Energetika-VDS Poproś o wycenę
PL

Blog

GDPR a montaż PCB: jak unijny EMS traktuje Twoje BOM, firmware i IP

Opublikowano 2026-05-27

Praktyczny przewodnik, jak unijni dostawcy EMS przetwarzają pliki BOM, binarki firmware'u i IP klienta w ramach GDPR — i dlaczego to ma znaczenie przy porównaniu z chińskimi montażowniami.

Podsumowanie

  • GDPR ma zastosowanie do PCBA, gdy BOM-y, schematy lub firmware zawierają dane osobowe, nazwiska kontrahentów lub identyfikatory urządzeń powiązane z osobami fizycznymi.
  • Unijni dostawcy EMS działają w jednolitym reżimie ochrony danych; chińskie montażownie podlegają PIPL plus China Cybersecurity Law, które zawierają zapisy o dostępie państwa.
  • Energetika-VDS przechowuje pliki techniczne klienta przez uzgodnione okno gwarancyjne, potem bezpiecznie kasuje; NDA są dwustronne i podpisywane przed wpłynięciem jakiegokolwiek BOM do naszego MES.

Krótka odpowiedź: RODO ma znaczenie dla montażu PCB zawsze, gdy pliki projektowe niosą identyfikowalne dane osobowe - nazwiska wykonawców, identyfikatory użytkowników powiązane z urządzeniem, wbudowane konta serwisowe lub logi stanowisk testowych z identyfikatorami operatorów. Dostawcy EMS z UE, tacy jak Energetika-VDS, działają w jednolitym, egzekwowalnym reżimie ochrony danych z roszczeniami cywilnymi; dostawcy chińscy działają pod PIPL i chińskim Cybersecurity Law, gdzie dostęp państwa do danych komercyjnych jest prawnie wymagany w określonych przypadkach.

Dla większości nabywców elektroniki „ochrona danych w PCBA" brzmi jak temat HR. Tak nie jest. Państwa BOM zawiera listę dostawców, firmware zawiera algorytmy, raporty testowe zawierają uzyski, a oprzyrządowanie koduje strategię testową. Gdzie te dane są przechowywane - i kto może zostać zmuszony do ich ujawnienia - to decyzja biznesowa, a nie przypis zgodności.

Dlaczego RODO w ogóle dotyczy montażu PCB

RODO (rozporządzenie UE 2016/679) reguluje przetwarzanie danych osobowych mieszkańców UE. PCBA wygląda jak techniczna usługa B2B, ale kilka punktów styku przekracza tę linię:

  • Pliki BOM często zawierają nazwiska i e-maile inżynierów, dystrybutorów i projektantów na zlecenie.
  • Binarki firmware mogą zawierać wkompilowane konta serwisowe, endpointy telemetrii powiązane z identyfikowalnymi użytkownikami lub klucze kryptograficzne powiązane z nazwanymi osobami.
  • E-maile zwrotne DFM to z definicji korespondencja osobowa.
  • Rekordy traceability tworzone podczas montażu PCB wiążą identyfikatory operatorów z konkretnymi numerami seryjnymi - to dane osobowe w rozumieniu Artykułu 4(1).
  • Załadunki na etapie wyceny do estymatora wyceny niosą adresy IP i metadane kontaktowe.

W momencie, gdy którekolwiek z powyższych trafi do systemu EMS, RODO się angażuje. Pytanie nie brzmi „czy ma zastosowanie?", lecz „czy relacja administrator-procesor jest czysta?".

EMS UE vs dostawcy chińscy: ramy prawne

Jurysdykcja Prawo główne Reguła transferu transgranicznego Postanowienia o dostępie państwa Roszczenie cywilne za naruszenie
UE (w tym Energetika-VDS w MK jako strona PEM, zgodna z RODO) RODO + krajowy DPA Adekwatność z Artykułu 45 / SCC Tylko nakaz sądowy Do 4% globalnego przychodu
Chiny (JLCPCB, PCBWay) PIPL + Cybersecurity Law Ocena bezpieczeństwa CAC dla eksportu Artykuł 7 Cybersecurity Law - obowiązkowa współpraca Ograniczone, dyskrecyjne sądowo
Szwajcaria / Norwegia (adekwatność) revFADP / Personal Data Act Równoważne z Artykułem 45 Tylko nakaz sądowy Porównywalne z RODO
Stany Zjednoczone Mozaika stanowa (CCPA itp.) Brak dla B2B w stylu PCBA FISA 702, CLOUD Act Sektorowe

Ramy PIPL w Chinach zawierają postanowienia (Artykuł 41) zezwalające na transfer do organów spoza Chin tylko za zgodą rządu ChRL - co oznacza, że Państwa BOM, jeśli zostanie zażądany przez regulatora UE, nie może zostać zwrócony bez zgody Pekinu. Dla większości elektroniki konsumenckiej jest to nieistotne. Dla projektów zbliżonych do obronności, medycznych, podwójnego zastosowania lub infrastruktury krytycznej ma to znaczenie.

Jak rzeczywiście wygląda „obsługa danych" w średnim EMS w UE

Gdy klient angażuje Energetika-VDS, potok danych przebiega następująco:

  1. NDA podpisane przed jakimkolwiek plikiem technicznym. Dwustronne, wzajemne, regulowane prawem macedońskim z opcją sądu w UE.
  2. Pliki ładowane przez TLS do naszego portalu wycen; metadane usuwane z PDF.
  3. BOM zaimportowany do MES dla component sourcing; nazwy dostawców widoczne tylko dla biura zakupów.
  4. Gerbery, pick-and-place i firmware archiwizowane w skarbcu projektu, zaszyfrowane w spoczynku (AES-256).
  5. Dostęp operatorów oparty na rolach; operatorzy linii widzą identyfikatory zleceń, nie nazwy klientów.
  6. Po upływie okna gwarancyjnego (zwykle 24 miesiące po ostatecznej wysyłce) pliki są bezpiecznie kasowane - NIST SP 800-88 poziom Purge.
  7. Rekordy traceability wiążące operator -> numer seryjny są przechowywane zgodnie z polityką quality-traceability i IPC-1782.

Pełny proces jest udokumentowany pod manufacturing process i naszymi kontrolami inspekcji i testów.

Firmware i IP: konkretne obawy

Firmware to najbardziej ryzykowny artefakt w kontrakcie PCBA. Klienci pytają:

  • „Jeśli zaprogramujecie moją binarkę, zachowujecie kopię?" Tak - na okno gwarancji - zaszyfrowaną i niewydobywalną z linii.
  • „Czy konkurent na Państwa linii może zobaczyć mój firmware?" Nie. Cele produkcyjne są fizycznie oddzielone; stacje programowania zapisują z zamkniętego skarbca.
  • „Co, jeśli programista odejdzie?" Jego dostęp jest cofany tego samego dnia; log audytu skarbca pokazuje każdy odczyt.
  • „Czy stosujecie inżynierię wsteczną?" Kontraktowo zabronione; technicznie bezcelowe - jesteśmy montażownią, nie producentem chipów.

Dla wrażliwych projektów klienci mogą dostarczać wstępnie zaprogramowane MCU, wysyłać puste albo używać bezpieczników jednokrotnego programowania po FCT.

Przechowywanie danych, kasowanie i prawa audytu

Okna przechowywania w średnich EMS w UE są powiązane z obowiązkiem gwarancyjnym i zasadami traceability IPC (dziesięcioletnie przechowywanie nie jest domyślnym wymogiem RODO - to wybór klienta dla sektorów bezpieczeństwa krytycznego). Standardowe przechowywanie w Energetika-VDS:

  • Korespondencja wyceny i e-maile: 36 miesięcy
  • BOM, Gerbery, P&P: okno gwarancji + 12 miesięcy
  • Binarka firmware: tylko okno gwarancji
  • JSON traceability (operator + numer seryjny + partia): 10 lat dla IPC Class 3, 5 lat dla Class 2
  • Obrazy AOI: 6 miesięcy, chyba że klient wymaga dłuższego

Klienci mogą audytować obsługę danych z 30-dniowym wyprzedzeniem. Jesteśmy alternatywą JLCPCB dokładnie dlatego, że to prawo audytu jest tutaj egzekwowalne i faktycznie nieegzekwowalne w Shenzhen.

Praktyczne zalecenia

  • Dla niskoseryjnej produkcji PCB w Europie EMS w UE usuwa cały wektor zgodności przy umiarkowanej premii kosztowej.
  • Załączcie Państwo aneks o ochronie danych do RFQ. My go podpiszemy. Większość domów azjatyckich nie.
  • Poproście Państwo o diagram przepływu danych. Jeśli EMS nie może go wyprodukować w tydzień, idźcie dalej.
  • Zweryfikujcie Państwo listę subprocesorów. Podzlecone programowanie lub praca testowego domu wymaga tego samego przepływu.
  • Gdy proszą Państwo o wycenę, proszę z góry zaznaczyć ekspozycję danych osobowych, aby zakres NDA odpowiadał rzeczywistości.

Często zadawane pytania

Czy RODO ma znaczenie dla PCBA? Tak, zawsze gdy pliki projektowe niosą dane osobowe - nazwiska wykonawców, wbudowane identyfikatory użytkowników, endpointy telemetrii powiązane z osobami lub rekordy traceability wiążące operatorów z sztukami. Dla większości elektroniki komercyjnej odpowiedź brzmi „tak, w ograniczonym stopniu".

Co z moją własnością intelektualną firmware? Binarki firmware są przechowywane zaszyfrowane, dostępne tylko z poświadczeniami stacji programowania i kasowane na koniec gwarancji. Inżynieria wsteczna jest kontraktowo zabroniona i operacyjnie nie jest tym, co robi montażownia. Klienci pragnący maksymalnej kontroli mogą dostarczać wstępnie zaprogramowane urządzenia.

Jakie są normy przechowywania danych w EMS UE? BOM i Gerbery: okno gwarancji plus 12 miesięcy. Firmware: tylko okno gwarancji. Traceability: 10 lat dla IPC Class 3, 5 lat dla Class 2. Obrazy AOI: 6 miesięcy domyślnie. Wszystko z możliwością nadpisania przez klienta.

Czy NDA jest standardem? Tak, podpisane dwustronnie przed przybyciem plików. Energetika-VDS zapewnia standardowe wzajemne NDA w języku angielskim; podpiszemy też wzór klienta, jeśli jest rozsądny. Prawo regulujące jest negocjowalne; sąd domyślnie w Skopje z opcją arbitrażu uznawanego w UE.

Czy są dodatkowe zabezpieczenia dla projektów obronnych lub podwójnego zastosowania? Tak - oddzielne cele, nazwani operatorzy, brak podzleconego programowania, otwarcie linii w obecności klienta i powietrznie odizolowane skarbce firmware. Wymagania omówimy przy wycenie.

Przekażcie ten projekt do produkcji

Jeśli pracują Państwo nad dokumentacją lub przygotowaniem testów opisanymi w tym artykule, chętnie przejrzymy posiadane materiały.

Przesłanie plików do oceny Zobacz kompetencje