Политика безопасности персональных данных
Дата вступления в силу: 01.01.2020 г.
Версия: 1.0
Настоящий документ определяет политику ООО «Сенат А» (далее – «Оператор») в области обеспечения безопасности персональных данных (ПДн) при их обработке в информационной системе сайта https://orto76.ru/ (далее – «Сайт»). Документ является неотъемлемой частью Политики обработки персональных данных и Публичной оферты.
1. Общие положения
1.1. Нормативная база
Настоящая Политика безопасности разработана в соответствии с:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»;
- Приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
1.2. Цель
Предотвращение утечки, уничтожения, искажения, блокирования, копирования, предоставления, распространения персональных данных, а также иных несанкционированных действий при их обработке.
1.3. Основные угрозы безопасности ПДн
- Несанкционированный доступ (НСД) со стороны злоумышленников (внешние и внутренние атаки);
- Утечка через каналы связи или съёмные носители;
- Воздействие вредоносного ПО (вирусы, трояны, программы-шпионы);
- Технические сбои и отказы оборудования;
- Ошибки персонала (человеческий фактор).
2. Перечень мер по защите персональных данных
Оператор реализует следующие меры, предусмотренные ст. 19 152-ФЗ:
2.1. Организационные меры
| № | Мера | Описание |
|---|---|---|
| 1 | Назначение ответственного за обработку ПДн | Приказом генерального директора назначено лицо, отвечающее за организацию обработки и обеспечение безопасности ПДн. |
| 2 | Локальные нормативные акты | Утверждены: перечень лиц, имеющих доступ к ПДн; правила обработки ПДн; инструкция по действиям при инцидентах. |
| 3 | Допуск сотрудников | Сотрудники, обрабатывающие ПДн, подписывают обязательство о неразглашении. Доступ предоставляется только по служебной необходимости. |
| 4 | Обучение и контроль | Проводится вводный инструктаж по безопасности ПДн, периодические проверки знаний. |
| 5 | Учёт машинных носителей | Все носители (жёсткие диски, флешки) с ПДн учитываются, хранятся в опечатываемых сейфах. |
2.2. Технические меры
| № | Мера | Реализация |
|---|---|---|
| 1 | Защита от НСД | Использование межсетевого экрана (firewall) на уровне хостинга; блокировка портов, не используемых для работы сайта. |
| 2 | Аутентификация и контроль доступа | Доступ к административной панели OpenCart — по сложному паролю (мин. 12 символов, цифры, спецсимволы). Двухфакторная аутентификация (по требованию). |
| 3 | Антивирусная защита | Регулярное обновление антивирусных баз на сервере и рабочих станциях. Периодическое сканирование. |
| 4 | Шифрование каналов связи | Использование протокола HTTPS (SSL/TLS сертификат) для всех страниц сайта, включая формы заказа и личный кабинет. |
| 5 | Защита от атак на веб-приложения | Web Application Firewall (WAF) на уровне хостинг-провайдера; фильтрация SQL-инъекций, XSS, CSRF. |
| 6 | Резервное копирование | Ежедневное резервное копирование баз данных (в т.ч. ПДн) на отдельный защищённый сервер. Копии хранятся 30 дней. |
| 7 | Журналирование событий | Логирование всех действий с ПДн (доступ, изменение, удаление). Журналы хранятся 1 год. |
| 8 | Обновление ПО | Своевременная установка обновлений безопасности для OpenCart, PHP, MySQL, серверной ОС. |
| 9 | Обезличивание ПДн | При передаче данных для статистики (Яндекс.Метрика) IP-адреса обезличиваются (маскировка последних октетов). |
2.3. Физическая защита
| № | Мера | Описание |
|---|---|---|
| 1 | Контроль доступа в помещения | Серверное оборудование размещено в дата-центре с ограниченным доступом (хостинг-провайдер). Офисные помещения оборудованы замками и видеонаблюдением. |
| 2 | Уничтожение документов | Документы на бумажных носителях, содержащие ПДн, уничтожаются с помощью шредера. |
3. Порядок действий при инцидентах
3.1. Инцидент безопасности — любое событие, которое привело или могло привести к нарушению конфиденциальности, целостности или доступности ПДн (например, попытка взлома, утеря носителя, обнаружение вируса).
3.2. Действия при обнаружении инцидента
| Шаг | Действие | Срок |
|---|---|---|
| 1 | Заблокировать доступ к подозрительным данным (отключить учётную запись, закрыть порт). | Немедленно |
| 2 | Сообщить ответственному за обработку ПДн и генеральному директору. | В течение 1 часа |
| 3 | Провести анализ — установить причины, объём утечки (какие ПДн, скольких субъектов). | В течение 24 часов |
| 4 | Если подтверждена утечка — уведомить Роскомнадзор (по форме) и субъектов ПДн. | В течение 24 часов |
| 5 | Принять меры по устранению уязвимости, усилить контроль. | В течение 3 рабочих дней |
3.3. Контакт для сообщения об инцидентах:
Email: 216000@mail.ru с пометкой «ИНЦИДЕНТ БЕЗОПАСНОСТИ»
Телефон: +7 (901) 997-14-15
4. Уровень защищённости ПДн
В соответствии с Постановлением Правительства РФ № 1119, Оператор установил 3 уровень защищённости персональных данных, так как:
- Обрабатываются ПДн не более 100 000 субъектов в год;
- Отсутствуют специальные категории ПДн (здоровье, биометрия), за исключением случаев явного предоставления их пользователем;
- База данных ПДн изолирована от прямого доступа из сети Интернет.
Применяемый набор мер соответствует требованиям для 3 уровня (Приказ ФСТЭК № 21).
5. Права и обязанности сторон
5.1. Оператор обязуется
- Поддерживать меры безопасности на актуальном уровне;
- Не реже одного раза в год проводить внутренний аудит безопасности ПДн;
- Не разглашать ПДн третьим лицам, кроме случаев, предусмотренных законом и Политикой конфиденциальности.
5.2. Пользователь (субъект ПДн) обязуется
- Не сообщать свои учётные данные (логин, пароль) третьим лицам;
- Использовать сложные пароли и не повторять их на других сайтах;
- Незамедлительно сообщать о подозрительных действиях с его учётной записью.
5.3. Пользователь имеет право
- Запросить информацию о применяемых мерах безопасности;
- Требовать блокирования или уничтожения его ПДн в случае подтверждённого факта их незаконного использования.
6. Ответственность
6.1. Должностные лица и сотрудники Оператора, виновные в нарушении требований безопасности ПДн, несут дисциплинарную, административную (ст. 13.11 КоАП РФ) и уголовную (ст. 137, 272 УК РФ) ответственность в соответствии с законодательством РФ.
6.2. Пользователь, сообщивший заведомо ложные сведения об инциденте или пытавшийся несанкционированно получить доступ к чужим ПДн, несёт самостоятельную ответственность.
7. Заключительные положения
7.1. Настоящая Политика безопасности действует бессрочно до её замены новой версией.
7.2. Изменения вносятся приказом генерального директора и публикуются на Сайте не позднее чем за 5 дней до вступления в силу (кроме экстренных мер безопасности, вступающих немедленно).
7.3. Если какое-либо положение Политики признано недействительным, это не влечёт недействительности остальных положений.
Реквизиты Оператора
ООО «Сенат А»
Адрес: 150000, г. Ярославль, ул. Чкалова, д. 17
Email: 216000@mail.ru
Телефон: +7 (901) 997-14-15
Ответственный за обработку ПДн (назначен приказом №1 от 01.01.2020 г.) — Генеральный директор Анашкин Н.Б.
