Energetika-VDS Zatražite ponudu
HR

Blog

GDPR i montaža tiskanih pločica: kako EU EMS rukuje vašim BOM-om, firmware-om i intelektualnim vlasništvom

Objavljeno 2026-05-27

Praktični vodič o tome kako EU EMS dobavljači obrađuju BOM datoteke, firmware binarne datoteke i intelektualno vlasništvo kupca u skladu s GDPR-om — i zašto je to važno pri usporedbi s kineskim kućama za montažu.

Sažetak

  • GDPR se primjenjuje na PCBA kada BOM-ovi, sheme ili firmware sadrže osobne podatke, imena kontraktora ili identifikatore uređaja vezane za fizičke osobe.
  • EU EMS dobavljači rade pod jedinstvenim režimom zaštite podataka; kineske kuće za montažu su pod PIPL plus Zakonom o kibernetičkoj sigurnosti Kine, koji uključuju odredbe o državnom pristupu.
  • Energetika-VDS čuva tehničke datoteke kupca tijekom ugovorenog jamstvenog razdoblja, a zatim ih sigurno briše; NDA su bilateralni i potpisani prije nego što bilo koji BOM stigne u naš MES.

Kratki odgovor: GDPR je relevantan za montažu PCB-a kad god vaše projektne datoteke sadrže identifikacijske osobne podatke — imena izvođača, ID-ove korisnika vezane uz uređaj, ugrađene servisne račune ili logove test-jigu s ID-ovima operatera. EU EMS pružatelji poput Energetika-VDS-a posluju pod jedinstvenim, provedivim režimom zaštite podataka s građanskim pravnim lijekovima; kineski pružatelji posluju prema PIPL-u i Kineskom zakonu o kibernetičkoj sigurnosti, gdje je državni pristup komercijalnim podacima zakonski nameće u definiranim slučajevima.

Za većinu kupaca elektronike, „zaštita podataka u PCBA” zvuči kao HR tema. Nije. Vaš BOM sadrži vaš popis dobavljača, vaš firmver sadrži vaše algoritme, vaša testna izvješća sadrže vaše prinose, a vaši uređaji kodiraju vašu testnu strategiju. Gdje ti podaci žive — i tko može biti prisiljen na otkrivanje — je poslovna odluka, a ne fusnota o usklađenosti.

Zašto GDPR dotakne montažu PCB-a

GDPR (Uredba EU 2016/679) regulira obradu osobnih podataka stanovnika EU. PCBA izgleda kao B2B tehnička usluga, ali nekoliko dodirnih točaka prelazi crtu:

  • BOM datoteke često uključuju imena i e-mail adrese inženjera, distributera i ugovornih dizajnera.
  • Binarni firmver može sadržavati ugrađene servisne račune, telemetrijske endpointe vezane uz identificirane korisnike ili kriptografske ključeve povezane s imenovanim osobama.
  • E-mailovi s DFM povratnim informacijama su osobna korespondencija po definiciji.
  • Zapisi sljedivosti proizvedeni tijekom montaže PCB-a povezuju ID-ove operatera s određenim serijskim brojevima — to su osobni podaci prema Članku 4(1).
  • Uploadi u fazi upita na kalkulator ponude nose IP adrese i metapodatke kontakta.

Čim bilo što od navedenog uđe u EMS sustav, GDPR se aktivira. Pitanje nije „primjenjuje li se?” nego „je li odnos kontrolor-procesor čist?”

EU EMS vs kineski pružatelji: pravni okvir

Jurisdikcija Primarni zakon Pravilo o prekograničnom prijenosu Odredbe o državnom pristupu Građanski lijek za kršenje
EU (uklj. Energetika-VDS u MK kao stranka PEM-a, usklađen s GDPR-om) GDPR + nacionalni DPA Adekvatnost članka 45 / SCC Samo sudski nalog Do 4% globalnih prihoda
Kina (JLCPCB, PCBWay) PIPL + Zakon o kibernetičkoj sigurnosti CAC sigurnosna procjena za izvoz Članak 7 Zakona o kibernetičkoj sigurnosti — obvezna suradnja Ograničeno, po nahođenju suda
Švicarska / Norveška (adekvatnost) revFADP / Zakon o osobnim podacima Ekvivalent članka 45 Samo sudski nalog Usporedivo s GDPR-om
SAD Državni patchwork (CCPA itd.) Nema za B2B stil PCBA FISA 702, CLOUD Act Sektorski

Kineski PIPL okvir uključuje odredbe (Članak 41) koje dopuštaju prijenos ne-kineskim tijelima samo uz odobrenje kineske vlade — što znači da vaš BOM, ako ga zatraži EU regulatorna tijela, ne može biti vraćen bez dozvole Pekinga. Za većinu potrošačke elektronike ovo je irelevantno. Za projekte bliske obrani, medicini, dvojnoj namjeni ili kritičnoj infrastrukturi, to je materijalno.

Kako „rukovanje podacima” zapravo izgleda u mid-EU EMS-u

Kad kupac angažira Energetika-VDS, podatkovna linija teče ovako:

  1. NDA potpisan prije nego što ikakva tehnička datoteka pristigne. Bilateralan, uzajaman, reguliran makedonskim pravom s opcijom EU nadležnosti.
  2. Datoteke uploadane putem TLS-a na naš portal za upite; metapodaci uklonjeni iz PDF-ova.
  3. BOM uvezen u MES za nabavu komponenti; nazivi dobavljača vidljivi su samo odjelu nabave.
  4. Gerberi, pick-and-place i firmver arhivirani u projektnom trezoru, šifrirani u mirovanju (AES-256).
  5. Pristup operatera je baziran na ulogama; linijski operateri vide ID-ove poslova, ne nazive kupaca.
  6. Nakon isteka jamstvenog roka (tipično 24 mjeseca od konačne isporuke), datoteke se sigurno brišu — razina NIST SP 800-88 Purge.
  7. Zapisi sljedivosti koji povezuju operatera s serijskim brojem čuvaju se prema politici quality-traceability i IPC-1782.

Cijeli postupak dokumentiran je u procesu proizvodnje i našim kontrolama inspekcije i testiranja.

Firmver i IP: konkretne brige

Firmver je artefakt s najvišim rizikom u PCBA ugovoru. Kupci pitaju:

  • „Ako flashate moj binarni kod, čuvate li kopiju?” Da — za jamstveni period — šifrirano i ne može se izvući iz linije.
  • „Može li konkurent na vašoj liniji vidjeti moj firmver?” Ne. Proizvodne ćelije su fizički odvojene; programirne stanice pišu iz zapečaćenog trezora.
  • „Što ako programer ode?” Pristup mu se opoziva isti dan; log trezora pokazuje svako čitanje.
  • „Radite li obrnuti inženjering?” Ugovorno zabranjeno; tehnički besmisleno — mi smo montažer, ne tvrtka za čipove.

Za osjetljive projekte, kupci mogu isporučiti unaprijed programirane MCU-ove, poslati prazne ili koristiti jednokratno programirane osigurače nakon FCT-a.

Čuvanje podataka, brisanje i pravo na reviziju

Rokovi čuvanja mid-EU EMS-a vezani su uz jamstvenu obvezu i pravila sljedivosti IPC-a (deset godina čuvanja nije GDPR zadano — to je kupcem uvjetovan izbor za sigurnosno kritične sektore). Standardno čuvanje Energetika-VDS-a:

  • Korespondencija upita i e-mailova: 36 mjeseci
  • BOM, Gerberi, P&P: jamstveni rok + 12 mjeseci
  • Binarni firmver: samo jamstveni rok
  • Sljedivost JSON (operater + serija + lot): 10 godina za IPC Class 3, 5 godina za Class 2
  • AOI slike: 6 mjeseci osim ako kupac ne zahtijeva dulje

Kupci mogu revidirati rukovanje podacima uz najavu 30 dana. Mi smo JLCPCB alternativa upravo zato što je to pravo na reviziju ovdje provedivo, a u Shenzhenu efektivno nije.

Praktične preporuke

  • Za niskoserijsku montažu PCB-a u Europi, EU EMS uklanja cijeli vektor usklađenosti uz skromnu premiju cijene.
  • Uključite dodatak o zaštiti podataka u vaš RFQ. Mi ćemo ga potpisati. Većina azijskih kuća neće.
  • Zatražite dijagram toka podataka. Ako EMS ne može ga producirati za tjedan dana, odite.
  • Provjerite popis podprocesora. Podugovoreni rad programiranja ili test-kuće zahtijeva isti tijek prema niže.
  • Kad zatražite ponudu, označite svaku izloženost osobnih podataka unaprijed kako bi opseg NDA odgovarao stvarnosti.

Često postavljana pitanja

Je li GDPR relevantan za PCBA? Da, kad god projektne datoteke sadrže osobne podatke — nazive izvođača, ugrađene korisničke ID-ove, telemetrijske endpointe vezane uz osobe ili zapise sljedivosti koji povezuju operatere s jedinicama. Za većinu komercijalne elektronike, odgovor je „da, na ograničen način.”

Što s mojim firmver IP-om? Binarni firmver se čuva šifrirano, pristupa mu se samo preko vjerodajnica programirnih stanica i briše se pri kraju jamstva. Obrnuti inženjering je ugovorno zabranjen i operativno nije ono što montažer radi. Kupci koji žele maksimalnu kontrolu mogu isporučiti unaprijed programirane uređaje.

Koji su EU EMS standardi čuvanja podataka? BOM-ovi i Gerberi: jamstveni rok plus 12 mjeseci. Firmver: samo jamstveni rok. Sljedivost: 10 godina za IPC Class 3, 5 godina za Class 2. AOI slike: 6 mjeseci zadano. Sve je podložno preglasavanju kupca.

Je li NDA standardan? Da, potpisan bilateralno prije dolaska datoteka. Energetika-VDS pruža standardni uzajamni NDA na engleskom; potpisat ćemo i predložak kupca ako je razuman. Mjerodavno pravo je pregovorivo; nadležnost je zadano Skoplje s opcijom EU priznatog arbitražnog postupka.

Postoje li dodatne zaštite za obrambene ili dvojno namjenske projekte? Da — odvojena ćelija, imenovani operateri, bez podizvodničkog programiranja, kupcem svjedočeno otvaranje linije i air-gapped trezori firmvera. Raspravite zahtjeve pri upitu.

Pokrenite ovo u serijsku proizvodnju

Ako radite na datoteci ili pripremi ispitivanja koje ovaj članak obrađuje, rado ćemo pregledati ono što imate.

Pošaljite datoteke na pregled Pogledajte mogućnosti