← На главную

Положение о защите персональных данных

Этот документ описывает технические и организационные меры, применяемые Сервисом «Холтер для психики» для защиты персональных данных от несанкционированного доступа, изменения, утраты или раскрытия.

1. Общие положения

Настоящее Положение является публичной выжимкой внутреннего документа Оператора, регулирующего обеспечение безопасности персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства РФ № 1119 от 01.11.2012.

Положение применяется к персональным данным, обрабатываемым в рамках работы сайта valhelps.ru. Меры защиты для будущего приложения «Холтер для психики» будут определены отдельным документом до начала обработки соответствующих данных.

2. Ответственный за защиту персональных данных

Лицом, ответственным за организацию обработки и защиты персональных данных, является сам Оператор:

3. Принципы защиты

Защита персональных данных строится на следующих принципах:

• Минимизация данных — обрабатываются только те данные, которые действительно необходимы для целей оказания услуги.
• Целевое использование — данные используются только для целей, заявленных в Политике обработки персональных данных.
• Ограничение доступа — доступ к персональным данным предоставлен только лицам, для которых он необходим.
• Хранение в Российской Федерации — серверы, на которых обрабатываются и хранятся данные, физически расположены в РФ.
• Прозрачность — Субъект имеет право в любой момент узнать, какие его данные обрабатываются, и потребовать их удаления.

4. Технические меры защиты

Оператор применяет следующие технические средства защиты персональных данных:

4.1. Защита канала передачи

• Использование протокола HTTPS с современным сертификатом SSL/TLS для всех соединений с сайтом.
• Принудительное перенаправление с HTTP на HTTPS.
• Использование защищённого протокола IMAP/SMTP с шифрованием для электронной почты.

4.2. Защита учётных записей

• Пароли учётных записей Оператора имеют длину не менее 12 символов и содержат буквы разного регистра, цифры и специальные символы.
• Используется двухфакторная аутентификация (2FA) для доступа к административным панелям хостинга, домена и электронной почты.
• Пароли хранятся в зашифрованном виде в защищённом менеджере паролей.

4.3. Защита инфраструктуры

• Серверы хостинг-провайдера (Timeweb) физически расположены в Российской Федерации, что соответствует требованиям 152-ФЗ.
• Регулярные автоматические резервные копии данных.
• Программное обеспечение серверов и сайта поддерживается в актуальном состоянии — обновления безопасности устанавливаются своевременно.
• Применяются стандартные меры защиты веб-сервера от типовых сетевых угроз.

5. Организационные меры защиты

• Единственный доступ — к персональным данным Субъектов имеет доступ только сам Оператор. Отношения с хостинг-провайдером урегулированы договором, включающим обязательства по обеспечению конфиденциальности обрабатываемых данных.
• Отдельные учётные записи — для работы с сервисами используются отдельные служебные учётные записи, не связанные с личными учётными записями Оператора.
• Контроль доступа — права доступа к административным панелям регулярно проверяются. Учётные записи, которые больше не нужны, удаляются.
• Ограничение третьих лиц — Оператор не привлекает подрядчиков для обработки персональных данных без надлежащего оформления договорных отношений и обязательств по их защите.

6. Реакция на инциденты

В случае выявления несанкционированного доступа к персональным данным, их утраты или иного инцидента:

• Оператор незамедлительно принимает меры по локализации инцидента и устранению его последствий.
• В течение 24 часов с момента выявления инцидента Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о произошедшем инциденте в порядке, установленном законодательством.
• В течение 72 часов с момента выявления инцидента Оператор уведомляет Роскомнадзор о результатах внутреннего расследования инцидента. При наличии риска для затронутых Субъектов Оператор по возможности информирует их по адресу электронной почты, указанному при обращении.

7. Хранение и уничтожение данных

Персональные данные хранятся в течение срока, необходимого для достижения целей обработки. Подробные сроки указаны в Политике обработки персональных данных.

Уничтожение персональных данных производится способом, исключающим их восстановление: безвозвратное удаление из рабочих систем, а из резервных копий — по мере их планового обновления (ротации), но не позднее установленного срока хранения резервных копий.

8. Аудит и пересмотр Положения

Оператор проводит самостоятельный аудит применяемых мер защиты не реже одного раза в год. По результатам аудита настоящее Положение может быть пересмотрено и обновлено.

Актуальная версия Положения всегда доступна по адресу valhelps.ru/data/.

9. Контакты

По вопросам, связанным с защитой персональных данных, можно обратиться:

Также можно обратиться в Управление Роскомнадзора по защите прав субъектов персональных данных на сайте rkn.gov.ru.