Требования по безопасности
Как TTISI соблюдает законодательство об охране персональных данных и заботится о защите информации клиентов.
Самые высокие требования к нам, как ни парадоксально, предъявляют клиенты — представители международных/иностранных компаний в России.
Для международных компаний важно соблюдение не только требований Российского законодательства, в частности, Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, но и крайне непростых международных норм и требований.
Особо строгой регламентации подвергается работа с гражданами ЕС, даже если они работают в российской компании в России. Например, нарушение европейского регламента GDPR грозит штрафом в 20 млн евро или 4% от годового оборота организации. И всё эт усложняется ещё и проведением штаб-квартирами заказчиков дополнительного аудита соблюдения требований общей компьютерной безопасности нас, как поставщика.
Если международная штаб-квартира настаивает на проведении такого аудита поставщиков, то заполнить все необходимые формы помогает следующая библиотека положений по безопасности, которыми в работе руководствуется TTISI в России и в мире:
- GDPR
- ISO 27001
- Размещение серверов с персональными данными
- Полный отказ от обработки персональных данных
- ISMS
- SOA
- Privacy Statement, Российское дополнение к положению об охране персональных данных и Пользоваельское соглашение об использовании российского сайта ttisi.ru
- PCI-DCC
- ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ — соблюдение закона об охране персональных данных
1. GDPR
TTISI полностью соответствует европейским требованиям по работе с персональными данными:
- cистема может автоматически уничтожать персональные данные (деперсонализировать, обезличивать оценку) через установленный период времени, респондент может выбрать этот период из предложенных;
- респондент может позднее зайти в систему и запросить удаление его персональных данных;
- отчеты респондентов передаются по умолчанию в форме ссылки на скачивание (это рекомендуемая опция настройки доставки, хотя у вас есть возможность попросить нас настроить отправку отчета в форме готового файла в формате pdf на вашу электронную почту);
- требования GDPR жестче, чем Российского ФЗ «О персональных данных» от N 152-ФЗ.
2. ISO 27001
TTISI сертифицирована по ISO 27001.
Это основной из международных стандартов безопасности, разработан международной организацией по стандартизации (ISO — International Organization for Standardization).
Этот стандарт не только разъясняет, как защитить критичную информацию, но и как пройти сертификацию по ISO 27001.
Наличие такой сертификации говорит об ответственном отношении организации к безопасности данных, своих и клиентов.
3. Размещение серверов
Для диагностики Российских граждан используется сервер ttisurvey.ru, который обрабатывает персональные данные, и который размещен на территории Российской Федерации в г.Москве, как то предписывает 152-ФЗ РФ. Место размещения вы можете проверить сами с помощью любого сервиса, подобного этому.
Аналогичный, но прямо противоположный подход следует применять в отношении сотрудников-граждан европейского сюза: даже если они работают в России, мы настоятельно рекомендуем выделять их в отдельный список и проводить их диагностику на сервере, размещенном на территории европейского союза — sisurvey.eu, как то предприсывают правила GDPR.
Согласие на сбор персональных данных
Перед началом заполнения психологических вопросников респонденту на сервере предъявляется форма для сбора персональных данных и подтверждения согласия на их сбор.
Стрелочкой мы отметили место, где упоминается
152-ФЗ РФ. По условиям любого договора с нами получение согласия на обработку персональных данных у сотрудников возложено на организацию заказчика, который заказывает у нас оценку своих сотрудников:
«5.7. Заказчик несет всю полноту ответственности за получение надлежащего (т.е. свободного, явного и информированного) согласия сотрудников и/или иных физических лиц на передачу, сбор, хранение и обработку своих персональных данных ООО „Триметрикс Солюшнс“
5.8. По запросу Исполнителя Заказчик в течение 2 (Двух) рабочих дней обязан направить Исполнителю документы, подтверждающие согласие сотрудников и/или иных физических лиц на обработку их персональных данных Исполнителем.»
Вы можете добавить любую дополнительную информацию к тексту согласия, направив нам его. До заполнения вышеуказанной формы он будет предъявлен сотруднику прямо на первой странице.
Обратите, пожалуйста, внимание на абзац, выделенный голубым цветом и стрелкой выше: серверы обслуживают иностранные специалисты, что в отдельних ситуациях может вызывать трансграничную передачу персональных данных отдельных респондентов. О чем 152-ФЗ РФ требует предупреждения, дающих согласие. Поэтому в некоторых случаях службы безопасности некоторых российских организаций против такой обработки персональных данных.
В следующем пункте мы предлагаем решение для таких ситуаций или когда по любым иным причинам вам следует проявить дополнительную осмотрительность.
4. Полный отказ от обработки персональных данных
Совершенно по разным причинам службе безопасности вашей организации может показаться недостаточным вышеописанный комплекс мер по охране персональных данных. Это часто происходит с организациями, имеющими долю государственного участия, выдвигающими особые требования по безопасности.
В таком случае мы рекомендуем выдать вашим сотрудникам код, который заменит имя и фамилию респондента в анкете. Позаботьтесь также о том, чтобы респонденты указывали единый электронный адрес, например, вашего HR и не указывали никаких своих личных или рабочих электронных адресов. Попросите респондентов также не указывать название места работы и названия должности.
Таким образом персональные данные не будут предоставлены, а значит и охранять их не придется. Минус такой процедуры в том, что в отчете на месте имени будет присутствовать код, и никто кроме самого HR не сможет идентифицировать респондента.
Мы прописывам с клиентом в договоре следующие положения:
«Доступ к электронному индивидуальному ассессменту Слушателей осуществляется путем предоставления Заказчику по электронной почте кодов доступа к ассессменту и ссылки на веб-сайт, где производится тестирование. Вместо указания персональных данных сотрудник должен быть извещен Заказчиком о том, что ему необходимо вместо своих персональных данных ввести в форму анкетирования указанный сотруднику Заказчиком электронный адрес и персональный шифр, которые будут известны только Заказчику и оцениваемому, но не Исполнителю, тем самым, исключая проблемы, связанные с хранением, обработкой и передачей персональных данных. Данный шифр должен быть нанесен Исполнителем на каждый лист отчета. Отчеты предоставляются только Заказчику.»
5. ISMS
Руководство по информационной безопасности (ISMS — Information Security Management System Manual).
Определяет правила и процедуры, введенные руководством TTI Success Insights Holdings (TTI)
для создания системы управления информационной безопасностью в соответствии с ISO/IEC 27001:2013 («the ISMS»).
6. SOA
Декларация сценариев применения (SOA — Statement of Applicability).
Содержит перечень предписаний и мер контроля по управлению рисками со стороны TTISI и третьих сторон.
7. Privacy Statement
Положение об обработке персональных данных определяет то, как TTISI собирает, обрабатывает, хранит и передает персональные данные, когда речь идет о сайтах и сетевых ресурсах. Подробнее здесь.
В дополнение к международному положению, TTISI Россия имеет дополнительное положение об обработке персональных данных, адаптированное под российское законодательство и определяющее отношения с пользователями Российских ресурсов и Пользовательское соглашение по работе с Российским сайтом.
8. PCI-DCC
The Payment Card Industry Data Security Standard (PCI DSS) — стандарт по обеспечению безопасности расчетов через кредитные карты — включает протоколы безопасности, определенные в 2004 операторами Visa, MasterCard, Discover Financial Services, JCB International и American Express. TTISI Global сертифицирована по этим стандартам.
TTISI Россия использует для оплаты физлицами с помощью кредитных карт надежную платежную систему «Ю-касса» (в прошлом «Яндекс деньги»). Мы не храним данные кредитных карт покупателей, их обработка производится исключительно платежной системой и банком без нашего участия.
9. Федеральный закон РФ «О персональных данных» №152-ФЗ
Мы соблюдаем федеральный закон N 152 «О персональных данных» от 27.07.2006 , предупреждая пользователей наших ресурсов о порядке сбора, передачи, хранения, извлечения, обезличивания, удаления их персональных данных, всегда запрашиваем подтверждение согласия пользователей и удовлетворяем их запросы на уничтожение предоставленных ими персональных данных, храним данные российских респондентов на сервере, расположенном на территории Российской Федерации. Разъяснения и ссылки на соответствующие документы были приведены выше.
Кроме того, наши сотрудники проходят специализированное обучение по охране персональных данных и правилам охраны компьютерной информации. С поставщиками или третьими лицами, которые получают доступ к персональным данным, мы заключаем соответствующие соглашения. Критичная информация и персональные данные в частности хранятся и передаются только в зашифрованном виде.
Если у вас остались вопросы по защите персональных данных или вы хотите узнать как применить инструменты TTISI в бизнесе и жизни, спрашивайте, мы ответим как можно быстрее.
Информационные продукты на данной странице рассчитаны на возраст 18+