Самые высокие требования к нам, как ни парадоксально, предъявляют клиенты — представители международных/иностранных компаний в России.

Для международных компаний важно соблюдение не только требований Российского законодательства, в частности, Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, но и крайне непростых международных норм и требований.

Особо строгой регламентации подвергается работа с гражданами ЕС, даже если они работают в российской компании в России. Например, нарушение европейского регламента GDPR грозит штрафом в 20 млн евро или 4% от годового оборота организации. И всё эт усложняется ещё и проведением штаб-квартирами заказчиков дополнительного аудита соблюдения требований общей компьютерной безопасности нас, как поставщика.

Если международная штаб-квартира настаивает на проведении такого аудита поставщиков, то заполнить все необходимые формы помогает следующая библиотека положений по безопасности, которыми в работе руководствуется TTISI в России и в мире:

  1. GDPR
  2. ISO 27001
  3. Размещение серверов с персональными данными
  4. Полный отказ от обработки персональных данных
  5. ISMS
  6. SOA
  7. Privacy Statement, Российское дополнение к положению об охране персональных данных и Пользоваельское соглашение об использовании российского сайта ttisi.ru
  8. PCI-DCC
  9. ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ — соблюдение закона об охране персональных данных
Ссылка на это место страницы: #GDPR

TTISI полностью соответствует европейским требованиям по работе с персональными данными:

  • cистема может автоматически уничтожать персональные данные (деперсонализировать, обезличивать оценку) через установленный времени, респондент может выбрать этот период из предложенных;
  • респондент может позднее зайти в систему и запросить удаление его персональных данных;
  • отчеты респондентов передаются по умолчанию в форме ссылки на скачивание (это рекомендуемая опция настройки доставки, хотя у вас есть возможность попросить нас настроить отправку отчета в форме готового файла в формате pdf на вашу электронную почту);
  • требования GDPR жестче, чем Российского ФЗ «О персональных данных» от N 152-ФЗ.


    Ссылка на это место страницы: #ISO

    TTISI сертифицирована по ISO 27001.
    Это основной из международных стандартов безопасности, разработан международной организацией по стандартизации (ISO — International Organization for Standardization).

    Этот стандарт не только разъясняет, как защитить критичную информацию, но и как пройти сертификацию по ISO 27001.

    Наличие такой сертификации говорит об ответственном отношении организации к безопасности данных, своих и клиентов.

    Ссылка на это место страницы: #Размещение серверов


    Аналогичный, но прямо противоположный подход следует применять в отношении сотрудников-граждан европейского сюза: даже если они работают в России, мы настоятельно рекомендуем выделять их в отдельный список и проводить их диагностику на сервере, размещенном на территории европейского союза — sisurvey.eu, как то предприсывают правила GDPR.


    Перед началом заполнения психологических вопросников респонденту на сервере предъявляется форма для сбора персональных данных и подтверждения согласия на их сбор.


    Стрелочкой мы отметили место, где упоминается
    152-ФЗ РФ. По условиям любого договора с нами получение согласия на обработку персональных данных у сотрудников возложено на организацию заказчика, который заказывает у нас оценку своих сотрудников:


    «5.7. Заказчик несет всю полноту ответственности за получение надлежащего (т.е. свободного, явного и информированного) согласия сотрудников и/или иных физических лиц на передачу, сбор, хранение и обработку своих персональных данных ООО „Триметрикс Солюшнс“

    5.8. По запросу Исполнителя Заказчик в течение 2 (Двух) рабочих дней обязан направить Исполнителю документы, подтверждающие согласие сотрудников и/или иных физических лиц на обработку их персональных данных Исполнителем.»


    Вы можете добавить любую дополнительную информацию к тексту согласия, направив нам его. До заполнения вышеуказанной формы он будет предъявлен сотруднику прямо на первой странице.

    Ссылка на это место страницы: #Полный отказ

    Совершенно по разным причинам службе безопасности вашей организации может показаться недостаточным вышеописанный комплекс мер по охране персональных данных. Это часто происходит с организациями, имеющими долю государственного участия, выдвигающими особые требования по безопасности. 


    В таком случае мы рекомендуем выдать вашим сотрудникам код, который заменит имя и фамилию респондента в анкете. Позаботьтесь также о том, чтобы респонденты указывали единый электронный адрес, например, вашего HR и не указывали никаких своих личных или рабочих электронных адресов. Попросите респондентов также не указывать название места работы и названия должности. 


    Таким образом персональные данные не будут предоставлены, а значит и охранять их не придется. Минус такой процедуры в том, что в отчете на месте имени будет присутствовать код, и никто кроме самого HR не сможет идентифицировать респондента.

    Мы прописывам с клиентом в договоре следующие положения:

    «Доступ к электронному индивидуальному ассессменту Слушателей осуществляется путем предоставления Заказчику по электронной почте кодов доступа к ассессменту и ссылки на веб-сайт, где производится тестирование. Вместо указания персональных данных сотрудник должен быть извещен Заказчиком о том, что ему необходимо вместо своих персональных данных ввести в форму анкетирования указанный сотруднику Заказчиком электронный адрес и персональный шифр, которые будут известны только Заказчику и оцениваемому, но не Исполнителю, тем самым, исключая проблемы, связанные с хранением, обработкой и передачей персональных данных. Данный шифр должен быть нанесен Исполнителем на каждый лист отчета. Отчеты предоставляются только Заказчику.»

    Ссылка на это место страницы: #ISMS


    Руководство по информационной безопасности (ISMS — Information Security Management System Manual).

    Определяет правила и процедуры, введенные руководством TTI Success Insights Holdings (TTI)
    для создания системы управления информационной безопасностью в соответствии с ISO/IEC 27001:2013 («the ISMS»).

    Ссылка на это место страницы: #SOA


    Декларация сценариев применения (SOA — Statement of Applicability).

    Содержит перечень предписаний и мер контроля по управлению рисками со стороны TTISI и третьих сторон.

    Ссылка на это место страницы: #Privacy Statement

    Положение об обработке персональных данных определяет то, как TTISI собирает, обрабатывает, хранит и передает персональные данные, когда речь идет о сайтах и сетевых ресурсах. Подробнее здесь.

    В дополнение к международному положению, TTISI Россия имеет дополнительное положение об обработке персональных данных, адаптированное под российское законодательство и определяющее отношения с пользователями Российских ресурсов и Пользовательское соглашение по работе с Российским сайтом.

    Ссылка на это место страницы: #PCI-DCC


    The Payment Card Industry Data Security Standard (PCI DSS) — стандарт по обеспечению безопасности расчетов через кредитные карты — включает протоколы безопасности, определенные в 2004 операторами Visa, MasterCard, Discover Financial Services, JCB International и American Express. TTISI Global сертифицирована по этим стандартам.


    TTISI Россия использует для оплаты физлицами с помощью кредитных карт надежную платежную систему «Ю-касса» (в прошлом «Яндекс деньги»). Мы не храним данные кредитных карт покупателей, их обработка производится исключительно платежной системой и банком без нашего участия.

    Ссылка на это место страницы: #ФЗ РФ

    Мы соблюдаем федеральный закон N 152 «О персональных данных» от 27.07.2006 , предупреждая пользователей наших ресурсов о порядке сбора, передачи, хранения, извлечения, обезличивания, удаления их персональных данных, всегда запрашиваем подтверждение согласия пользователей и удовлетворяем их запросы на уничтожение предоставленных ими персональных данных, храним данные российских респондентов на сервере, расположенном на территории Российской Федерации. Разъяснения и ссылки на соответствующие документы были приведены выше.

    Кроме того, наши сотрудники проходят специализированное обучение по охране персональных данных и правилам охраны компьютерной информации. С поставщиками или третьими лицами, которые получают доступ к персональным данным, мы заключаем соответствующие соглашения. Критичная информация и персональные данные в частности хранятся и передаются только в зашифрованном виде.

    Если у вас остались вопросы по защите персональных данных или вы хотите узнать как применить инструменты TTISI в бизнесе и жизни, спрашивайте, мы ответим как можно быстрее.

    Информационные продукты на данной странице рассчитаны на возраст 18+