Политика конфиденциальности — четкое руководство по защите данных и соблюдению нормативных требований

Пересматривайте вашу политику конфиденциальности каждые 90 дней, чтобы убедиться, что она точно отражает то, как мы собираем, используем и передаем данные в рамках наших сервисов.

Ведите реестр операций по обработке, в котором документируются категории данных, цели, законные основания, получатели, трансграничные передачи и сроки хранения. Эта прозрачность помогает командам соответствовать политике и упрощает аудит.

Минимизация данных и ограничение целей определяют, что мы собираем и зачем. Мы храним только то, что строго необходимо для предназначенных целей, и настраиваем параметры по умолчанию для ограничения сбора дополнительных данных.

Обеспечьте понятную обработку прав, чтобы пользователи могли запрашивать доступ, исправление, удаление, переносимость и возражение. Отвечайте в течение 30 дней и эскалируйте сложные запросы.

Средства контроля безопасности включают шифрование при передаче (TLS 1.2+) и хранении (AES-256), многофакторную аутентификацию для администраторов и контроль доступа на основе ролей. Проводите ежеквартальные аудиты и своевременное управление исправлениями для снижения риска.

Согласие и договоры обеспечивают документирование сбора данных на основе согласия, позволяют отзывать его и поддерживать соглашения об обработке данных с каждым внешним обработчиком, работающим с нашими данными.

План реагирования на утечки: определите процессы обнаружения, уведомляйте органы власти в течение 72 часов, где это требуется, и информируйте затронутых пользователей, когда риск высок. Ведите журналы инцидентов и проводите обзоры после инцидентов в течение 30 дней.

Хранение и уничтожение установите графики хранения, автоматизируйте удаление по истечении периодов и безопасно удаляйте резервные копии. Пересматривайте объемы хранилища не реже двух раз в год, чтобы предотвратить ненужные данные.

Управление назначьте руководителя по конфиденциальности или специалиста по защите данных, обеспечьте ежегодное обучение персонала и требуйте DPIA для проектов обработки данных с высоким уровнем риска. Поддерживайте подлежащий аудиту след для обеспечения подотчетности.

Какую информацию мы собираем и почему?

Просмотрите настройки своей учетной записи, чтобы понять, что мы собираем и почему, чтобы вы могли контролировать разрешения и защищать свою конфиденциальность. Эта информация предназначена для вашей защиты и улучшения наших услуг.

Какую информацию мы собираем

• Личная информация: имя, адрес электронной почты, номер телефона, изображение профиля и идентификатор пользователя. Эти данные предназначены для вашей идентификации и управления доступом, и мы гарантируем, что наши услуги работают для вас бесперебойно.
• Данные об использовании: посещенные страницы, используемые функции, поисковые запросы и временные метки взаимодействия. Мы собираем это для повышения надежности и производительности и для адаптации вашего опыта.
• Данные об устройстве и подключении: IP-адрес, тип браузера, операционная система, язык, часовой пояс и идентификаторы устройства. Это помогает нам точно доставлять контент и выявлять проблемы.
• Данные о местоположении: приблизительное местоположение по IP или явно указанное пользователем местоположение. Это позволяет использовать локализованные функции и ускоряет поддержку.
• Платежная информация: токены от платежных систем, данные о подписке и последние четыре цифры. Мы не храним полные номера карт; токены и ссылки используются для безопасной обработки платежей.
• Сообщения: сообщения в службу поддержки, отзывы и ответы на опросы. Мы сохраняем их для решения проблем и улучшения наших сервисов.
• Файлы cookie и технологии отслеживания: идентификаторы и аналитические данные для анализа использования сайта и производительности сервисов. Вы можете управлять настройками для контроля сбора.

Почему мы собираем

• Для предоставления и поддержания работоспособности наших сервисов: предоставление доступа, поддержание функций и поддержка ваших потребностей.
• Для персонализации вашего опыта: рекомендовать контент и настраивать макеты на основе использования.
• Для защиты вас и наших систем: обнаружение мошеннической деятельности, обеспечение соблюдения политик и поддержание безопасности.
• Для анализа и улучшения: проведение аналитики для понимания вовлеченности, надежности и роста.
• Для соблюдения законов и контрактов: хранение записей в соответствии с требованиями и ответы на законные запросы.
• Для общения: информирование вас об обновлениях, техническом обслуживании и важных уведомлениях, связанных с вашей учетной записью и услугами.

Вы можете осуществлять контроль, просматривая и обновляя свои данные в настройках, экспортируя копию или запрашивая удаление. Вы можете настроить параметры cookie и обратиться в нашу службу конфиденциальности с запросами или вопросами.

Как долго хранится информация и как ее можно удалить?

Установите 30-дневный период для удаления персональных данных после запроса на удаление и включите удаление в один клик в настройках своей учетной записи, чтобы предоставить пользователям прямой контроль.

Наша политика предназначена для баланса между конфиденциальностью и удобством использования. Данные, хранящиеся в наших сервисах, хранятся только до тех пор, пока это необходимо для работы сервиса, обработки запросов и соблюдения юридических обязательств. Мы регулярно пересматриваем настройки хранения, чтобы снизить риск и повысить безопасность, и наши процессы разработаны для надежной работы во всех частях нашей системы.

Сроки хранения по типу данных

Личные данные, такие как идентификаторы и контактные данные, удаляются в течение 30 дней после запроса на удаление или закрытия учетной записи, если не требуется более длительный период для завершения конкретной транзакции или соблюдения законного обязательства.

Записи о выставлении счетов и транзакциях хранятся в течение семи лет для выполнения налоговых, аудиторских и нормативных требований; по возможности данные минимизируются и доступ ограничивается в течение этого периода.

Данные об использовании и аналитика хранятся в форме, поддерживающей улучшение сервисов; необработанные журналы могут храниться до 90 дней, а анонимизированные агрегаты хранятся дольше только в том случае, если это необходимо для отслеживания безопасности и производительности.

Резервные копии содержат данные до 90 дней в зашифрованном хранилище; после завершения периода хранения резервные копии удаляются, и новые резервные копии не включают удаленный контент.

Как работает удаление

Пользователи могут инициировать удаление через настройки учетной записи или обратившись в службу поддержки. После подтверждения запускается процесс удаления, который завершается в течение 30 дней, удаляя данные из активных систем и удаляя их из связанных сервисов.

Во время процесса данные могут быть деактивированы в рабочих средах, чтобы предотвратить дальнейшее использование, и любые данные, хранящиеся в резервных копиях, обрабатываются в соответствии с правилами хранения. Вы получите подтверждение по завершении удаления вместе со сводкой того, что было удалено.

Каковы цели и правовые основания для обработки?

Определите каждую цель обработки и прикрепите правовое основание перед сбором данных.

Когда вы документируете свои методы работы, убедитесь, что цели ясны, ограничены тем, что необходимо, и соответствуют ожиданиям пользователей. Наши предполагаемые действия по обработке данных сопоставлены с законными основаниями, и действующая политика подчеркивает прозрачность, минимизацию и подотчетность. Это сопоставление помогает пользователям понять, почему используются данные и какие меры контроля применяются.

Для эффективной реализации выполните следующие шаги: определите категории данных, укажите цели, назначьте правовые основания, установите сроки хранения и предоставьте уведомление простым языком. Сделайте согласие действительно добровольным и задокументируйте варианты отзыва, чтобы пользователи могли отозвать его в любое время.

Сопоставление целей с правовыми основаниями

Цель	Правовое основание	Собранные данные	Хранение	Примечания
Создание и управление учетной записью	Исполнение договора	Электронная почта, имя пользователя, пароль, данные профиля	До удаления учетной записи; резервные копии до 90 дней	Обеспечивает безопасный доступ и поддержку клиентов
Обработка платежей и выполнение заказов	Исполнение договора	Способ оплаты, адрес выставления счетов, история заказов	7 лет	Поддерживает финансовое соответствие и отслеживаемость
Предотвращение мошенничества и безопасность	Законные интересы	Данные об использовании, IP, идентификаторы устройств, метаданные транзакций	6-24 месяца	Сбалансировано с правами пользователей и минимизацией данных
Маркетинговые сообщения (с согласия)	Согласие	Электронная почта, предпочтения, взаимодействие	До отзыва согласия	Легкий отказ и точное управление предпочтениями
Юридическое соответствие и нормативные обязательства	Юридическое обязательство	Записи учетных записей, сообщения, налоговые данные	В соответствии с требованиями закона (обычно 6-7 лет)	Включает обработку запросов субъекта данных

Какие меры безопасности защищают вашу информацию и что произойдет в случае утечки данных?

Включите двухфакторную аутентификацию для всех сервисов прямо сейчас, чтобы добавить критический уровень защиты. Наши меры безопасности предназначены для защиты ваших данных в соответствии с их предназначением.

Мы шифруем данные в состоянии покоя с помощью AES-256 и при передаче с помощью TLS 1.2+ и хешируем и солим пароли с помощью bcrypt. Контроль доступа основан на RBAC, MFA для конфиденциальных действий и строгом управлении сессиями для ограничения риска. Наши системы отслеживаются круглосуточно и без выходных с помощью автоматизированной аналитики, которая запускает оповещения о нетипичном поведении.

Мы сегментируем сети, развертываем WAF (брандмауэр веб-приложений) и поддерживаем IDS/IPS, непрерывное исправление и управление уязвимостями. Критические уязвимости устраняются в течение 24 часов; внешние тесты на проникновение проводятся ежеквартально, а ежегодные аудиты SOC 2 Type II подтверждают средства контроля.

Резервные копии шифруются и хранятся в нескольких регионах с RTO 4 часа и RPO 60 минут. Мы храним журналы в течение 12 месяцев для поддержки расследований, потребностей соответствия требованиям и улучшения обслуживания. Наша обработка данных минимизирует личные данные по принципу "необходимо знать" и использует псевдонимизацию, где ��то возможно.

В случае утечки наша группа реагирования на инциденты работает над локализацией инцидента и уведомлением затронутых пользователей в течение 72 часов, а также предоставляет четкие инструкции по сбросу учетных данных и мониторингу учетных записей. Мы публикуем обновления об утечках на нашей странице статуса и оказываем персонализированную помощь через наш портал конфиденциальности.

Чтобы помочь нам защитить вашу информацию, включите MFA, еженедельно проверяйте активность учетной записи, включите оповещения и поддерживайте свои устройства в актуальном состоянии. Используйте надежные уникальные пароли и избегайте повторного использования учетных данных в разных сервисах. Если вы заметили необычную активность, немедленно сообщите об этом через наши каналы поддержки, чтобы мы могли быстро отреагировать.

С кем мы передаем информацию и как мы проверяем сторонних обработчиков?

Мы передаем информацию только доверенным поставщикам услуг, которые помогают предоставлять наши услуги и обеспечивать надежную работу. Перед передачей мы сопоставляем, какие данные необходимы, и проверяем, работают ли партнеры в рамках четких, имеющих обязательную силу инструкций. Мы требуем, чтобы они получали доступ к данным только в том случае, если это необходимо для выполнения их задач, и чтобы они обрабатывали их в соответствии с их предназначением.

Проверяйте сторонних обработчиков с помощью формального рабочего процесса: определите категории получателей, оцените риски, проверьте средства контроля безопасности и подтвердите доступ субподрядчиков. Мы проверяем, поддерживают ли поставщики шифрование при передаче и хранении, ограничивают доступ и имеют ли они процессы уведомления об утечках.

Соглашения об обработке данных оговаривают роли, обработку данных и меры безопасности. Они охватывают минимизацию данных, сроки хранения, удаление при прекращении действия контракта, правила для субподрядчиков, трансграничные передачи с гарантиями и ответственность за нарушения.

Мониторинг и аудит: Мы проводим ежегодные обзоры, требуем подтверждения и отслеживаем отчеты об инцидентах. Мы требуем уведомления в течение определенного периода и проверяем доказательства контроля. ��ы ведем актуальный список субподрядчиков и уведомляем клиентов при внесении изменений.

Практические шаги для клиентов: запросите DPA, проверьте субподрядчиков, проверьте хранение данных и разберитесь в поддержке прав субъекта данных. Если поставщик не может предоставить четкую документацию, смените поставщика.

Какие права у вас есть и как их осуществить (доступ, удаление, возражение)?

Отправьте запрос на доступ прямо с панели управления своей учетной записью или отправьте электронное письмо по адресу [email protected], чтобы начать. Мы ответим в течение 30 дней, и вы получите копию в формате CSV или JSON с категориями, источниками и получателями. Эта политика предоставляет вам контроль, как и было задумано, и гарантирует, что наши сервисы понятны и удобны в использовании.

Ваши права с первого взгляда

Доступ: Вы можете просматривать данные, которые мы храним о вас, включая данные профиля, журналы действий и любую информацию, которую вы предоставили в формах. Удаление: Вы можете запросить удаление данных из активных систем с учетом юридических обязательств и законных деловых потребностей. Возражение: Вы можете возразить против обработки, включая прямую рекламу или обработку на основе наших законных интересов. Мы будем удовлетворять действительные запросы, которые не противоречат этим обязательствам.

Как осуществить каждое право

Запросы на доступ: подтвердите свою личность с помощью минимального набора идентификаторов (имя, адрес электронной почты, идентификатор учетной записи) и отправьте через свою учетную запись или по адресу [email protected]. Мы предоставим экспорт данных в предпочтительном формате в течение 30 дней и предоставим сводку целей, категорий и получателей.

Запросы на удаление: подтвердите личность, укажите данные или объем для удаления, и мы удалим их из активных систем в течение 30 дней, за исключением случаев, когда хранение требуется по закону или для завершения транзакции. Вы получите подтверждение после завершения удаления; данные в резервных копиях могут быть удалены в течение последующего периода в соответствии с нашей политикой хранения.

Запросы на возражение: опишите обработку, против которой вы возражаете, и предпочитаете ли вы немедленное прекращение или временную приостановку. Мы приостановим обработку на время рассмотрения и ответим в течение 30 дней; если мы определим вескую причину для продолжения, мы уведомим вас и предоставим обоснование. Вы также можете обновить настройки в своей учетной записи, чтобы остановить маркетинговые сообщения.

Как мы обновляем политику и проверяем постоянное соблюдение конфиденциальности?

Рекомендация по реализации: Установите ежеквартальный цикл проверки политики и автоматизированное отслеживание изменений. Наши сервисы работают должным образом, когда мы следуем этому подходу: четкая система версий, межфункциональные утверждения и своевременные уведомления пользователей.

Мы обновляем политику с помощью документированного, подлежащего аудиту процесса, который соответствует обработке данных в наших продуктах и сервисах. Каждое обновление проходит через определенные этапы, от триггеров до публикации, чтобы мы поддерживали точность и подотчетность.

Рабочий процесс обновления

• Триггеры для обновления включают изменения в законодательстве, новые потоки данных, запуск функций или изменения поставщиков. Мы разрабатываем изменения с кратким изложением и сопоставляем затронутые разделы с деятельностью по обработке данных.
• Контроль версий и журнал изменений: каждое обновление создает новую версию с датой, областью действия и доступностью для пользователей.
• Утверждения заинтересованных сторон: конфиденциальность, юридические вопросы, безопасность, продукт и проектирование рассматривают и подписываются.
• Оценка воздействия: переоцените цели, категории данных, хранение и законные основания; обеспечьте согласованность в наших сервисах и операциях по обработке данных.
• Документация: обновите DPIA, карты данных, соглашения с поставщиками и графики хранения; прикрепите подтверждающие материалы к записи политики.
• Публикация и информирование: опубликуйте пересмотренную политику на нашем сайте и уведомьте пользователей с помощью примечаний к выпуску или уведомлений в приложении.
• Доступность и интероперабельность: обеспечьте машиночитаемые форматы и четкие ссылки на связанные политики.

Постоянная проверка

1. Ежеквартальные проверки конфиденциальности сравнивают фактическую обработку с политикой; своевременно устраняйте пробелы.
2. Ежегодные сторонние оценки, когда это требуется в соответствии с нормативными требованиями или контрактами; обновите элементы управления соответственно.
3. Регулярное обучение персонала и проверка пройденных модулей; отслеживайте показатели завершения.
4. Ключевые показатели эффективности конфиденциальности: время ответа на запросы субъекта данных, управление согласием, локализация инцидентов и уведомления об утечках.
5. Контрольные журналы: ведите централизованный журнал изменений и историю версий для внутренних проверок и внешних аудитов.
6. Постоянное улучшение: собирайте отзывы от пользователей и команд; внедряйте улучшения в следующем цикле.