Сведения о мерах по обеспечению безопасности персональных данных

ООО «Ингрид»

1. Общие положения

Настоящий документ содержит сведения о применяемых в ООО «Ингрид» организационных и технических мерах по обеспечению безопасности персональных данных, обрабатываемых при работе с сайтами ingrid-kld.ru и cabinet.ingrid-kld.ru.

2. Ответственные лица

  • Ответственное лицо за обработку персональных данных: должность (указать ФИО при необходимости).
  • Контакт для обращений по вопросам ПДн: tech@ingrid-kld.ru.

3. Организационные меры

  • Назначение ответственного за обработку и защиту персональных данных.
  • Разграничение прав доступа сотрудников к информационным системам на основании служебных обязанностей.
  • Регламентация процедур выдачи и уничтожения допусков к ПДн, ведение журналов доступа.
  • Проведение регулярных инструктажей и обучения сотрудников по вопросам безопасности ПДн.
  • Оформление договоров с обработчиками, предусматривающих ответственность за защиту ПДн.

4. Технические меры

  • Использование защищённых каналов передачи данных (SSL/TLS) на всех публичных страницах и формах.
  • Хранение баз данных на серверах, физически находящихся на территории Российской Федерации.
  • Разграничение доступа к административным панелям и базам данных; индивидуальные учётные записи для администраторов.
  • Хеширование паролей с использованием стойких алгоритмов (bcrypt/argon2 или аналогичные).
  • Использование фаерволов, антивирусного ПО и систем обнаружения вторжений.
  • Резервное копирование баз данных и периодическое тестирование восстановления.
  • Мониторинг и логирование действий администраторов и критических событий безопасности.

5. Меры при работе с метрикой «Спутник»

  • Сбор данных метрикой осуществляется только после информирования пользователя и/или получения его согласия.
  • Доступ к собранным метрикам ограничен уполномоченными сотрудниками для аналитики и улучшения качества сервиса.
  • Данные метрики не связываются с паспортной информацией и хранятся с применением необходимых мер защиты.

6. Порядок обработки инцидентов

  • Регистрация и расследование инцидентов утраты или разглашения ПДн.
  • Уведомление ответственных лиц и, при необходимости, надзорных органов в соответствии с требованиями законодательства.
  • Принятие корректирующих мер и фиксация результатов проверки.

7. Сроки хранения и уничтожения

Сроки хранения персональных данных установлены внутренними регламентами и сведениями, указанными в Политике обработки персональных данных. Уничтожение носителей с ПДн осуществляется в соответствии с регламентом и документируется.

8. Контакты

По всем вопросам, связанным с обработкой и защитой персональных данных, обращайтесь: tech@ingrid-kld.ru.

Документ опубликован в открытом доступе на сайте и доступен по ссылке.