Безопасность данных

1. По каких каналам будут передавать записи?

Записи будут передаваться по защищенным каналам передачи данных, которые включают использование шифрования для защиты данных во время их передачи. В частности, используются виртуальные частные сети (VPN) и протоколы шифрования TLS для обеспечения безопасности при передаче данных между серверами и клиентскими устройствами. Также применяется шифрование на уровне приложений, что обеспечивает защиту данных на всех этапах их передачи.

2. Где будут храниться данные?

Данные будут храниться в облачной инфраструктуре Yandex Cloud, которая соответствует требованиям Федерального закона 152-ФЗ о персональных данных и имеет аттестат соответствия требованиям по защите информации. Это гарантирует соответствие высоким стандартам безопасности и надежности хранения данных. Кроме того, Yandex Cloud обеспечивает все необходимые средства защиты информации, подтвержденные сертификатами соответствия.

3. Каким образом защищены каналы передачи данных?

Каналы передачи данных защищены с использованием шифрования TLS (Transport Layer Security), что обеспечивает конфиденциальность и целостность передаваемых данных. Также используются виртуальные частные сети (VPN), которые создают защищенные туннели для передачи данных между удаленными серверами и клиентами. Применяются сертифицированные средства защиты, такие как сертифицированные фаерволы и системы обнаружения и предотвращения вторжений (IPS/SIEM системы), что позволяет обеспечивать высокий уровень безопасности каналов передачи данных.

4. В каком виде будут храниться записи?

Записи удаляются сразу после обработки. Пока они обрабатываются будут храниться в зашифрованном виде. Используется шифрование на уровне файловой системы и базы данных, что обеспечивает защиту данных при их хранении. Кроме того, применяются механизмы контроля доступа, которые гарантируют, что доступ к данным имеют только авторизованные пользователи. В Yandex Cloud данные хранятся с использованием распределенных систем хранения, что обеспечивает их надежность и отказоустойчивость.

5. Как организована защита данных с точки зрения ИБ?

Защита данных организована путем применения комплекса правовых, организационных и технических мер. Включает следующие меры:

- Использование сертифицированных средств защиты информации, таких как фаерволы и системы обнаружения вторжений.

- Шифрование данных как при передаче, так и при хранении.

- Назначение ответственных лиц за безопасность персональных данных и управление ИТ-рисками.

- Реализация политик и регламентов по информационной безопасности, таких как политика обработки персональных данных и модель нарушителя.

- Проведение регулярных аудитов и аттестаций информационных систем.

- Внедрение механизмов резервного копирования и восстановления данных.

- Контроль доступа к данным и мониторинг активности пользователей.

6. Как будут уничтожаться данные после истечения срока хранения?

После истечения срока хранения данные будут уничтожаться с использованием сертифицированных методов удаления данных, которые включают физическое уничтожение носителей информации и программное уничтожение данных путем многократного перезаписи с использованием специальных алгоритмов. Процедура уничтожения данных регламентирована внутренними нормативными документами компании и проводится в соответствии с требованиями законодательства.

7. Как и кем (чем) регламентируются доступы к этим данным со стороны подрядчика?

Доступы к данным со стороны подрядчика регламентируются внутренними политиками информационной безопасности компании и договорными обязательствами. В соответствии с политикой информационной безопасности и политикой обработки персональных данных, доступ к данным предоставляется только тем сотрудникам подрядчика, которые непосредственно участвуют в выполнении работ по договору и прошли процедуру авторизации. Все действия с данными регистрируются и контролируются, что обеспечивает учет и контроль доступа. Регламенты доступа включают в себя ограничения по времени и уровню доступа, а также процедуры проверки и обновления прав доступа.