Политика конфиденциальности по обработке персональных данных ООО «Онлайн Брокер Страхования» (www.rca.md)

Политика конфиденциальности по обработке персональных данных ООО «Онлайн Брокер Страхования» (www.rca.md)

СОДЕРЖАНИЕ:

1. 1. Сбор персональных данных
2. 2. Принципы обработки персональных данных
3. 3. Политика обработки персональных данных
4. 4. Требования по обеспечению безопасности персональных данных
5. 5. Права субъекта персональных данных
6. 6. Цель сбора персональных данных
7. 7. Аудит безопасности в информационных системах персональных данных
8. 8. Управление инцидентами безопасности информационных систем и техническая защита информации, содержащей персональные данные

В соответствии с положениями ЗАКОНА № 133 от 08.07.2011 о защите персональных данных, ООО «Онлайн Брокер Страхования» обрабатывает персональные данные с соблюдением нижеуказанных принципов и в законных целях.

Обработка персональных данных осуществляется смешанными методами (ручными и автоматизированными), с соблюдением законодательных требований и в условиях, обеспечивающих безопасность, конфиденциальность и соблюдение прав субъектов данных.

1. Сбор персональных данных

Цель данной политики безопасности заключается в обеспечении соответствующего уровня защиты персональных данных субъектов, путем надлежащего применения национального законодательства в области защиты данных и конфиденциальности.

2. Принципы обработки персональных данных

Уведомление:

Оператор персональных данных уведомлен в Национальном центре по защите персональных данных РМ, зарегистрирован под идентификационным номером 0000237-001 от 05.02.2015.

Законность:

Обработка персональных данных осуществляется добросовестно и проводится на основании и в соответствии с законодательными положениями;

Четко определённая цель:

Любая обработка персональных данных осуществляется в четко определенных, явных и законных целях, соответствующих, уместных и не чрезмерных по отношению к целям, для которых они были собраны и впоследствии обрабатываются;

Информирование:

Настоящим уведомлением лица признают, что их персональные данные будут обработаны;

Хранение:

Персональные данные не хранятся дольше, чем это необходимо для достижения целей, для которых они были собраны;

Защита субъектов данных:

Обработка персональных данных будет осуществляться уполномоченными лицами компании ООО «Онлайн Брокер Страхования» или другими уполномоченными лицами в соответствии с законом.

Безопасность:

Технические и организационные меры безопасности персональных данных установлены для защиты данных от случайного или незаконного уничтожения, потери, изменения, раскрытия или несанкционированного доступа (доступ к базам данных пользователей осуществляется на основе имени пользователя и пароля, регулируется ролями и правами доступа). Возможность изменения полученных данных защищена с помощью файервола, контролируемого ООО «Онлайн Брокер Страхования», а также с помощью постоянно обновляемых антивирусных решений. Передача между клиентскими и серверными администраторами или операторами осуществляется в зашифрованном виде на основе цифрового сертификата, что исключает перехват данных.

3. Политика обработки персональных данных

В соответствии с положениями ЗАКОНА № 133 от 08.07.2011 о защите персональных данных, ООО «Онлайн Брокер Страхования» обязано администрировать предоставляемые персональные данные безопасно и только для целей, указанных ниже.

ООО «Онлайн Брокер Страхования» обязуется сохранять конфиденциальность персональных данных, предоставленных через сайт www.rca.md, как это предусмотрено положениями ЗАКОНА № 133 от 08.07.2011 с последующими изменениями о защите персональных данных.

4. Требования к обеспечению безопасности персональных данных

Следующие категории операций с персональными данными представляют собой особые риски для прав и свобод лиц:

1. адаптация, изменение, раскрытие посредством передачи, распространения или иным образом персональных данных, связанных с расовым или этническим происхождением, политическими или религиозными убеждениями, принадлежностью к политической партии или религиозной организации, данными о состоянии здоровья или интимной жизни, а также данными о судимостях, мерах принуждения, дисциплинарных или административных санкциях;
2. операции по обработке генетических, биометрических данных и данных, позволяющих определить географическое местоположение лиц через сети электронных коммуникаций;
3. операции по обработке персональных данных с использованием электронных средств с целью оценки личностных качеств, таких как профессиональная компетентность, надежность, поведение и др.;
4. операции по обработке персональных данных с использованием электронных средств в системах учета, с целью анализа платежеспособности, экономико-финансового положения, фактов, способных повлечь дисциплинарную, административную или уголовную ответственность физических лиц;
5. операции по обработке персональных данных несовершеннолетних в коммерческих целях (прямой маркетинг);
6. операции по обработке персональных данных, указанные в подпунктах 1) и 2) настоящего приложения, а также персональные данные несовершеннолетних, собранные через Интернет или электронную почту.

Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Требования) направлены на установление минимальных правил для владельцев персональных данных по внедрению технических и организационных мер, необходимых для обеспечения безопасности, конфиденциальности и целостности персональных данных, обрабатываемых в информационных системах персональных данных и/или в ручных реестрах, в соответствии с положениями Закона №17-XVI от 15 февраля 2007 г. о защите персональных данных (Официальный вестник Республики Молдова, 2007, №107-111, ст.468) и Закона №71-XVI от 22 марта 2007 г. о реестрах (Официальный вестник Республики Молдова, 2007, №70-73, ст.314).

Настоящие Требования создают необходимую основу для применения Конвенции о защите лиц в отношении автоматизированной обработки персональных данных, заключенной в Страсбурге 28 января 1981 года, опубликованной в European Treaty Series, №108, ратифицированной Республикой Молдова Постановлением Парламента №483-XIV от 2 июля 1999 года.

В соответствии с Постановлением №1123 от 14.12.2010, касающимся утверждения Требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, меры по защите персональных данных являются составной частью работ по созданию, развитию и эксплуатации информационной системы персональных данных и осуществляются непрерывно всеми владельцами персональных данных. Защита персональных данных в информационных системах обеспечивается комплексом технических и организационных мер для предотвращения незаконной обработки данных. Меры по защите персональных данных, обрабатываемых в информационных системах, выполняются с учетом необходимости обеспечения конфиденциальности этих мер. Любые действия и работы с использованием информационных ресурсов владельца персональных данных запрещены в случаях, если не приняты и не реализованы соответствующие меры защиты персональных данных.

ООО «Онлайн Брокер Страхования» подтверждает, что выполняет минимальные требования по безопасности персональных данных.

ООО «Онлайн Брокер Страхования» использует методы и технологии безопасности, вместе с политиками для сотрудников и рабочими процедурами, включая контроль и аудит, для защиты персональных данных, собранных в соответствии с действующими законодательными нормами. Передача данных между серверами клиентов, администраторов и операторов осуществляется в зашифрованном виде на основе цифрового сертификата, чтобы данные не могли быть перехвачены. Данные кредитных карт не хранятся на сайте оператора, оплата производится на сайте банка BC «Victoriabank» SA, только банк обрабатывает эти персональные данные. Следовательно, если злоумышленник получит доступ к сайту и базе данных ООО «Онлайн Брокер Страхования», он не сможет найти информацию о кредитных картах клиентов. Персональные данные, связанные с заказами, хранятся зашифрованными в базе данных оператора и расшифровываются при отображении с использованием уникального секретного ключа. Доступ к полисам и счетам осуществляется только через ссылку с хешем, отправляемую клиенту на e-mail, так что URL в браузере нельзя угадать.

В соответствии с Постановлением №1123 от 14.12.2010 защита персональных данных в информационных системах персональных данных осуществляется с целью:

• предотвращения утечки информации, содержащей персональные данные, путем исключения несанкционированного доступа к ней;
• предотвращения уничтожения, изменения, копирования или несанкционированной блокировки персональных данных в телекоммуникационных сетях и информационных ресурсах;
• соблюдения нормативных требований при использовании информационных систем и программ для обработки персональных данных;
• обеспечения полноты, целостности и достоверности персональных данных в телекоммуникационных сетях и информационных ресурсах;
• сохранения возможности управления процессом обработки и хранения персональных данных.

Защита персональных данных, обрабатываемых в информационных системах, осуществляется следующими методами:

1. предотвращение несанкционированных подключений к телекоммуникационным сетям и перехвата с помощью технических средств персональных данных, передаваемых по этим сетям;
2. исключение несанкционированного доступа к обрабатываемым персональным данным;
3. предотвращение специальных технических и программных действий, которые могут привести к уничтожению или изменению персональных данных либо к сбоям в работе технического и программного комплекса;
4. предотвращение преднамеренных и/или случайных действий внутренних и/или внешних пользователей, а также других сотрудников владельца персональных данных, которые могут привести к уничтожению или изменению персональных данных либо к сбоям в работе технического и программного комплекса.

Доступ в помещения/офисы/кабинеты или пространства, где расположены информационные системы персональных данных, ограничен и разрешен только лицам с необходимой авторизацией и только в рабочие часы, согласно списку и соответствующим опознавательным знакам (значки, пропуска, идентификационные карты, карты с микропроцессором). Помещения, где установлены информационные системы персональных данных, оборудованы системами контроля доступа и видеонаблюдения для отслеживания доступа лиц в эти пространства.

В процессе мониторинга используются средства наблюдения и сигнализации в реальном времени для всех случаев авторизованного и/или несанкционированного доступа. Применяются автоматизированные средства, обеспечивающие идентификацию случаев несанкционированного доступа и инициирующие действия по блокировке доступа. Компьютеры, серверы и другие терминалы доступа размещены в максимально безопасных местах с ограниченным доступом для посторонних лиц.

Обеспечивается безопасность электрического оборудования, используемого для поддержания функциональности информационных систем персональных данных, электрических кабелей, включая защиту от повреждений и несанкционированного подключения. В случае возникновения чрезвычайных ситуаций, аварий или форс-мажора обеспечивается возможность отключения электроэнергии для информационных систем персональных данных, включая возможность отключения любого компонента IT. Предусмотрены автономные источники питания кратковременного действия, используемые для корректного завершения рабочей сессии системы (компонента) при отключении от основного источника питания. Также предусмотрены средства противопожарной защиты помещений/офисов/кабинетов, где расположены информационные системы персональных данных и средства обработки данных. Реализуются автоматизированные системы обнаружения/сигнализации и тушения пожаров в помещениях/офисах/кабинетах, где расположены информационные системы персональных данных и средства обработки данных.

Компьютеры, терминалы доступа и принтеры отключаются по завершении рабочих сессий. Средства обработки персональных данных, информация, содержащая персональные данные, или программное обеспечение для обработки персональных данных выводятся за пределы зоны безопасности только на основании письменного разрешения руководства владельца персональных данных. Вынос и внесение средств обработки персональных данных из/в зону безопасности фиксируются.

Выполняется идентификация и аутентификация пользователей информационных систем персональных данных и процессов, выполняемых от имени этих пользователей. Все пользователи (включая персонал, обеспечивающий техническую поддержку, сетевых администраторов, программистов и администраторов баз данных) имеют персональный идентификатор (ID пользователя), который не должен содержать указаний уровня доступа пользователя. Для подтверждения ID пользователя используются пароли, специальные физические средства доступа с памятью (токены) или карты с микропроцессором, а также биометрические средства аутентификации, основанные на уникальных и индивидуальных характеристиках человека.

Администрирование идентификаторов пользователей включает:

1. уникальную идентификацию каждого пользователя;
2. проверку подлинности каждого пользователя;
3. получение разрешения от лица, ответственного за выдачу ID пользователя;
4. гарантию того, что ID пользователя выдан конкретно определенному лицу;
5. деактивацию учетной записи пользователя после периода неактивности, установленного во времени (не более 2 месяцев бездействия);
6. выполнение архивных копий ID пользователей.

Информация, выходящая из системы и содержащая персональные данные, маркируется с указанием правил для последующей обработки и распространения, включая указание уникального идентификационного номера владельца персональных данных. Все методы удаленного доступа к информационным системам персональных данных защищены (используются VPN, шифрование и т.д.), документируются, подлежат мониторингу и контролю. Каждый метод удаленного доступа авторизуется ответственными лицами владельцев персональных данных и разрешается только тем пользователям, которым он необходим для выполнения установленных задач.

Беспроводной доступ к информационным системам персональных данных документируется, подлежит мониторингу и контролю. Беспроводной доступ разрешен только при использовании криптографических средств защиты информации. Использование беспроводных технологий авторизуется ответственными лицами владельца персональных данных.

Обеспечивается невозможность внешнего доступа пользователей к внутренней сети, в которой обрабатываются персональные данные.

Обеспечивается целостность персональных данных при передаче с использованием средств криптографической защиты.

Обеспечивается конфиденциальность передаваемых персональных данных с использованием средств криптографической защиты информации.

Обеспечивается защита от проникновения вредоносных программ в программное обеспечение, предназначенное для обработки персональных данных, что обеспечивает возможность своевременного и автоматического обновления средств защиты от вредоносных программ и вирусных сигнатур. Обеспечивается централизованное администрирование механизмов защиты от вредоносных программ в программном обеспечении для обработки персональных данных.

Владельцы персональных данных регулярно, как минимум один раз в год, проверяют выполнение технических и/или организационных мер для выявления нарушений при использовании телекоммуникационных систем в процессе обработки персональных данных и проводят улучшения в случае необходимости. Контроли безопасности обновляются каждый раз при реорганизации владельца персональных данных или изменении его инфраструктуры. Для проверки уровня защиты информационных систем персональных данных и предотвращения возможного несанкционированного или случайного доступа к этим системам, а также для выявления уязвимых мест в механизмах их защиты, Центр периодически проводит проверки безопасности, включая специальные технические меры для моделирования доступа к информационным системам персональных данных. Результаты проверок немедленно предоставляются владельцу персональных данных, уровень защиты систем которого проверялся, с указанием, при необходимости, действий, которые следует предпринять для обеспечения безопасности обработки персональных данных.

5. Права субъекта персональных данных

В соответствии с положениями Закона № 133 от 08.07.2011 субъект персональных данных имеет следующие права:

• Право на получение информации (ст. 12): право лица получать от оператора по запросу и бесплатно подтверждение того, обрабатываются ли персональные данные, касающиеся данного лица, компанией ”ONLINE Broker de Asigurare” SRL;
• Право на доступ к персональным данным (ст. 13): любой субъект персональных данных имеет право получить от оператора по запросу, без задержек и бесплатно, любую информацию о себе и своих персональных данных;
• Право на вмешательство в персональные данные (ст. 14): любой субъект персональных данных имеет право получить от оператора по запросу и бесплатно исправление, обновление, блокировку или удаление персональных данных, обработка которых противоречит закону;
• Право на возражение (ст. 16): право субъекта в любой момент, бесплатно и по обоснованным законным причинам, препятствовать обработке персональных данных, если это не противоречит закону. Если возражение обосновано, оператор прекращает обработку этих данных;
• Право не быть объектом индивидуального решения (ст. 17): любое лицо имеет право требовать отмены полностью или частично любого индивидуального решения, оказывающего юридические последствия на его права и свободы, если решение основано исключительно на автоматизированной обработке персональных данных, направленной на оценку аспектов личности, таких как профессиональная компетенция, надежность, поведение и т.д.;
• Право обратиться в CNPDCP или суд (ст. 18): любое лицо, понесшее ущерб вследствие незаконной обработки персональных данных или нарушение его прав, гарантированных законом, имеет право обратиться в суд для возмещения материального и морального ущерба.

Любая информация, предоставленная вами, будет считаться и являться вашим явным согласием на использование ваших персональных данных компанией ”Online Broker de Asigurare” SRL в соответствии с целями, указанными ниже.

Если вы хотите, чтобы ваши персональные данные были обновлены или удалены из базы данных, либо у вас есть вопросы относительно конфиденциальности данных, вы можете связаться с нами в любое время, используя контактные данные, указанные на сайте.

Если вы не хотите, чтобы ваши данные собирались, пожалуйста, не предоставляйте их нам.

Также, для подачи жалобы на нарушение прав, гарантированных Законом № 133 от 08.07.2011, субъект персональных данных может обратиться в Национальный центр по защите персональных данных Республики Молдова и/или в суд.

6. Цель сбора персональных данных

”Online Broker de Asigurare” SRL обрабатывает персональные данные своих клиентов и других лиц, которые взаимодействуют с компанией, предоставленные при посещении сайта www.rca.md, для оформления и доставки заказанных страховых полисов.

Персональные данные (идентификационные данные, адрес, личный код, номер телефона, возраст или любые другие предоставленные сведения) могут быть обработаны и использованы компанией ”Online Broker de Asigurare” SRL как для целей оформления и доставки страховых полисов, так и для создания баз данных и их использования в будущей деятельности оператора в соответствии с положениями Закона № 133 от 08.07.2011 о защите персональных данных.

”Online Broker de Asigurare” SRL не будет раскрывать третьим лицам ваши данные (личные или опциональные) без вашего согласия, за исключением случаев, когда компания добросовестно полагает, что это требуется законодательством или необходимо для защиты прав и собственности компании.

7. Аудит безопасности информационных систем персональных данных

”Online Broker de Asigurare” SRL организует ведение аудита безопасности информационных систем персональных данных для следующих событий:

• Производится регистрация попыток входа/выхода пользователя в систему (регистрируются дата и время попытки входа/выхода, ID пользователя, результат попытки — успешная или неуспешная);
• Регистрируются попытки получения доступа к приложениям и процессам, предназначенным для обработки персональных данных;
• Производится регистрация попыток запуска/завершения сеанса работы прикладных программ и процессов, предназначенных для обработки персональных данных, регистрация изменений прав доступа пользователей и состояния объектов доступа;
• Производится регистрация изменений прав доступа (компетенций) пользователя и состояния объектов доступа;
• Регистрируется вывод из системы информации, содержащей персональные данные (электронные документы, данные и др.), регистрация изменений прав доступа субъектов и состояния объектов доступа.

В случае сбоя аудита безопасности информационных систем персональных данных или при заполнении всей выделенной памяти для хранения результатов аудита, ответственное лицо за политику безопасности персональных данных информируется, и предпринимаются меры по восстановлению работоспособности системы аудита.

Осуществляется постоянный мониторинг и анализ записей аудита безопасности информационных систем персональных данных с целью выявления необычной или подозрительной активности пользователей, формируется отчет о случаях выявления таких действий, хранящийся в электронных средствах вычисления, и предпринимаются действия, предусмотренные политикой безопасности для таких случаев.

Результаты аудита безопасности информационных систем персональных данных, которые представляют операции по обработке персональных данных и средства проведения аудита, защищаются от несанкционированного доступа путем внедрения соответствующих мер безопасности, включая обеспечение конфиденциальности и целостности данных.

Для обеспечения целостности информации, содержащей персональные данные, и информационных технологий осуществляется идентификация, протоколирование и устранение недостатков программного обеспечения, включая установку исправлений и обновлений этих программ. Обеспечивается защита от проникновения вредоносных программ в программное обеспечение для обработки персональных данных с возможностью автоматического и своевременного обновления средств защиты от вредоносного ПО и вирусных сигнатур. Используются технологии и средства обнаружения вторжений, позволяющие мониторить события в информационных системах персональных данных и выявлять атаки, включая попытки несанкционированного использования этих систем.

Для восстановления информации, содержащей персональные данные (создание резервных копий), исходя из объема выполненной обработки, компания ”Online Broker de Asigurare” SRL определяет интервал времени для выполнения резервного копирования информации и программного обеспечения, используемого для автоматизированной обработки персональных данных. В любом случае этот срок не превышает одного года. Резервные копии хранятся в защищенных местах, отдельно от основной информации и программного обеспечения. Процедуры восстановления резервных копий регулярно обновляются и тестируются для обеспечения их эффективности.

”Online Broker de Asigurare” SRL регулярно, как минимум один раз в год, проверяет выполнение технических и/или организационных мер, направленных на выявление неисправностей при использовании телекоммуникационных систем в процессе обработки персональных данных и, при необходимости, осуществляет улучшения. Контроль безопасности обновляется каждый раз, когда владелец данных реорганизуется или меняет инфраструктуру. Для проверки уровня защиты информационных систем персональных данных, а также для предотвращения возможного несанкционированного или случайного доступа к этим системам и выявления слабых мест в механизмах их защиты, Центр периодически проводит проверки безопасности, включая специальные технические меры для моделирования доступа к информационным системам персональных данных.

8. Управление инцидентами безопасности информационных систем и техническая защита информации, содержащей персональные данные

Персонал, обеспечивающий эксплуатацию информационных систем персональных данных, проходит обучение минимум один раз в год по вопросам ответственности и обязанностей при выполнении действий по управлению и реагированию на инциденты безопасности. Обеспечен механизм незамедлительного информирования руководства владельца персональных данных о инцидентах, нарушающих безопасность информационных систем персональных данных. Обработка инцидентов включает выявление, анализ, предотвращение их развития, устранение и восстановление безопасности. Используются автоматизированные средства для поддержки процесса обработки инцидентов безопасности информационных систем персональных данных. Инциденты безопасности информационных систем персональных данных отслеживаются и документируются на постоянной основе.

Исключается неконтролируемое присутствие людей или транспортных средств, а также случайная установка антенн в зоне не менее 15 метров от основных технических средств информационной системы персональных данных с целью обеспечения безопасности обработки персональных данных. Помещения для серверов защищаются от утечки информации, содержащей персональные данные, из-за электромагнитных излучений путем экранирования помещений или установки систем электромагнитных помех, которые проектируются, реализуются и исследуются специализированными предприятиями. Исключается или ограничивается несанкционированная установка других электрических, радио- или иных устройств в помещениях, где размещены технические средства обработки персональных данных, с целью обеспечения безопасности обработки данных. Оборудование, линии которого выводятся за контролируемый периметр, устанавливается на расстоянии не менее 3 метров от ИТ-средств, в которых обрабатываются персональные данные.

Для получения более подробной информации любой заинтересованный человек может обратиться по электронной почте на office@rca.md или по телефону на любой номер, указанный в разделе ”Контакты” на сайте предприятия: www.rca.md.