Как предотвратить утечку данных и защититься от DDos-атак

1. ВВЕДЕНИЕ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», «Положением об особенностях обработки персональных данных», «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 01.11.2012г. № 1119, и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.2. Основные понятия, используемые в Политике:

— Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

— Субъект персональных данных – физическое лицо (и/или ИП), которое прямо или косвенно определено или определяемо с помощью персональных данных:

— любое физ.лицо (ИП), с которым у ООО «ВЦ ВИЗАРД-С» имеются те или иные договорные отношения гражданско-правового характера.

— работники ООО «ВЦ ВИЗАРД-С», находящиеся в трудовых отношениях с ООО «ВЦ ВИЗАРД-С», а также приравненные к ним физические лица, с которыми ООО «ВЦ ВИЗАРД-С» имеет прямые или опосредованные отношения.

— Пользователь сайта (далее – «Пользователь»)— лицо, имеющее доступ к сайту посредством сети Интернет и использующее https://wizard-c.ru/.

— Соискатели – физические лица, претендующие на свободную вакансию в компании, и заявившие о своем желании тем или иным способом: отправкой резюме, телефонным звонком, личным посещением организации.

— Сайт — официальный ООО «ВЦ ВИЗАРД-С» (https://wizard-c.ru/).

— Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление ООО «ВЦ ВИЗАРД-С», которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

— Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Здесь и далее под Оператором понимается ООО «ВЦ ВИЗАРД-С».

— Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

-Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

— Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

— Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика (далее – Политика) определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «ВЦ ВИЗАРД-С». (далее – «Общество») и на Сайте с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.

2.1. Настоящая политика характеризуется следующими признаками:

• Раскрывает способы и принципы обработки персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также включает требования, реализуемые Обществом в целях обеспечения безопасности персональных данных при их обработке.

• Является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке и защите персональных данных.

2.2. Предоставление персональных данных Субъектом Обществу (в том числе использование Сайта Пользователем) означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Субъекта. Дополнительно: В случае несогласия с условиями Политики конфиденциальности Пользователь сайта должен прекратить использование Сайта.

3. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ВЦ ВИЗАРД-С».

3.1. Политика обработки персональных данных в Обществе определяется в соответствии со следующими нормативными правовыми актами:

• Трудовой кодекс Российской Федерации;

• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

• Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

• Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных Субъектов в соответствии с действующим Законодательством (п.3 настоящей Политики).

4.2. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

• законности и справедливой основы;

• ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

• обработки только тех персональных данных, которые отвечают целям их обработки;

• соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

• недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

• обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

• уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3. Персональные данные обрабатываются в Обществе в целях, на следующих основаниях с применением следующих действий и способов:

№ 4**:

Цель обработки данных: Подбор персонала (соискателей) на вакантные должности оператора

Категории персональных данных

Персональные данные

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

Категории субъектов, персональные данные которых обрабатываются:

Соискатели;

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Перечень действий: сбор; систематизация; накопление; хранение; использование; уничтожение;

Способы обработки:

смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;

№ 6**:

Цель обработки данных: Подготовка, заключение и исполнение гражданско-правового договора

Категории персональных данных

Персональные данные

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; сведения об образовании;

Категории субъектов, персональные данные которых обрабатываются:

Контрагенты; Представители контрагентов; Клиенты; Посетители сайта; Выгодоприобретатели по договорам; Законные представители;

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;; обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; заключение договоров на оказание или выполнение услуг

Перечень действий:

сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;

Способы обработки:

смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;

№7**:

Предоставление доступа к онлайн-сервисам

Категории персональных данных

Персональные данные

фамилия, имя, отчество; адрес электронной почты; номер телефона; сведения, собираемые посредством метрических программ.

Категории субъектов, персональные данные которых обрабатываются:

Посетители сайта;

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Перечень действий:

сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение;

Способы обработки:

автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;

4.4. Обработка персональных данных в Обществе осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям;

• смешанная обработка персональных данных.

4.5. Общество защищает Данные, которые необходимы для достижения целей и для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

4.6. Любая иная персональная информация неоговоренная выше подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. настоящей Политики конфиденциальности.

4.7. При обработке (в т.ч. хранении) персональных данных трансграничная передача данных не осуществляется, криптографические средства не используются.

4.8. Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:

Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства.

средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных; в наличии запираемый шкаф (для хранения носителей информации с персональными данными).

4.9. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

4.10. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

4.11. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

5. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

Сроки хранения документов (в т.ч. в электронном виде), содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора (при наличии такового; при к договору также приравниваются отношения Общества с пользователем сайта Общества) с субъектом персональных данных, Федеральным законом РФ «Об архивном деле в Российской Федерации» № 125- ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению (в соответствии с «Положением об уничтожении персональных данных», действующем в Обществе).

Кроме того, сроки обработки и хранения персональных данных клиентов и контрагентов Общества, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных:

— персональные данные, обрабатываемые в рамках исполнения договоров, обрабатываются в течении срока действия договора и три года после его исполнения для защиты прав в случае предъявления иска в связи с исполнением договора.

— договоры и дополнительные соглашения к ним пять лет после истечения срока действия договора согласно статьи 436, 440 «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утв. Приказом Минкультуры России от 25.08.2010 N 558.

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Обществом.

6.2. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Общество. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

6.4. Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

6.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7. СВЕДЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМИ ПРАВИТЕЛЬСТВОМ РФ:

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: В соответствии с постановлением Правительства от 01.11.2012 № 1119 для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе: обеспечена безопасность помещений, в которых размещена информационная система; обеспечена сохранность носителей персональных данных;

утвержден перечень лиц. доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; назначено должностное лицо, ответственный за обеспечение безопасности персональных данных в информационной системе. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц, осуществляющих обработку персональных данных

Сайт использует Яндекс Метрику и Cookie:

Используется сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс).

Сервис Яндекс Метрика использует технологию “cookie” — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

Собранная при помощи cookie информация не может идентифицировать вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании вами данного сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в соответствии с Законодательством Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса Яндекс Метрика.

Пользователь сайта (далее – «Пользователь») может отказаться от использования cookies, выбрав соответствующие настройки в браузере, а также использовать инструмент — https://yandex.ru/support/metrika/general/opt-out.html. Однако это может повлиять на работу некоторых функций сайта. Используя этот сайт, Пользователь соглашается на обработку данных о Пользователя Яндексом в порядке и целях, указанных выше

Конфиденциальность размещенных на сайте ссылок на те или иные информационные ресурсы регламентируется Политикой информационного ресурса, на который переходит Пользователь по такой ссылке

8. ЗАКЛЮЧЕНИЕ

Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. Ответственность работников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российский Федерации

*С полной версией Политики Вы можете ознакомиться в офисе Общества по адресу: 170006, г. Тверь, ул. Учительская, д.59.

**Нумерация соответствует Уведомлению об обработке персональных данных, направленного ООО «ВЦ ВИЗАРД-С» в Роскомнадзор.