Введение
Данная политика безопасности интернет-магазина (далее – Политика) устанавливает ключевые принципы и меры, направленные на защиту данных клиентов и обеспечение безопасности информации от несанкционированного доступа, утраты или уничтожения. Политика сформулирована в соответствии с действующим законодательством Российской Федерации и международными стандартами в области информационной безопасности.
Сфера применения
Политика охватывает все данные, обрабатываемые в интернет-магазине, включая персональные данные клиентов, сведения о заказах, платежные реквизиты и другую конфиденциальную информацию.
Принципы безопасности
Конфиденциальность – защита информации от несанкционированного доступа.
Целостность – предотвращение несанкционированных изменений информации.
Доступность – обеспечение возможности доступа к данным в любое время для
уполномоченных лиц.
Подотчетность – фиксирование всех операций с данными и контроль за их
выполнением.
Обязанности и ответственность
Администрация интернет-магазина отвечает за разработку и внедрение мер по
защите данных.
Сотрудники интернет-магазина обязаны соблюдать требования данной Политики
и проходить регулярное обучение по вопросам информационной безопасности.
Клиенты должны предоставлять точную информацию и соблюдать меры
безопасности при использовании услуг интернет-магазина.
Меры по обеспечению безопасности
1) Технические меры:
Шифрование данных при передаче и хранении.
Установка и регулярное обновление антивирусного программного обеспечения.
Настройка межсетевых экранов и систем предотвращения вторжений.
Регулярное проведение аудитов безопасности.
2) Организационные меры:
Определение прав доступа сотрудников к данным.
Разработка и внедрение процедур реагирования на инциденты.
Регулярное обучение и инструктаж сотрудников.
Введение процедур резервного копирования и восстановления данных.
3) Правовые меры:
Заключение договоров о конфиденциальности с работниками и подрядчиками.
Регулирование обработки персональных данных в соответствии с ФЗ-152 «О
персональных данных».
Соблюдение норм GDPR при работе с клиентами из ЕС.
Разработка и внедрение внутренней политики по защите данных.
Права клиентов
1) Право на доступ к своим данным и получение информации об их обработке.
2) Право на исправление, удаление или ограничение обработки своих данных.
3) Право на возражение против обработки данных.
4) Право на перенос данных к другому оператору.
Процедуры реагирования на инциденты
Обнаружение и уведомление – немедленное информирование ответственных лиц о
выявленном инциденте.
Оценка и анализ – анализ инцидента и оценка его влияния на безопасность
данных.
Устранение и восстановление – меры по устранению последствий инцидента и
восстановлению нормального функционирования.
Документирование и отчетность – фиксация инцидента в журнале и подготовка
отчетов.
Заключительные положения
Данная Политика подлежит регулярному пересмотру и обновлению при изменении
законодательства или условий информационной безопасности.
Директор по информационной безопасности назначается ответственным за
выполнение Политики.
За нарушение положений Политики предусмотрена дисциплинарная
ответственность в соответствии с внутренними документами интернет-магазина
и действующим законодательством Российской Федерации.