Energetika-VDS Побарајте понуда
MK

Блог

GDPR и PCB монтажа: како EU EMS постапуваат со Вашиот BOM, firmware и интелектуална сопственост

Објавено 2026-05-27

Практичен водич за тоа како EMS снабдувачите со седиште во ЕУ обработуваат BOM датотеки, firmware бинари и интелектуална сопственост на клиентот според GDPR — и зошто тоа е важно при споредба со кинески монтажни куќи.

Резиме

  • GDPR се применува на PCBA кога BOM-овите, шемите или firmware содржат лични податоци, имиња на изведувачи или идентификатори на уред поврзани со физички лица.
  • EU EMS снабдувачите работат под унифициран режим за заштита на податоци; кинеските монтажни куќи се регулирани со PIPL плус Кинеската сајбер-безбедносна регулатива, кои вклучуваат одредби за државен пристап.
  • Energetika-VDS ги задржува техничките датотеки на клиентот за договорениот гарантен период, потоа безбедно ги брише; NDA се билатерални и потпишани пред кој било BOM да влезе во нашиот MES.

Краток одговор: GDPR е релевантен за PCB склопување секогаш кога вашите проектни фајлови носат лични податоци што може да се идентификуваат — имиња на изведувачи, ID на корисници врзани за уред, embedded сервисни сметки или дневници на test-jig со оператор ID. EU-базирани EMS провајдери како Energetika-VDS оперираат под единствен, спроведлив режим за заштита на податоци со граѓански правни лекови; кинеските провајдери оперираат под PIPL и кинескиот закон за сајбер безбедност, каде државниот пристап до комерцијални податоци е законски присилен во дефинирани случаи.

За повеќето купувачи на електроника, "заштита на податоци во PCBA" звучи како HR тема. Не е. Вашиот BOM ја содржи вашата листа на добавувачи, вашиот firmware ги содржи вашите алгоритми, вашите тест извештаи ги содржат вашите yields, а вашите fixtures ја кодираат вашата тест стратегија. Каде живеат тие податоци — и кој може да биде присилен да ги открие — е бизнис одлука, а не fusnote за усогласеност.

Зошто GDPR ја допира PCB склопувањето воопшто

GDPR (EU Regulation 2016/679) ја регулира обработката на лични податоци на EU резиденти. PCBA изгледа како B2B техничка услуга, но неколку touchpoints ја минуваат линијата:

  • BOM фајловите често ги вклучуваат имињата и е-поштите на инженери, дистрибутери и contract designers.
  • Firmware бинари можат да носат compiled-in сервисни сметки, telemetry endpoints врзани за identifiable users или криптографски клучеви поврзани со именувани поединци.
  • DFM фидбек е-поштите се лична кореспонденција по дефиниција.
  • Traceability записите произведени за време на PCB склопување поврзуваат оператор ID до специфични сериски броеви — тоа се лични податоци под Article 4(1).
  • Quote-stage uploads до quote estimator носат IP адреси и контакт метаподатоци.

Моментот кога нешто од горенаведеното влегува во EMS систем, GDPR се вклучува. Прашањето не е "дали се применува?" туку "дали controller-processor односот е чист?"

EU EMS наспроти кинески провајдери: правната рамка

Јурисдикција Примарен закон Cross-border transfer правило Одредби за државен пристап Граѓански правен лек за повреда
EU (вкл. Energetika-VDS во MK како PEM страна, GDPR-усогласена) GDPR + национална DPA Article 45 adequacy / SCC Само судски налог До 4% глобален приход
Кина (JLCPCB, PCBWay) PIPL + Cybersecurity Law CAC безбедносна проценка за извоз Article 7 Cybersecurity Law — задолжителна соработка Ограничен, дискрециски од суд
Швајцарија / Норвешка (adequacy) revFADP / Personal Data Act Article 45 еквивалент Само судски налог Споредлив со GDPR
Соединетите Држави State patchwork (CCPA, итн.) Никој за PCBA-стил B2B FISA 702, CLOUD Act Секторски

PIPL рамката во Кина вклучува одредби (Article 41) што дозволуваат пренос до не-кинески власти само со одобрување од PRC владата — што значи дека вашиот BOM, ако е побаран од EU регулатор, не може да биде вратен без знакот на Пекинг. За повеќето консумерска електроника ова е ирелевантно. За проекти adjacent на одбрана, медицински, dual-use или critical-infrastructure, материјално е.

Како всушност изгледа "data handling" кај mid-EU EMS

Кога клиент ангажира Energetika-VDS, потокот на податоци работи како што следува:

  1. NDA потпишан пред каков било технички фајл да слета. Билатерален, заемен, владеан од македонско право со EU venue опција.
  2. Фајлови qualcaваат преку TLS до нашиот quote portal; метаподатоците извлечени од PDFs.
  3. BOM импортиран до MES за component sourcing; имињата на добавувачите се видливи само за buying desk.
  4. Gerbers, pick-and-place и firmware архивирани во project vault, шифрирани во состојба на мирување (AES-256).
  5. Оператор пристапот е role-based; операторите на линија гледаат job IDs, не имиња на клиенти.
  6. Откако ќе истече прозорецот за гаранција (типично 24 месеци post-final-shipment), фајловите се безбедно обришани — NIST SP 800-88 Purge ниво.
  7. Traceability записите што го поврзуваат операторот со серискиот број се задржани според quality-traceability политиката и IPC-1782.

Целиот процес е документиран под manufacturing process и нашите inspection and testing контроли.

Firmware и IP: специфичните грижи

Firmware е артефакт со највисок ризик во PCBA договор. Клиентите прашуваат:

  • "Ако го flash-ирате мојот бинар, чувате ли копија?" Да — за прозорецот на гаранција — шифриран и не може да се извлече од линијата.
  • "Може ли конкурент на вашата линија да го види мојот firmware?" Не. Производните ќелии се физички сегрегирани; програмските станици пишуваат од запечатен vault.
  • "Што ако програмер замине?" Нивниот пристап е отповикан истиот ден; vault audit дневникот ја покажува секоја читалка.
  • "Дали правите reverse-engineer?" Договорно забрането; технички бесмислено — сме склопувач, не chip-куќа.

За чувствителни проекти, клиентите можат да доставуваат претходно-flash-ирани MCUs, испраќаат празни или користат one-time-programmable fuses post-FCT.

Задржување на податоци, бришење и audit права

Mid-EU EMS retention прозорците се врзани за гарантна обврска и за IPC traceability правилата (десет-годишно задржување не е GDPR стандард — е клиент-движен избор за безбедносно-критични сектори). Стандардно Energetika-VDS задржување:

  • Quote и е-пошта кореспонденција: 36 месеци
  • BOM, Gerbers, P&P: прозорец на гаранција + 12 месеци
  • Firmware бинар: само прозорец на гаранција
  • Traceability JSON (оператор + сериски + lot): 10 години за IPC Class 3, 5 години за Class 2
  • AOI слики: 6 месеци освен ако клиентот не бара подолго

Клиентите можат да auditираат data handling на 30 дена известување. Сме JLCPCB алтернатива токму бидејќи тоа audit право е спроведливо тука и ефективно не е спроведливо во Shenzhen.

Практични препораки

  • За low-volume PCB assembly in Europe, EU EMS отстранува цел вектор за усогласеност со скромен premium на трошокот.
  • Вклучете data-protection annex во вашата RFQ. Ќе го потпишеме. Повеќето азиски куќи нема.
  • Прашајте за data-flow диаграм. Ако EMS не може да го произведе за една недела, тргнете.
  • Верификувајте ја sub-processor листа. Sub-contracted програмирање или test-house работа треба ист flow-down.
  • Кога request a quote, означете каква било изложеност на лични податоци одозгора така што NDA опсегот се совпаѓа со реалноста.

Често поставувани прашања

Дали GDPR е релевантен за PCBA? Да, секогаш кога проектните фајлови носат лични податоци — имиња на изведувачи, embedded user IDs, telemetry endpoints врзани за луѓе или traceability записи што поврзуваат оператори со единици. За повеќето комерцијална електроника, одговорот е "да, во ограничен начин."

Што за мојот firmware IP? Firmware бинари се зачувани шифрирани, пристапени само од credentials на програмска станица и обришани на крајот на гаранцијата. Reverse engineering е договорно забрането и оперативно не е тоа што го прави склопувач. Клиентите кои сакаат максимална контрола можат да доставуваат претходно-flashed уреди.

Кои се EU EMS норми за data-retention? BOMs и Gerbers: прозорец на гаранција плус 12 месеци. Firmware: само прозорец на гаранција. Traceability: 10 години за IPC Class 3, 5 години за Class 2. AOI слики: 6 месеци стандардно. Сите клиентско-overrid-абилни.

Дали NDA е стандарден? Да, потпишан билатерално пред фајловите да пристигнат. Energetika-VDS обезбедува стандарден заемен NDA на англиски; ќе потпишеме клиентски темплејт ако е разумно. Владеачкото право е преговарливо; venue стандардно е на Скопје со EU-признаена арбитражна опција.

Дали има дополнителни заштити за одбрана или dual-use проекти? Да — сегрегирана ќелија, именувани оператори, без подизведувачко програмирање, отворање на линија сведочено од клиент и air-gapped firmware vaults. Дискутирајте барања на quoting.

Префрлете го ова во сериско производство

Ако работите на датотеката или подготовката за тестирање што ја опфаќа овој напис, со задоволство ќе го прегледаме тоа што го имате.

Испратете датотеки за преглед Прегледајте ги можностите