Политика информационной безопасности

Меры по обеспечению безопасности персональных данных

В соответствии с требованиями ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также Постановления Правительства РФ от 01.11.2012 № 1119, Оператор принимает следующие правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий:

Правовые меры

• назначение лица, ответственного за организацию обработки персональных данных;
• издание локальных актов, регламентирующих порядок обработки и защиты персональных данных;
• уведомление Роскомнадзора об обработке персональных данных (запись в реестре операторов № 72-25-026821);
• заключение с лицами, которым поручается обработка ПДн (платёжные сервисы, аналитика, хостинг), договоров, обеспечивающих соблюдение требований 152-ФЗ.

Организационные меры

• определение перечня лиц, имеющих доступ к персональным данным;
• ознакомление сотрудников и привлекаемых исполнителей с положениями законодательства о персональных данных и локальными актами Оператора;
• учёт машинных носителей персональных данных;
• установление правил доступа в информационные системы и их пересмотр при кадровых изменениях;
• проведение внутреннего контроля и аудита соответствия обработки ПДн требованиям законодательства;
• оценка вреда, который может быть причинён субъектам ПДн в случае нарушения 152-ФЗ, и определение актуальных угроз безопасности.

Технические меры

• размещение баз данных, содержащих персональные данные граждан РФ, на серверах, расположенных на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ);
• применение средств криптографической защиты информации: шифрование передачи данных по протоколам TLS/SSL, шифрование сессионных токенов и паролей, хранение паролей пользователей в виде криптографических хешей;
• разграничение прав доступа сотрудников и подсистем по принципу минимально необходимых полномочий;
• защита от несанкционированного доступа: межсетевые экраны, средства обнаружения вторжений, антивирусная защита;
• регулярное резервное копирование баз данных и проверка восстановления;
• ведение журналов событий безопасности и контроль действий с персональными данными;
• своевременная установка обновлений безопасности программного обеспечения и серверной инфраструктуры;
• уничтожение персональных данных по достижении целей обработки или по запросу субъекта в порядке, предусмотренном законодательством.

Реагирование на инциденты

В случае выявления инцидентов, связанных с неправомерным или случайным доступом к персональным данным, Оператор уведомляет Роскомнадзор в порядке и сроки, установленные ч. 3.1 ст. 21 152-ФЗ (в течение 24 часов с момента выявления — о факте инцидента, в течение 72 часов — о результатах внутреннего расследования).

Безопасность платежей

Оплата заказа осуществляется банковскими картами Visa, Master Card, «Мир». Для совершения оплаты вы перенаправляетесь на сервер уполномоченной платёжной системы, на котором вводятся реквизиты карты. Безопасность платежей обеспечивается процессинговыми центрами, имеющими подтверждённый сертификат соответствия требованиям стандарта PCI DSS в части хранения, обработки и передачи данных держателей карт.

Конфиденциальные данные, необходимые для оплаты (реквизиты карты, регистрационные данные и др.), не поступают на сайт Instalaunch.ru — их обработка производится исключительно на стороне процессингового центра платёжной системы и полностью защищена.