Защита персональных данных клиентов

Самые высокие требования к нам, как ни парадоксально, предъявляют клиенты — представители международных/иностранных компаний в России.

Для международных компаний важно соблюдение не только требований Российского законодательства, в частности, Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, но и крайне непростых международных норм и требований.

Особо строгой регламентации подвергается работа с гражданами ЕС, даже если они работают в российской компании в России. Например, нарушение европейского регламента GDPR грозит штрафом в 20 млн евро или 4% от годового оборота организации. И всё эт усложняется ещё и проведением штаб-квартирами заказчиков дополнительного аудита соблюдения требований общей компьютерной безопасности нас, как поставщика.

Если международная штаб-квартира настаивает на проведении такого аудита поставщиков, то заполнить все необходимые формы помогает следующая библиотека положений по безопасности, которыми в работе руководствуется TTISI в России и в мире:

GDPR
ISO 27001
Размещение серверов с персональными данными
Полный отказ от обработки персональных данных
ISMS
SOA
Privacy Statement, Российское дополнение к положению об охране персональных данных и Пользоваельское соглашение об использовании российского сайта ttisi.ru
PCI-DCC
ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ — соблюдение закона об охране персональных данных

Ссылка на это место страницы:

TTISI полностью соответствует европейским требованиям по работе с персональными данными:

cистема может автоматически уничтожать персональные данные (деперсонализировать, обезличивать оценку) через установленный времени, респондент может выбрать этот период из предложенных;
респондент может позднее зайти в систему и запросить удаление его персональных данных;

отчеты респондентов передаются по умолчанию в форме ссылки на скачивание (это рекомендуемая опция настройки доставки, хотя у вас есть возможность попросить нас настроить отправку отчета в форме готового файла в формате pdf на вашу электронную почту);
требования GDPR жестче, чем Российского ФЗ «О персональных данных» от N 152-ФЗ.

General Data Protection Regulation

Ссылка на это место страницы: #ISO

Скачать ISO 27001 сертификат TTISI

TTISI сертифицирована по ISO 27001.
Это основной из международных стандартов безопасности, разработан международной организацией по стандартизации (ISO — International Organization for Standardization).

Этот стандарт не только разъясняет, как защитить критичную информацию, но и как пройти сертификацию по ISO 27001.

Наличие такой сертификации говорит об ответственном отношении организации к безопасности данных, своих и клиентов.

Ссылка на это место страницы: #Размещение серверов

Аналогичный, но прямо противоположный подход следует применять в отношении сотрудников-граждан европейского сюза: даже если они работают в России, мы настоятельно рекомендуем выделять их в отдельный список и проводить их диагностику на сервере, размещенном на территории европейского союза — sisurvey.eu, как то предприсывают правила GDPR.

Перед началом заполнения психологических вопросников респонденту на сервере предъявляется форма для сбора персональных данных и подтверждения согласия на их сбор.

Стрелочкой мы отметили место, где упоминается
152-ФЗ РФ. По условиям любого договора с нами получение согласия на обработку персональных данных у сотрудников возложено на организацию заказчика, который заказывает у нас оценку своих сотрудников:

«5.7. Заказчик несет всю полноту ответственности за получение надлежащего (т.е. свободного, явного и информированного) согласия сотрудников и/или иных физических лиц на передачу, сбор, хранение и обработку своих персональных данных ООО „Триметрикс Солюшнс“

5.8. По запросу Исполнителя Заказчик в течение 2 (Двух) рабочих дней обязан направить Исполнителю документы, подтверждающие согласие сотрудников и/или иных физических лиц на обработку их персональных данных Исполнителем.»

Вы можете добавить любую дополнительную информацию к тексту согласия, направив нам его. До заполнения вышеуказанной формы он будет предъявлен сотруднику прямо на первой странице.

Ссылка на это место страницы: #Полный отказ

Совершенно по разным причинам службе безопасности вашей организации может показаться недостаточным вышеописанный комплекс мер по охране персональных данных. Это часто происходит с организациями, имеющими долю государственного участия, выдвигающими особые требования по безопасности.

В таком случае мы рекомендуем выдать вашим сотрудникам код, который заменит имя и фамилию респондента в анкете. Позаботьтесь также о том, чтобы респонденты указывали единый электронный адрес, например, вашего HR и не указывали никаких своих личных или рабочих электронных адресов. Попросите респондентов также не указывать название места работы и названия должности.

Таким образом персональные данные не будут предоставлены, а значит и охранять их не придется. Минус такой процедуры в том, что в отчете на месте имени будет присутствовать код, и никто кроме самого HR не сможет идентифицировать респондента.

Мы прописывам с клиентом в договоре следующие положения:

«Доступ к электронному индивидуальному ассессменту Слушателей осуществляется путем предоставления Заказчику по электронной почте кодов доступа к ассессменту и ссылки на веб-сайт, где производится тестирование. Вместо указания персональных данных сотрудник должен быть извещен Заказчиком о том, что ему необходимо вместо своих персональных данных ввести в форму анкетирования указанный сотруднику Заказчиком электронный адрес и персональный шифр, которые будут известны только Заказчику и оцениваемому, но не Исполнителю, тем самым, исключая проблемы, связанные с хранением, обработкой и передачей персональных данных. Данный шифр должен быть нанесен Исполнителем на каждый лист отчета. Отчеты предоставляются только Заказчику.»

Ссылка на это место страницы: #ISMS

Скачать руководство

Руководство по информационной безопасности (ISMS — Information Security Management System Manual).

Определяет правила и процедуры, введенные руководством TTI Success Insights Holdings (TTI)
для создания системы управления информационной безопасностью в соответствии с ISO/IEC 27001:2013 («the ISMS»).

Ссылка на это место страницы: #SOA

Декларация сценариев применения (SOA — Statement of Applicability).

Содержит перечень предписаний и мер контроля по управлению рисками со стороны TTISI и третьих сторон.

Скачать SOA

Ссылка на это место страницы: #Privacy Statement

Положение об обработке персональных данных определяет то, как TTISI собирает, обрабатывает, хранит и передает персональные данные, когда речь идет о сайтах и сетевых ресурсах. Подробнее здесь.

В дополнение к международному положению, TTISI Россия имеет дополнительное положение об обработке персональных данных, адаптированное под российское законодательство и определяющее отношения с пользователями Российских ресурсов и Пользовательское соглашение по работе с Российским сайтом.

Ссылка на это место страницы: #PCI-DCC

The Payment Card Industry Data Security Standard (PCI DSS) — стандарт по обеспечению безопасности расчетов через кредитные карты — включает протоколы безопасности, определенные в 2004 операторами Visa, MasterCard, Discover Financial Services, JCB International и American Express. TTISI Global сертифицирована по этим стандартам.

TTISI Россия использует для оплаты физлицами с помощью кредитных карт надежную платежную систему «Ю-касса» (в прошлом «Яндекс деньги»). Мы не храним данные кредитных карт покупателей, их обработка производится исключительно платежной системой и банком без нашего участия.

Ссылка на это место страницы: #ФЗ РФ

Мы соблюдаем федеральный закон N 152 «О персональных данных» от 27.07.2006 , предупреждая пользователей наших ресурсов о порядке сбора, передачи, хранения, извлечения, обезличивания, удаления их персональных данных, всегда запрашиваем подтверждение согласия пользователей и удовлетворяем их запросы на уничтожение предоставленных ими персональных данных, храним данные российских респондентов на сервере, расположенном на территории Российской Федерации. Разъяснения и ссылки на соответствующие документы были приведены выше.

Кроме того, наши сотрудники проходят специализированное обучение по охране персональных данных и правилам охраны компьютерной информации. С поставщиками или третьими лицами, которые получают доступ к персональным данным, мы заключаем соответствующие соглашения. Критичная информация и персональные данные в частности хранятся и передаются только в зашифрованном виде.

Если у вас остались вопросы по защите персональных данных или вы хотите узнать как применить инструменты TTISI в бизнесе и жизни, спрашивайте, мы ответим как можно быстрее.