Стандарти безпеки
Остання редакція: 9 травня 2018 р.

I.  Технічні та організаційні заходи

Ми прагнемо захистити інформацію наших клієнтів.  Беручи до уваги передовий досвід, витрати на реалізацію та суть, обсяг, обставини й цілі обробки, а також різну ймовірність виникнення та ступінь ризику для прав і свобод фізичних осіб, ми вживаємо перелічених нижче технічних і організаційних заходів.  Під час вибору заходів враховується конфіденційність, цілісність, доступність і стійкість систем. Швидке відновлення після фізичного чи технічного інциденту гарантується.

Наша програма конфіденційності даних створена для підтримки глобальної структури керування даними та безпеки інформації протягом усього її життєвого циклу. Цю програму ініціювала служба із захисту даних, голова якої здійснює нагляд за впровадженням заходів із забезпечення конфіденційності та безпеки. Ми регулярно перевіряємо, оцінюємо й аналізуємо ефективність її Програми захисту конфіденційності даних і Стандартів безпеки.

1. Конфіденційність. "Конфіденційність означає, що особисті дані захищені від несанкціонованого розголошення".  

Ми вживаємо різних фізичних і логічних заходів для захисту конфіденційності особистих даних наших клієнтів. Ці заходи передбачають наведене нижче.   

Підтримка фізичної безпеки  

• Наявність систем контролю фізичного доступу (контроль доступу до емблем, моніторинг подій безпеки тощо) 
• Системи спостереження, зокрема сигнали тривоги та, за потреби, відеонагляд
• Правила та заходи із забезпечення чистоти робочого місця (блокування комп’ютера, що лишається без нагляду, закриті шафи тощо)  
• Керування доступом відвідувачів
• Знищення даних на фізичних носіях і документів (подрібнення, розмагнічування тощо) 

Керування доступом і запобігання несанкціонованому доступу

• Застосовані обмеження доступу користувачів і дозволи на доступ на основі ролей, надані або переглянуті за принципом розподілу обов’язків
• Надійні методи автентифікації й авторизації (багатофакторна автентифікація, авторизація на основі сертифікатів, автоматична деактивація або вихід із системи тощо) 
• Централізоване керування паролями та правила надійних і складних паролів (мінімальна довжина, складність символів, термін дії паролів тощо)   
• Керований доступ до електронної пошти й Інтернету
• Керування антивірусними програмами
• Керування системою запобігання вторгненням

Шифрування  

• Шифрування зовнішньої та внутрішньої комунікації за допомогою надійних криптографічних протоколів
• Шифрування даних PII/SPII у стані спокою (бази даних, спільні каталоги тощо)   
• Шифрування всього диска для ПК і ноутбуків компанії
• Шифрування носіїв даних
• Віддалені підключення до мереж компанії шифруються за допомогою VPN
• Захист життєвого циклу ключів шифрування

Мінімізація даних

• Мінімізація даних PII/SPI у програмах, налагодження та журнали безпеки
• Псевдонімізація особистих даних для запобігання прямої ідентифікації особи
• Класифікація збережених даних за функцією (тестові, проміжні, інтерактивні)
• Логічна класифікація даних за правами доступу на основі ролей
• Визначені періоди збереження особистих даних

Перевірка безпеки

• Перевірка захисту від несанкціонованого доступу до найважливіших мереж і платформ компанії, на яких розміщуються особисті дані
• Регулярна перевірка мережі та пошук вразливостей

2. Цілісність. "Цілісність означає забезпечення правильності (недоторканності) даних і належного функціонування систем. Коли термін "цілісність" використовується у зв’язку з терміном "дані", він означає, що дані є повними та незміненими".  

Окрім елементів керування доступом, наявні також належні елементи керування змінами та журналами, щоб дають змогу зберігати цілісність особистих даних, наприклад:    

Керування змінами та випусками  

• Процес керування змінами та випусками включно з (аналізом впливу, схваленням, тестуванням, аналізом безпеки, групуванням, моніторингом тощо)  
• Надання доступу до виробничого середовища на основі ролей і функцій (розподіл обов’язків)

Журналювання та моніторинг

• Журналювання доступу до даних і внесення змін у них
• Централізовані журнали аудиту та безпеки
• Моніторинг повноти та правильності передавання даних (наскрізна перевірка)

3. Доступність. "Доступність послуг та ІТ-систем, комп’ютерних програм і функцій мережі ІТ або ІТ-інформації гарантується, якщо користувачі здатні завжди використовувати їх належним чином".    

Ми впроваджуємо відповідні заходи для забезпечення безперебійності та безпеки, щоб підтримувати доступність своїх служб і даних, розміщених у них.    

• Регулярні перевірки важливих служб на відновлення після відмови
• Інтенсивний моніторинг ефективності або доступності та звітність для критичних систем
• Програма реагування на інциденти
• Реплікація або резервне копіювання важливих даних (резервне копіювання в хмарі або на жорсткому диску, реплікація баз даних тощо) 
• Планове обслуговування програмного забезпечення, інфраструктури та засобів безпеки (оновлення програмного забезпечення, виправлення системи безпеки тощо)   
• Надлишкові та стійкі системи (серверні кластери, дзеркальні бази даних, налаштування високої доступності тощо) розташовано у віддалених і/або географічно розділених розташуваннях
• Використання джерел безперебійного живлення, резервного обладнання та мережевих систем
• Сигналізація, наявні системи безпеки
• Заходи фізичного захисту в критичних місцях (захист від перенапруг, фальшпідлоги, системи охолодження, детектори вогню та/або диму, системи пожежогасіння тощо) 
• Захист від DDOS-атак для підтримки доступності
• Перевірка стійкості та перевірка з навантаженням

4. Інструкції з обробки даних. "Інструкції з обробки даних передбачають, що особисті дані оброблятимуться лише відповідно до інструкцій контролера даних і відповідних заходів компанії"  

Щоб забезпечити обробку особистих даних відповідно до вподобань та інструкцій клієнтів, ми запровадили внутрішню політику конфіденційності, укладаємо з працівниками відповідні угоди та проводимо для них регулярні навчання з питань конфіденційності.   

• Умови захисту конфіденційності в договорах із працівниками
• Проведення регулярних навчань для працівників із дотримання конфіденційності та безпеки даних
• Включення відповідних положень в угоди із субпідрядниками з метою збереження прав на інструктивне керування
• Проведення регулярних перевірок дотримання конфіденційності сторонніми постачальниками послуг
• Надання клієнтам повного контролю над параметрами обробки даних
• Регулярні аудити безпеки