка за сигурност за износ Член 7 Закон за киберсигурност — задължително сътрудничество Ограничено, по преценка на съда
Швейцария / Норвегия (адекватност) revFADP / Закон за личните данни Член 45 еквивалент Само съдебна заповед Сравним с GDPR
Съединени щати Държавен patchwork (CCPA и т.н.) Няма за PCBA-style B2B FISA 702, CLOUD Act Секторно

PIPL рамката в Китай включва разпоредби (член 41), позволяващи трансфер към некитайски власти само с одобрение на PRC правителството — което означава, че вашият BOM, ако бъде поискан от EU регулатор, не може да бъде върнат без подпис от Пекин. За повечето потребителски електроники това е без значение. За проекти, съседни на отбраната, медицински, dual-use или критични за инфраструктурата, е съществено.

Как изглежда всъщност "обработката на данни" в средно-EU EMS

Когато клиент ангажира Energetika-VDS, потокът от данни върви както следва:

  1. NDA подписан преди да пристигне технически файл. Двустранен, взаимен, регулиран от македонско право с EU венчърна опция.
  2. Файловете качени през TLS към нашия портал за оферти; метаданните премахнати от PDF.
  3. BOM импортиран в MES за component sourcing; имената на доставчиците са видими само за купуващото бюро.
  4. Gerber-и, pick-and-place и фърмуер архивирани в проектен trezor, криптирани в покой (AES-256).
  5. Операторският достъп е role-based; линейните оператори виждат job ID, а не клиентски имена.
  6. След изтичане на гаранционния прозорец (обикновено 24 месеца след финална доставка), файловете се изтриват сигурно — NIST SP 800-88 Purge ниво.
  7. Проследяемостните записи, свързващи оператор - сериен номер, се запазват по quality-traceability политика и IPC-1782.

Пълният процес е документиран под manufacturing process и нашите inspection and testing контроли.

Фърмуер и IP: специфичните притеснения

Фърмуерът е артефактът с най-висок риск в PCBA договор. Клиентите питат:

  • "Ако флашнете моя бинарен, държите ли копие?" Да — за гаранционния прозорец — криптиран и неизвлечим от линията.
  • "Може ли конкурент на вашата линия да види моя фърмуер?" Не. Производствените клетки са физически сегрегирани; програмиращите станции записват от запечатан trezor.
  • "Какво ако програмист напусне?" Достъпът му се отнема в същия ден; trezor одитният лог показва всяко четене.
  • "Извършвате ли reverse engineering?" Договорно забранено; технически безсмислено — ние сме асемблер, а не chip къща.

За чувствителни проекти, клиентите могат да доставят предварително флашнати MCU, да изпратят празни или да използват one-time-programmable fuses след FCT.

Запазване на данни, изтриване и одитни права

Прозорците за запазване на средно-EU EMS са обвързани с гаранционно задължение и с IPC проследяемост правила (10-годишно запазване не е GDPR подразбиране — това е клиентски-движен избор за критични за безопасността сектори). Стандартно запазване в Energetika-VDS:

  • Оферта и имейл кореспонденция: 36 месеца
  • BOM, Gerber-и, P&P: гаранционен прозорец + 12 месеца
  • Фърмуерен бинарен: само гаранционен прозорец
  • Проследяемост JSON (оператор + сериен + lot): 10 години за IPC Class 3, 5 години за Class 2
  • AOI изображения: 6 месеца, освен ако клиентът не изисква по-дълго

Клиентите могат да одитират обработката на данни с 30 дни предизвестие. Ние сме JLCPCB алтернатива точно защото това право на одит е изпълнимо тук и ефективно неизпълнимо в Shenzhen.

Практически препоръки

  • За low-volume PCB assembly in Europe, EU EMS премахва един цял вектор на съответствие при скромна ценова премия.
  • Включете data-protection анекс в RFQ. Ще го подпишем. Повечето азиатски къщи няма.
  • Поискайте data-flow диаграма. Ако EMS не може да я произведе за седмица, отдалечете се.
  • Проверете sub-processor списъка. Под-договорено програмиране или работа на тестова къща се нуждае от същия flow-down.
  • Когато заявите оферта, отбележете всяка експозиция на лични данни предварително, така че NDA обхватът да съответства на реалността.

Често задавани въпроси

GDPR релевантен ли е за PCBA? Да, винаги когато проектните файлове носят лични данни — имена на изпълнители, embedded user ID, telemetry endpoints, обвързани с хора, или проследяемостни записи, свързващи оператори с единици. За повечето търговски електроники, отговорът е "да, по ограничен начин."

Какво за моя фърмуер IP? Фърмуерните бинарни се съхраняват криптирани, достъпват се само с credentials на програмираща станция и се изтриват в края на гаранцията. Reverse engineering е договорно забранен и оперативно не е това, което прави асемблер. Клиентите, желаещи максимален контрол, могат да доставят предварително флашнати устройства.

Какви са EU EMS норми за запазване на данни? BOM и Gerber-и: гаранционен прозорец плюс 12 месеца. Фърмуер: само гаранционен прозорец. Проследяемост: 10 години за IPC Class 3, 5 години за Class 2. AOI изображения: 6 месеца по подразбиране. Всички override-ваеми от клиента.

Стандартен ли е NDA? Да, подписан двустранно преди файловете да пристигнат. Energetika-VDS предоставя стандартен взаимен NDA на английски; ще подпишем и клиентски template, ако е разумен. Регулиращото право е договорно; венчърът по подразбиране е Скопие с EU-призната арбитражна опция.

Има ли допълнителни защити за отбранителни или dual-use проекти? Да — сегрегирана клетка, именувани оператори, без под-договорено програмиране, отваряне на линията със свидетели от клиента и air-gapped фърмуерни trezor-и. Обсъдете изискванията при оферта.

Преминете към серийно производство

Ако работите по файла или подготовката за тестване, които статията разглежда, с удоволствие ще прегледаме това, което имате.

Изпратете файлове за преглед Вижте възможностите