---
title: "Клаузулы квантово-устойчивого шифрования для трансграничных SaaS‑соглашений"
---

# Клаузулы квантово-устойчивого шифрования для трансграничных SaaS‑соглашений

Быстрое появление квантовых вычислений ставит под угрозу криптографические основы, защищающие современные [SaaS](https://en.wikipedia.org/wiki/Software_as_a_service) среды. Хотя масштабные квантовые машины пока находятся в экспериментальной фазе, ориентированные в будущее компании уже пересматривают формулировки своих контрактов, предвидя пост‑квантовый мир. Это руководство помогает юридическим специалистам, менеджерам по контрактам и архитекторам безопасности пройти процесс составления клаузул квантово‑устойчивого шифрования для трансграничных SaaS‑соглашений, обеспечивая их исполнимость, техническую реализуемость и соответствие международным режимам защиты данных, таким как [GDPR](https://en.wikipedia.org/wiki/General_Data_Protection_Regulation) и [HIPAA](https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act).

## Почему важны положения о квантово‑устойчивом шифровании

Квантовые алгоритмы — в частности алгоритм Шора — способны разрушить широко используемые системы с открытым ключом, такие как RSA и ECC. Если поставщик продолжит полагаться на эти алгоритмы после появления квантового adversary, конфиденциальность данных в передаче и в состоянии покоя может быть ретроспективно скомпрометирована. С точки зрения контракта это создает скрытый breach обязательств по конфиденциальности, потенциально подвергая обе стороны ответственности по законам о защите данных и отраслевым регламентам.

Включение клаузулы, ориентированной в будущее, снижает этот риск, позволяя:

1. **Установить ясный технический стандарт**, которому поставщик должен соответствовать на протяжении всего срока действия контракта и всех его продлений.  
2. **Создать путь эскалации**, обязующий поставщика принимать одобренные пост‑квантовые криптографические (PQC) алгоритмы по мере их утверждения признанными органами, такими как [NIST](https://www.nist.gov/) или [ISO/IEC](https://csrc.nist.gov/Projects/post-quantum-cryptography).  
3. **Предоставить договорное средство исправления** — кредит за услуги, право на расторжение или возмещение убытков, если поставщик не выполнит переход в согласованные сроки.

## Основные элементы клаузулы квантово‑устойчивого шифрования

Надежная клаузула должна включать пять взаимосвязанных компонентов: объём применения, ссылку на стандарты, график перехода, механизмы проверки и корректирующие действия. Ниже показано, как эти элементы могут быть вплетены в одно связное положение без использования списков.

### Определение области применения

Клаузула начинается с определения набора данных, попадающих под действие. Она должна явно охватывать все данные клиента, передаваемые, обрабатываемые или хранимые SaaS‑услугой, включая метаданные, журналы и резервные копии. Явное указание определения персональных данных согласно [GDPR](https://gdpr.eu/) помогает привязать положение к признанной правовой базе и избегает неоднозначности относительно того, что подразумевается под «данными клиента».

### Ссылка на признанные стандарты

Указание авторитетных криптографических стандартов критически важно для исполнимости. Поставщик должен внедрять алгоритмы, включённые в последнюю черновую версию стандарта пост‑квантовой криптографии от [NIST](https://csrc.nist.gov/projects/post-quantum-cryptography), либо, альтернативно, алгоритмы, одобренные комитетом [ISO/IEC](https://www.iso.org/standard/72733.html) для квантово‑устойчивого шифрования. Клаузула может также ссылаться на [TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security) 1.3 с добавлением пост‑квантовых наборов шифров, таких как [Kyber](https://pq-crystals.org/kyber/) или [Dilithium](https://pq-crystals.org/dilithium/), тем самым устанавливая конкретный технический базис.

### Срок перехода

Реалистичный график балансирует техническую готовность и уровень риска. Типичный подход предусматривает, что поставщик начнёт миграцию к одобренным PQC‑алгоритмам в течение двенадцати месяцев после официальной публикации стандарта и завершит переход в течение последующих двадцати‑четырех месяцев. Положению следует предусмотреть возможные продления для гармонизации с регуляторными требованиями в юрисдикциях, где правила локализации данных накладывают дополнительные