Політика безпеки

Дата публікації: 02.07.2022

Політика Безпеки регламентує порядок та способи захисту Персональних даних Суб’єкта даних.

Політика Безпеки описує, як Plerdy навчає своїх Співробітників щодо захисту Персональних даних Суб’єкта даних, включаючи вимірювання рівня безпеки, а також процедуру оцінки ефективності Політики безпеки для внесення необхідних змін.

Політика Безпеки описує спеціальні методи оброблення даних, такі як шифрування, псевдомінімізацію та способи захисту від DDos-атак.

Політика Безпеки, створена для того, що у Суб’єкта даних мав можливість ознайомитись із збереженням його Персональних даних, надання доступу працівникам Plerdy до Персональних даних, порядок дій Plerdy в разі втрати Персональних даних.

Будь-ласка ознайомтесь з Політикою Безпеки для кращого розуміння забезпечення безпеки Персональних даних.

1. ТЕРМІНИ

1.1. Аккаунт - це функціональна частина Сайту, за допомогою якої Клієнт має можливість здійснювати оплату використання Інструментів Платформи та може керувати отриманням Інструментів.

1.2. Клієнт - це юридична особа або фізична особа-підприємець, що реєструється на Сайті, інтегрує Plerdy на свій сайт та отримує Інструменти.

1.3. Користувач - це фізична особа або юридична особа, що взаємодіє з Клієнтом (за допомогою його сайту) та отримує від Клієнта Продукцію.

1.4. Персональні дані - означає будь-яку інформацію, яка прямо або побічно дозволяє ідентифікувати Клієнта та/або Користувача. Наприклад: ім'я, прізвище, номер телефону, IP-адреса.

1.5. Продукція - це спільна назва товарів, послуг та виробів Клієнта.

1.6. Інструменти - це алгоритм дій, що здійснює Платформа для Клієнта в сфері цифрового маркетингу, для поліпшення конверсії сайту та продажів Продукції Клієнта.

1.7. Сайт Платформи “Plerdy” (надалі “Сайт”) - означає веб-сторінку або групу веб-сторінок в мережі Інтернет, які розміщені за адресою: https://www.plerdy.com/ua/, за допомогою яких Клієнт отримує Інструменти від Платформи.

1.8. Платформа “Plerdy” (надалі “Платформа” або “Plerdy”) - це інструмент, що дозволяє реалізувати бізнес цілі Клієнта в сфері маркетингових досліджень, здійснити оптимізацію продажів та аналіз поведінки Користувачів, підвищити показники конверсії сайту та отримати Інструменти.

1.9. Співробітник - це фізична особа, що працює за трудовим договором або за будь-яким іншим контрактом з Plerdy і отримує за це заробітну плату.

1.10. Суб'єкт даних - означає загальну назву для Клієнта та Користувача.

1.11. Третя особа - означає фізичну або юридичну особу, державний орган, установу або орган, відмінний від Клієнта, Користувача.

2. СФЕРА ЗАСТОСУВАННЯ

2.1. Політика Безпеки застосовується виключно до Персональних даних, що обробляються Plerdy під час надання доступу до Інструментів та оплати такого доступу Клієнтом.

2.2. Політика Безпеки не застосовується до Персональних даних, що не обробляються Plerdy, в тому числі, але не обмежуючись прийманням оплати від Клієнта за надання доступу до Інструментів.

2.3. Політика Безпеки не застосовується до Персональних даних Користувача, що обробляються виключно Клієнтом, але не обробляються Plerdy.

3. ДОСТУП СПІВРОБІТНИКІВ

3.1. Доступ Співробітників Plerdy суворо контролюється за допомогою наших правил контролю доступу, а також технічних засобів контролю.

3.2. Лише обмеженій кількості працівників Plerdy дозволений доступ до Персональних даних Суб’єкта даних.

3.3. Доступ до Персональних даних мають тільки ти працівники Plerdy, які потребують його для надання доступу до Інструментів.

3.4. Для забезпечення додаткового рівня безпеки Персональних даних використовується аутентифікація Співробітників Plerdy.

3.5. Лише обмеженій кількості кваліфікованих Співробітників Plerdy, завданням яких є надання технічної підтримки та надання доступу до Інструментів, дозволяється доступ до Персональних даних.

3.6. Тільки попередньо затверджений фізичний доступ до оброблення Персональних даних надається Співробітникам які мають дійсне ділове обґрунтування для такого фізичного доступу.

3.7. Кожний зі Співробітників несе відповідальність за збереження доступу до Персональних даних та їх втрату, внаслідок порушення таким Співробітником умов Політики Безпеки, вказівок Plerdy та внутрішнього розпорядку, щодо використання Персональних даних.

3.8. Plerdy проводить навчання своїх Співробітників, щодо правил поводження з Персональними даними та кожний зі Співробітників підписує договір про нерозголошення конфіденційної інформації (“NDA”).

4. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

4.1. Персональні дані можуть передаватися, оброблятись та зберігатися за межами Європейської економічної зони («ЄЕЗ») з метою надання Вам наших Інструментів. Звертаємо Вашу увагу, що Персональні дані можуть передаватись Третім особам, що знаходяться за межами ЄЕЗ. В разі передачі Персональних даних Третій особі, що знаходиться за межами ЄЕЗ, така особа несе відповідальність за збереження та оброблення Персональних даних.

4.2. Ми можемо використовувати такі методи для захисту Персональних даних відповідно до статті «Безпека опрацювання» 32 GDPR:

4.2.1. псевдонімізація та шифрування Персональних даних;

4.2.2. здатність забезпечувати постійну конфіденційність, цілісність, доступність та відмовостійкість систем обробки Персональних даних;

4.2.3. регулярне тестування, оцінка та вимірювання ефективності технічних та організаційних заходів щодо забезпечення безпеки обробки Персональних даних.

4.3. Сервер Plerdy знаходиться в Федеративній Республіці Німеччина в Hetzner data center DIN ISO/IEC 27001 та Персональні дані Клієнта можуть бути передані в цю країну.

4.4. Plerdy не зберігає Персональні дані, що стосуються оплати доступу до Інструментів Платформи. Оплата доступу до Інструментів Платформи, здійснюються за допомогою сервісу Paddle, який зберігає Персональні дані, що стосуються оплати доступу до Інструментів Платформи. Plerdy не має доступу до Персональних даних, що стосуються оплати доступу до Інструментів Платформи. Сервіс Paddle мають відповідні сертифікати SOC & ISO для забезпечення безпеки Персональних даних. Plerdy не несе відповідальності за збереження Персональних даних, що обробляються сервісом Paddle.

4.5. Plerdy для збереження Персональних даних Клієнта використовує двофакторну авторизацію (2FA)з відправкою електронних листів. Тобто, для отримання доступу до Інструментів, Клієнт має підтвердити право доступу до Аккаунту наступним чином: (і) отримати електронного листа з кодом на свою електронну пошту; (іі) вести отриманий код у відповідному полі Сайту Платформи під час процесу авторизації. Для здійснення двофакторної авторизації Plerdy використовує протокол надсилання листів SMTP. Завдяки двофакторній авторизації, Платформа має додаткове підтвердження, що доступ до Аккаунту має саме Клієнт, який йому належить, а не стороння Третя особа.

5. ЗАХИСТ ВІД DDoS

5.1. Distributed Denial of Service — дослівно це «розподілена відмова в обслуговуванні». Під час такої атаки, Клієнти можуть не мати доступу до Інструментів Платформи.

5.2. Платформа використовує максимальні і сучасні засоби захисту від DDoS атак, що мінімізують вірогідність втрати Персональних даних та відсутність доступу до Інструментів.

5.3. Використовує максимальні та сучасні способи захисту від DDoS атак, які мінімізують ймовірність втрати Персональних даних.

5.4. Plerdy використовує наступні види захисту від DDoS атак:

5.4.1. Захист від усіх видів DDoS-атак (SYN Flood, UDP/ICMP Flood, HTTP/HTTPS-атак);

5.4.2. Захищена IP-адреса;

5.4.3. Фільтрація трафіку за допомогою спеціалізованого обладнання і програмними методами;

5.4.4. Використання систем запобігання вторгнень Intrusion Prevention Systems (IPS);

5.4.5. Забезпечення захисту від серверу Платформи.

5.5. Для забезпечення додаткового захисту від DDoS атак, послуги доставки контенту, роботи служб безпеки в Інтернеті та сервісів сервера розподілених доменних імен. Служби Cloudflare працюють в якості посередника між відвідувачем вебсайту ("Клієнтом") і хостинг-провайдером Cloudflare, який виконує роль зворотного проксі.

6. SSL/TLS-ЗАХИСТ

6.1. SSL — криптографічний протокол, який забезпечує встановлення безпечного з'єднання між Платформою і сервером.

6.2. На Сайті Plerdy встановлений сертифікат SSL, завдяки якому вся інформація на Сайті, включаючи Персональні дані, передається та обробляються за захищеним протоколом.

6.3. SSL-сертифікат забезпечується сервісом Cloudflare:

6.1.1. Повний: наскрізне шифрування, використовуючи самопідписаний сертифікат на сервері;

6.1.2. TLS 1.3: Використання останньої версії протоколу TLS для покращення безпеки та продуктивності;

6.1.3. Термін дії Сертифіката: ECDSA SHA256 2023-03-02 (Managed by Cloudflare) та SHA256 RSA 2023-03-02 (Managed by Cloudflare).

7. ПОРЯДОК У ВИПАДКУ ПОРУШЕННЯ БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ

7.1. У разі неправомірного розголошення та/або втрати Персональних даних, Платформа робить наступні кроки:

7.1.1. Негайно повідомляє Суб'єкта даних про таке порушення;

7.1.2. Вживає всіх необхідних заходів, щоб припинити подальше розголошення;

7.1.3. Здійснює аудит систем безпеки, щоб запобігти подальшому витоку Персональних даних;

7.1.4. Приймає дії, щоб мінімізувати збитки від такого витоку персональних даних;

7.1.5. Приймає дії щодо відшкодування збитків Суб’єкту даних.

7.2. Платформа здійснює навчання своїх Співробітників, щодо вчинення ними алгоритму дій у разі порушення безпеки Персональних даних.

7.3. Платформа оцінює та контролює зменшення збитків від порушення безпеки Персональних даних та забезпечує співпрацю між Співробітниками та Суб’єктом даних і регулярно перевіряє план реагування на порушення безпеки Персональних даних.

8. ЗМІНА ПОЛІТИКИ БЕЗПЕКИ

8.1. Платформа має право змінювати положення Політики Безпеки, в разі зміни методів та способів забезпечення безпеки Персональних даних.

8.2. В разі внесення змін до Політики Безпеки, Платформа проводить навчання своїх Співробітників та додає нові положення до цієї Політики Безпеки.

8.3. Клієнт зобов’язаний ознайомитись з новими умовами Політики Безпеки, а Платформа не несе відповідальності, якщо Клієнт не ознайомився з новими умовами Політики Безпеки.

8.4. Електронні або іншим чином збережені екземпляри Політики Безпеки вважаються справжніми, повними, дійсними та такими, що підлягають виконанню версіями цієї Політики Безпеки, що діє в момент відвідування Сайту Клієнтом. Якщо Клієнт використовує Інструменти, після дати оновлення Політики Безпеки, Він погоджується з новими правилами збереження Персональних даних.

9. КОНТАКТИ

9.1. Клієнт має право звернутись в службу підтримки Платформи за адресою: [email protected], для забезпечення його прав, відповідно до умов цієї Політики Безпеки, або в разі порушення його прав, або щоб залишити відгук чи поставити питання.

Статті з блогу