Energetika-VDS Árajánlatkérés
HU

Blog

GDPR és NYÁK-szerelés: hogyan kezelik az EU-s EMS-ek az Ön BOM-ját, firmware-jét és IP-jét

Közzétéve 2026-05-27

Gyakorlati útmutató ahhoz, hogyan kezelik az EU-s EMS-szolgáltatók a BOM-fájlokat, firmware-binárisokat és ügyfél IP-t a GDPR alatt — és miért számít ez a kínai szereldékkel szembeni összehasonlításban.

Összefoglaló

  • A GDPR akkor vonatkozik PCBA-ra, ha a BOM, sémák vagy firmware személyes adatokat, alvállalkozói neveket vagy természetes személyhez kötött eszközazonosítókat tartalmaz.
  • Az EU-s EMS-szolgáltatók egységes adatvédelmi rezsim alatt működnek; a kínai szereldéket a PIPL plusz a Kína kiberbiztonsági törvénye szabályozza, amely állami hozzáférési rendelkezéseket tartalmaz.
  • Az Energetika-VDS a megállapodott jótállási időszakban őrzi meg az ügyfél műszaki fájljait, majd biztonságosan törli; az NDA-k kétoldalúak és aláírtak, mielőtt bármilyen BOM bekerülne a MES-be.

Rövid válasz: A GDPR akkor releváns a NYÁK-szerelés szempontjából, amikor a projektfájljai azonosítható személyes adatokat tartalmaznak — vállalkozói neveket, eszközhöz kötött felhasználói azonosítókat, beágyazott szolgáltatásszámlákat vagy teszt-állomási naplókat operátori azonosítókkal. Az EU-alapú EMS-szolgáltatók, mint az Energetika-VDS, egyetlen, érvényesíthető adatvédelmi rezsim alatt működnek polgári jogorvoslattal; a kínai szolgáltatók a PIPL és a kínai kiberbiztonsági törvény szerint működnek, ahol az állami hozzáférés a kereskedelmi adatokhoz jogilag kötelező meghatározott esetekben.

A legtöbb elektronikai vásárlónak az „adatvédelem a NYÁK-szerelésben" HR-témának hangzik. Nem az. A BOM-ja tartalmazza a beszállítói listáját, a firmware-je tartalmazza az algoritmusait, a tesztjelentései tartalmazzák a kihozatalát, és az állványai kódolják a tesztstratégiáját. Hogy hol él ez az adat — és kit lehet kényszeríteni a nyilvánosságra hozatalára — üzleti döntés, nem megfelelőségi lábjegyzet.

Miért érinti a GDPR egyáltalán a NYÁK-szerelést

A GDPR (EU 2016/679 rendelet) az EU-lakosok személyes adatainak feldolgozását szabályozza. A NYÁK-szerelés B2B technikai szolgáltatásnak tűnik, de több érintkezési pont átlépi a határt:

  • A BOM-fájlok gyakran tartalmazzák mérnökök, forgalmazók és szerződéses tervezők neveit és e-mail-címeit.
  • A firmware-bináris fájlok hordozhatnak fordított szolgáltatásszámlákat, azonosítható felhasználókhoz kötött telemetriai végpontokat vagy nevesített személyekhez kapcsolt kriptográfiai kulcsokat.
  • A DFM-visszajelzési e-mailek definíció szerint személyes levelezések.
  • A NYÁK-szerelés során készített nyomon követhetőségi rekordok operátori azonosítókat kötnek konkrét sorszámokhoz — ez a 4. cikk (1) bekezdése szerinti személyes adat.
  • A gyors árbecslőre feltöltött ajánlatkérési szakaszú feltöltések IP-címeket és kapcsolattartási metaadatokat hordoznak.

Abban a pillanatban, amikor a fentiek bármelyike egy EMS-rendszerbe kerül, a GDPR aktiválódik. A kérdés nem az, hogy „alkalmazandó-e?", hanem az, hogy „tiszta-e az adatkezelő-adatfeldolgozó viszony?".

EU-s EMS vs. kínai szolgáltatók: a jogi keret

Joghatóság Elsődleges jog Határon átnyúló átviteli szabály Állami hozzáférési rendelkezések Polgári jogorvoslat jogsértésre
EU (Energetika-VDS-szel együtt MK-ben mint PEM-fél, GDPR-igazítva) GDPR + nemzeti DPA 45. cikk megfelelőség / SCC Csak bírósági végzéssel Globális árbevétel 4%-áig
Kína (JLCPCB, PCBWay) PIPL + kiberbiztonsági törvény CAC biztonsági értékelés exporthoz A kiberbiztonsági törvény 7. cikke — kötelező együttműködés Korlátozott, bírósági mérlegelés
Svájc / Norvégia (megfelelőség) revFADP / személyes adatokról szóló törvény 45. cikkellyel egyenértékű Csak bírósági végzéssel GDPR-hez hasonló
Egyesült Államok Állami foltozott (CCPA stb.) Nincs NYÁK-szerelési B2B-re FISA 702, CLOUD Act Szektorális

A kínai PIPL keretrendszer tartalmaz rendelkezéseket (41. cikk), amelyek nem-kínai hatóságoknak való átadást csak a KNK kormány jóváhagyásával engedélyeznek — vagyis a BOM-ja, ha egy EU-s szabályozó kéri, nem adható vissza Peking jóváhagyása nélkül. A legtöbb fogyasztói elektronikára ez irreleváns. A védelmi-közeli, orvosi, kettős felhasználású vagy kritikus infrastruktúra projektekre lényeges.

Hogyan néz ki az „adatkezelés" valójában egy közepes EU-s EMS-nél

Amikor egy ügyfél megbízza az Energetika-VDS-t, az adatáramlás a következőképpen fut:

  1. NDA aláírva, mielőtt bármilyen technikai fájl megérkezik. Kétoldalú, kölcsönös, macedón joghatóság alatt EU-s helyszín opcióval.
  2. A fájlok TLS-en keresztül vannak feltöltve árajánlatkérő portálunkra; a metaadat eltávolítva a PDF-ekből.
  3. A BOM importálva az MES-be alkatrészbeszerzésre; a beszállítói nevek csak a beszerzési csoport számára láthatók.
  4. A Gerberek, pick-and-place és firmware projektboltozóban archiválva, nyugalmi állapotban titkosítva (AES-256).
  5. Az operátori hozzáférés szerepkör-alapú; a vonali operátorok munka-azonosítókat látnak, nem ügyfélneveket.
  6. A jótállási ablak lejárta után (tipikusan a végső szállítás után 24 hónappal) a fájlokat biztonságosan törlik — NIST SP 800-88 Purge szint.
  7. A nyomon követhetőségi rekordok, amelyek az operátor – sorszám viszonyt rögzítik, a minőségbiztosítás és nyomon követhetőség szabályzata és az IPC-1782 szerint őrzendők.

A teljes folyamat dokumentálva van a gyártási folyamat és az ellenőrzés és tesztelés szabályok alatt.

Firmware és szellemi tulajdon: a konkrét aggodalmak

A firmware a legmagasabb kockázatú artefaktum egy NYÁK-szerelési szerződésben. Az ügyfelek azt kérdezik:

  • „Ha flashes a bináris fájlomat, megőriz egy példányt?" Igen — a jótállási ablakra — titkosítva, és nem lehet kinyerni a vonalról.
  • „Egy versenytárs a vonalán láthatja a firmware-emet?" Nem. A gyártócellák fizikailag el vannak választva; a programozóállomások egy zárt boltozatból írnak.
  • „Mi van, ha egy programozó távozik?" A hozzáférése aznap visszavonva; a boltozati auditnapló minden olvasást mutat.
  • „Visszafejtenek?" Szerződéses tilalom; technikailag értelmetlen — szerelők vagyunk, nem chipház.

Érzékeny projektekre az ügyfelek előflasselt MCU-kat adhatnak, üresen szállíthatnak, vagy egyszer programozható biztosítékokat használhatnak az FCT után.

Adatmegőrzés, törlés és audit-jogok

A közepes EU-s EMS-megőrzési ablakok a jótállási kötelezettséghez és az IPC nyomon követhetőségi szabályaihoz kötődnek (a tízéves megőrzés nem GDPR-alapértelmezett — vásárló által vezérelt választás biztonságkritikus szektorokra). Standard Energetika-VDS megőrzés:

  • Ajánlat és e-mail-levelezés: 36 hónap
  • BOM, Gerberek, P&P: jótállási ablak + 12 hónap
  • Firmware-bináris: csak jótállási ablak
  • Nyomon követhetőségi JSON (operátor + sorszám + tétel): 10 év IPC Class 3, 5 év Class 2 esetén
  • AOI-képek: 6 hónap, kivéve ha az ügyfél hosszabbat kér

Az ügyfelek 30 napos felmondási idővel auditálhatják az adatkezelést. JLCPCB-alternatíva vagyunk pontosan azért, mert ez az audit-jog itt érvényesíthető, és Shenzhenben gyakorlatilag nem érvényesíthető.

Gyakorlati ajánlások

  • Az európai kis szériás NYÁK-szereléshez egy EU-s EMS egy teljes megfelelőségi vektort eltávolít szerény költségprémium mellett.
  • Tegyen adatvédelmi mellékletet az ajánlatkérésébe. Aláírjuk. A legtöbb ázsiai ház nem fog.
  • Kérjen adatáramlási diagramot. Ha az EMS nem tud egyet egy héten belül előállítani, lépjen tovább.
  • Ellenőrizze a alvállalkozói listát. A kiszervezett programozási vagy tesztházi munkának ugyanazt az áramlást kell követnie.
  • Amikor ajánlatot kér, előre jelezze a személyes adat kitettséget, hogy az NDA hatóköre megfeleljen a valóságnak.

Gyakran ismételt kérdések

Releváns a GDPR a NYÁK-szereléshez? Igen, amikor a projektfájlok személyes adatokat hordoznak — vállalkozói nevek, beágyazott felhasználói azonosítók, személyekhez kötött telemetriai végpontok, vagy nyomon követhetőségi rekordok, amelyek operátorokat kötnek egységekhez. A legtöbb kereskedelmi elektronikára a válasz „igen, korlátozott módon".

Mi a helyzet a firmware-szellemi tulajdonommal? A firmware-binárisok titkosítva vannak tárolva, csak programozóállomás-hitelesítő adatokkal érhetők el, és a jótállás végén törlődnek. A visszafejtés szerződésben tiltott, és működésileg nem az, amit egy szerelő csinál. Maximális kontrollt akaró ügyfelek előflasselt eszközöket biztosíthatnak.

Mik az EU-s EMS adatmegőrzési normái? BOM-ok és Gerberek: jótállási ablak plusz 12 hónap. Firmware: csak jótállási ablak. Nyomon követhetőség: 10 év IPC Class 3-ra, 5 év Class 2-re. AOI-képek: 6 hónap alapértelmezetten. Mind vevő által felülírható.

Standard az NDA? Igen, kétoldalúan aláírva a fájlok érkezése előtt. Az Energetika-VDS standard kölcsönös NDA-t biztosít angolul; szintén aláírunk vevői sablont, ha ésszerű. Az alkalmazandó jog tárgyalható; az alapértelmezett helyszín Szkopje, EU által elismert választottbírósági opcióval.

Vannak extra védelmek védelmi vagy kettős felhasználású projektekre? Igen — elválasztott cella, nevesített operátorok, nincs kiszervezett programozás, vevő által tanúsított vonalnyitás és légréses firmware-boltozatok. A követelményeket árajánlatkéréskor beszéljük meg.

Vigye gyártásba ezt a terméket

Ha éppen az ebben a cikkben tárgyalt fájlon vagy teszt-előkészítésen dolgozik, szívesen átnézzük az anyagát.

Fájlok küldése felülvizsgálatra Kapacitások megtekintése