Energetika-VDS Solicitați o ofertă
RO

Blog

GDPR și asamblarea PCB: cum gestionează EMS-urile UE BOM-ul, firmware-ul și IP-ul dumneavoastră

Publicat 2026-05-27

Ghid practic despre modul în care furnizorii EMS din UE procesează fișierele BOM, binarele firmware și IP-ul clientului sub GDPR — și de ce contează acest lucru față de fabricile chineze de asamblare.

Rezumat

  • GDPR se aplică PCBA când BOM-urile, schemele sau firmware-ul conțin date personale, nume de contractori sau identificatori de dispozitiv legați de persoane fizice.
  • Furnizorii EMS din UE operează sub un regim unificat de protecție a datelor; fabricile chineze de asamblare sunt guvernate de PIPL plus China Cybersecurity Law, care includ prevederi de acces statal.
  • Energetika-VDS păstrează fișierele tehnice ale clientului pe durata garanției convenite, apoi le șterge sigur; NDA-urile sunt bilaterale și semnate înainte ca orice BOM să intre în MES-ul nostru.

Răspuns scurt: GDPR este relevant pentru asamblarea PCB ori de câte ori fișierele proiectului dumneavoastră conțin date personale identificabile — nume de contractori, ID-uri de utilizator legate de dispozitiv, conturi de serviciu încorporate sau jurnale de dispozitive de testare cu ID-uri de operator. Furnizorii EMS cu sediul în UE precum Energetika-VDS operează sub un regim unic, executoriu de protecție a datelor cu remedii civile; furnizorii chinezi operează sub PIPL și Legea chineză privind securitatea cibernetică, unde accesul statului la datele comerciale este impus legal în cazuri definite.

Pentru majoritatea cumpărătorilor de electronice, „protecția datelor în PCBA" sună ca un subiect HR. Nu este. BOM-ul dumneavoastră conține lista dumneavoastră de furnizori, firmware-ul dumneavoastră conține algoritmii dumneavoastră, rapoartele dumneavoastră de testare conțin randamentele dumneavoastră, iar dispozitivele dumneavoastră de testare codifică strategia dumneavoastră de testare. Unde trăiesc aceste date — și cine poate fi obligat să le divulge — este o decizie de afaceri, nu o notă de subsol de conformitate.

De ce GDPR atinge asamblarea PCB

GDPR (Regulamentul UE 2016/679) reglementează prelucrarea datelor personale ale rezidenților UE. PCBA arată ca un serviciu tehnic B2B, dar mai multe puncte de contact depășesc limita:

  • Fișierele BOM includ adesea numele și adresele de e-mail ale inginerilor, distribuitorilor și designerilor contractuali.
  • Binare firmware pot conține conturi de serviciu compilate, endpoint-uri de telemetrie legate de utilizatori identificabili sau chei criptografice asociate unor persoane numite.
  • E-mailurile de feedback DFM sunt corespondență personală prin definiție.
  • Înregistrările de trasabilitate produse în timpul asamblării PCB leagă ID-urile operatorilor de numere de serie specifice — acestea sunt date personale conform Articolului 4(1).
  • Încărcările în etapa de ofertare la un estimator de oferte conțin adrese IP și metadate de contact.

În momentul în care oricare dintre acestea intră într-un sistem EMS, GDPR se activează. Întrebarea nu este „se aplică?" ci „este relația controler-procesor curată?"

EMS european vs furnizori chinezi: cadrul juridic

Jurisdicție Legea principală Regula de transfer transfrontalier Prevederi de acces al statului Remediu civil pentru încălcare
UE (incl. Energetika-VDS în MK ca parte PEM, aliniat GDPR) GDPR + DPA național Adecvare Art. 45 / SCC Numai mandat judiciar Până la 4% din cifra de afaceri globală
China (JLCPCB, PCBWay) PIPL + Legea securității cibernetice Evaluare de securitate CAC pentru export Art. 7 Legea securității cibernetice — cooperare obligatorie Limitat, la discreția instanței
Elveția / Norvegia (adecvare) revFADP / Legea privind datele personale Echivalent Art. 45 Numai mandat judiciar Comparabil cu GDPR
Statele Unite Mozaic de state (CCPA etc.) Niciunul pentru B2B de tip PCBA FISA 702, CLOUD Act Sectorial

Cadrul PIPL din China include prevederi (Articolul 41) care permit transferul către autorități non-chineze numai cu aprobarea guvernului RPC — ceea ce înseamnă că BOM-ul dumneavoastră, dacă este solicitat de un regulator european, nu poate fi returnat fără acordul Beijingului. Pentru majoritatea electronicelor de consum, acest lucru este irelevant. Pentru proiectele adiacente apărării, medicale, cu dublu uz sau de infrastructură critică, este material.

Cum arată „gestionarea datelor" la un EMS european de nivel mediu

Când un client angajează Energetika-VDS, fluxul de date rulează astfel:

  1. NDA semnat înainte ca orice fișier tehnic să ajungă. Bilateral, mutual, guvernat de legislația macedoneană cu opțiune de instanță în UE.
  2. Fișierele încărcate prin TLS pe portalul nostru de ofertare; metadatele stripate din PDF-uri.
  3. BOM importat în MES pentru aprovizionarea cu componente; numele furnizorilor sunt vizibile numai pentru biroul de achiziții.
  4. Gerbers, pick-and-place și firmware arhivate într-un seif de proiect, criptate în repaus (AES-256).
  5. Accesul operatorilor este bazat pe rol; operatorii de linie văd ID-uri de job, nu numele clienților.
  6. După expirarea perioadei de garanție (de obicei 24 luni după expedierea finală), fișierele sunt șterse în siguranță — nivel Purge NIST SP 800-88.
  7. Înregistrările de trasabilitate care leagă operatorul de numărul de serie sunt păstrate conform politicii calitate-trasabilitate și IPC-1782.

Procesul complet este documentat în procesul de producție și controalele noastre de inspecție și testare.

Firmware și proprietate intelectuală: preocupările specifice

Firmware este artefactul cu cel mai mare risc dintr-un contract PCBA. Clienții întreabă:

  • „Dacă vă flash-uiți binarul meu, păstrați o copie?" Da — pentru perioada de garanție — criptată și neextractabilă de pe linie.
  • „Poate un concurent de pe linia dumneavoastră să vadă firmware-ul meu?" Nu. Celulele de producție sunt fizic separate; stațiile de programare scriu dintr-un seif sigilat.
  • „Ce se întâmplă dacă un programator pleacă?" Accesul lor este revocat în aceeași zi; jurnalul de audit al seifului arată fiecare citire.
  • „Faceți inginerie inversă?" Interzis contractual; inutilă tehnic — suntem un asamblor, nu un producător de cipuri.

Pentru proiectele sensibile, clienții pot furniza MCU-uri pre-programate, pot livra goale sau pot folosi siguranțe one-time-programmable după FCT.

Retenția datelor, ștergerea și drepturile de audit

Ferestrele de retenție ale EMS-ului european de nivel mediu sunt legate de obligația de garanție și de regulile de trasabilitate IPC (retenția de zece ani nu este implicită GDPR — este o alegere determinată de client pentru sectoarele critice de siguranță). Retenție standard Energetika-VDS:

  • Corespondență ofertă și e-mail: 36 luni
  • BOM, Gerbers, P&P: perioada de garanție + 12 luni
  • Firmware binar: numai perioada de garanție
  • JSON trasabilitate (operator + serial + lot): 10 ani pentru IPC Class 3, 5 ani pentru Class 2
  • Imagini AOI: 6 luni dacă clientul nu solicită mai mult

Clienții pot audita gestionarea datelor cu preaviz de 30 zile. Suntem o alternativă la JLCPCB tocmai pentru că acel drept de audit este executoriu aici și efectiv nu este executoriu în Shenzhen.

Recomandări practice

  • Pentru asamblarea PCB de volum mic în Europa, un EMS european elimină un întreg vector de conformitate la o primă de cost modestă.
  • Includeți o anexă de protecție a datelor în RFQ-ul dumneavoastră. O vom semna. Majoritatea caselor asiatice nu vor.
  • Solicitați diagrama fluxului de date. Dacă EMS-ul nu poate produce una în decurs de o săptămână, plecați.
  • Verificați lista sub-procesorilor. Munca de programare sau testare subcontractată necesită aceeași fluire descendentă.
  • Când solicitați o ofertă, semnalați orice expunere de date personale din start pentru ca domeniul NDA să corespundă realității.

Întrebări frecvente

Este GDPR relevant pentru PCBA? Da, ori de câte ori fișierele proiectului conțin date personale — nume de contractori, ID-uri de utilizator încorporate, endpoint-uri de telemetrie legate de persoane sau înregistrări de trasabilitate care leagă operatorii de unități. Pentru majoritatea electronicelor comerciale, răspunsul este „da, într-un mod limitat".

Dar proprietatea intelectuală din firmware-ul meu? Binarele firmware sunt stocate criptat, accesate numai prin credențialele stației de programare și șterse la expirarea garanției. Ingineria inversă este interzisă contractual și nu este ceea ce face un asamblor. Clienții care doresc control maxim pot furniza dispozitive pre-programate.

Care sunt normele europene de retenție a datelor EMS? BOM-uri și Gerbers: perioada de garanție plus 12 luni. Firmware: numai perioada de garanție. Trasabilitate: 10 ani pentru IPC Class 3, 5 ani pentru Class 2. Imagini AOI: 6 luni implicit. Toate pot fi modificate de client.

Este NDA standard? Da, semnat bilateral înainte ca fișierele să ajungă. Energetika-VDS oferă un NDA mutual standard în limba engleză; vom semna și un șablon al clientului dacă este rezonabil. Legea aplicabilă este negociabilă; sediul implicit este Skopje cu opțiune de arbitraj recunoscut de UE.

Există protecții suplimentare pentru proiectele de apărare sau dublu uz? Da — celulă separată, operatori nominalizați, nicio programare subcontractată, deschidere de linie asistată de client și seifuri firmware cu aer izolat. Discutați cerințele în etapa de ofertare.

Treceți acest produs în producție

Dacă lucrați la fișierul sau la pregătirea testului tratate în acest articol, analizăm cu plăcere ce aveți.

Trimiteți fișierele spre analiză Vezi capabilitățile