Информационная безопасность и защита персональных данных

Бизнес, в котором мы работаем, связан с интенсивным использованием персональных данных, поэтому мы признаем, что защита данных имеет первостепенное значение для обеспечения непрерывности бизнеса, и применяем для ее обеспечения самые высокие стандарты. Мы стремимся к безопасному управлению данными на протяжении всего жизненного цикла персональных данных.

Большая часть информации, которую мы создаем и используем в своей работе, либо предназначена исключительно для внутреннего использования, либо будет раскрыта публично только в определенное время и для определенной цели. Конфиденциальная информация может принимать различные формы, включая коммерческую тайну, исследования и финансовые прогнозы, а также данные о потребителях.

Доверие клиентов и партнеров имеет решающее значение для нашего бизнеса. Обращение с персональными данными с должным вниманием и уважением необходимо для укрепления доверия, защиты репутации нашей компании и достижения наших стратегических целей.

Информационная безопасность

Наша система менеджмента информационной безопасности представляет собой структуру, основанную на трех столпах: людях, процессах и технологиях, соответствующих стандарту ISO 27001.

Люди

Внимание высшего менеджмента компании и постоянное обучение персонала позволяет организации не только соблюдать сложные и меняющиеся законы о защите персональных данных, но и способствовать повышению осведомленности внутренних и внешних заинтересованных сторон.

Все сотрудники нашей компании должны:

• Хранить в тайне коммерческую и производственную тайну, а также прочую информацию, ставшую доступной в результате трудовых отношений, в том числе в отношении членов семьи или друзей. Это относится к информации о коммерческих партнерах и клиентах, которая не является общедоступной. Обязательство о сохранении коммерческой тайны остается в силе после прекращения трудовых отношений.
• Защищать конфиденциальную информацию компании от непреднамеренного раскрытия, никогда не создавая, не получая доступа и не используя нашу конфиденциальную информацию в общедоступных условиях, где ее могут подслушать или просмотреть.
• Защищать конфиденциальную информацию от кражи, используя только предоставленные компанией инструменты и программное обеспечение, а также создавая и сохраняя пароли в соответствии с нашими политиками и стандартами.
• Соблюдать наши политики и стандарты в отношении ИТ-инфраструктуры и информационной безопасности, а также наши политики в отношении раскрытия информации в социальных сетях или по другим каналам.

Кампании по обучению и повышению осведомленности для всех сотрудников обеспечивают сохранение высокого уровня защиты персональных данных во всех бизнес процессах.

Тщательная проверка биографических данных потенциальных сотрудников, является неотъемлемой частью процесса найма нашей компании.

Процессы

Любое раскрытие конфиденциальной информации за пределами компании — а для некоторых видов информации — даже внутри компании — строго контролируется, чтобы наилучшим образом защитить интересы нашей компании, партнеров, потребителей и коллег. Крайне важно, соблюдать передовые методы информационной безопасности, чтобы обеспечить адекватную защиту этих интересов. Также важно, сохранять бдительность в отношении непреднамеренного раскрытия конфиденциальной информации компании, которое может нанести компании такой же ущерб, как и преднамеренное раскрытие.

Обработка персональных данных в нашей компании автоматизирована, учитывая значительные объемы персональных данных, которые мы обрабатываем, и потребность в безопасности, скорости и надежности их обслуживания. Чтобы снизить риск, личные данные клиентов удаляются после завершения процесса обработки документов.

Мы проводим регулярный IT-аудит, чтобы обеспечить конфиденциальность, доступность и целостность информации, а также соответствие системы менеджмента информационной безопасности законам, стандартам о защите данных и политике в отношении обработки персональных данных и выявлению слабых мест в информационных системах.

Технологии

Вся информация, которую мы генерируем, хранится в цифровом виде в нашей DMS-системе. Информационная безопасность — это практика защиты информации путем ограничения любого несанкционированного или иным ненадлежащим образом полученного доступа, раскрытия, уничтожения, изменения или копирования такой информации.

Мы используем передовые подходы в области безопасности для усиления нашей защиты от киберугроз. Каждый наш офис имеет зашифрованное VPN-подключение и защищен межсетевыми экранами. Персонал имеет доступ только к тем приложениям, за которые он отвечает, а также имеет ограниченный доступ внутри приложения. Каждый сервер расположен в сертифицированном в соответствии с ISO 27001 центре обработки данных и имеет собственный сетевой экран, а также антивирус. Весь трафик, входящий и исходящий из нашей сети, шифруется и постоянно отслеживается, и при обнаружении необычного поведения принимаются незамедлительные меры.

Для обеспечения информационной безопасности мы внедрили и используем стратегию эшелонированной обороны Defense in Depth (DiD), включающую набор многослойных и дублирующих процедур и средств физического и административного контроля, а также технический защиты от различных угроз, такие как:

Защита персональных данных

Наши принципы управления конфиденциальностью соответствуют требованиям "золото" стандарта в мире - бщего регламента ЕС по защите данных (GDPR). Мы последовательно применяем эти принципы во всем мире как минимальный стандарт, управления информацией, которую нам доверили наши клиенты, даже если в конкретных странах этого не требуется.

Персональные данные — это любая информация, которая прямо или косвенно идентифицирует и описывает человека. Эта личная информация может относиться к потребителям, нашим коллегам по работе, нашим деловым партнерам или другим третьим лицам. Защита персональных данных — это право людей знать и влиять на то, как и почему их личная информация собирается и обрабатывается. Кроме того, практически везде, где мы ведем бизнес, действуют законы о защите персональных данных. Любое несоблюдение этих законов может привести к штрафам, судебным искам или уголовному преследованию как против компании, так и против отдельных наших сотрудников.

Поэтому все сотрудники должны:

• Обрабатывать, раскрывать или иным образом использовать охраняемые персональные данные только в разрешенных целях и только в рамках своих должностных обязанностей. Обязательство по сохранению конфиденциальности персональных данных сохраняется даже после ухода из компании.
• Обеспечить, чтобы личная информация не разглашалась неавторизованным внутренним или внешним сторонам.
• Если вы сомневаетесь, спросить у руководителя, как обращаться с личной информацией.
• Немедленно сообщать о любом известном или предполагаемом несанкционированном использовании или раскрытии персональных данных.

Все наши сотрудники несут ответственность за соблюдение в своей деятельности принципов и соответствие законам о защите персональных данных.

Все сотрудники, работающие с персональными данными, проходят регулярное обучение и тренинги, с целью обеспечения безопасного обращения с данными и повышения осознаности.

Наши принципы защиты персональных данных:

1. Прозрачность: мы информируем клиентов о том, как мы планируем использовать их данные.
2. Добросовестное и законное использование: мы используем персональные данные клиентов только в соответствии с действующим законодательством и только в тех случаях, когда у нас есть на это законные основания.
3. Ограничение цели: мы используем информацию клиентов только для конкретно определенных целей и никаким другим образом.
4. Минимизация данных: мы не храним никакие данные клиентов дольше, чем это необходимо для предоставления запрошенной услуги или реализации наших законных интересов. Никакие копии данных заявителей не делаются и не сохраняются ни в цифровом, ни в физическом виде.
5. Конфиденциальность по дизайну: мы заботимся о том, чтобы наши услуги и технологии были разработаны с учетом конфиденциальности наших клиентов.
6. Точность данных: мы стараемся поддерживать соответствующие стандарты качества данных.
7. Права людей: мы уважаем право людей на неприкосновенность частной жизни.
8. Безопасность данных: мы поддерживаем соответствующие стандарты защиты персональных данных и удаляем их, как только потребность в них отпадает, в соответствии с законами о защите персональных данных.
9. Передача данных: если нам необходимо передать информацию о клиентах третьей стороне, мы заботимся о том, чтобы такая передача была безопасной и соответствовала законодательству. Например, бумажные документы пересылаются только надежными курьерскими службами.
10. Третьи лица: Когда мы выбираем стороннего поставщика услуг, мы проводим комплексную проверку, мониторинг и меры по обеспечению безопасности, чтобы обеспечить надлежащую защиту информации наших клиентов и соблюдение требований законодательства.

Меры по обеспечению безопасности персональных данных:

• Форма онлайн-заявки хранится в безопасном, сертифицированном в соответствии с ISO 27001 центре обработки данных, полностью зашифрована и имеет контролируемый доступ.
• Физические носители данных надежно охраняются, для целей ограничения доступа, а любые электронные данные - шифруются.
• Данные безопасно передаются только в зашифрованном виде и только по зашифрованным каналам передачи.
• Все данные удаляются, по окончании срока обработки заказа. По истечении законодательно установленных сроков мы удаляем все данные.

Управление защитой персональных данных

За защитой персональных данных следит высший менеджмент, отвечающих за соблюдение требований, изложенных в законах, правилах о защите персональных данных. Кроме того, руководство компании, следит за тем, чтобы наша политика в отношении обработки персональных данных согласовывалась с нашей бизнес-стратегией, гарантируя устойчивое развитие бизнеса. Мы глубоко привержены обеспечению самых высоких стандартов информационной безопасности и конфиденциальности данных во всех наших бизнес-процессах.

В рамках политики "Говорить громко!" сотрудникам рекомендуется сообщать об инцидентах, связанных с нарушениями конфиденциальности данных, непосредственно высшему руководству.

Непрерывность бизнеса и аварийное восстановление для обеспечения устойчивости бизнеса

Сбои или нарушение бизнеса из-за кибератаки может иметь разрушительные последствия для компании и может нарушить работу всей цепочки поставок, что приведет к финансовым и репутационным потерям. И в сегодняшнем мире, зависимом от цифровых технологий, на счету каждая секунда. И чем дольше время восстановления, тем больше негативное влияние на бизнес.

Каждый сервер расположен в сертифицированном в соответствии с ISO 27001 центре обработки данных и имеет собственный сетевой экран.

Как и в случае с онлайн-банком, ваш доступ осуществляется только через защищенное соединение с шифрованием SSL.

Наша компания соответствуют требованиям Общего регламента ЕС по защите данных (GDPR). Регламент GDPR являются самыми строгими в мире.

Speak Up!

Мы призываем сотрудников и партнеров сообщать о возможных нарушениях и этических проступках конфиденциально и, при желании, анонимно.

В соответствии с нашими принципами, мы оказываем поддержку и защиту людям, сообщающим о проблемах. Мы не потворствуем и не терпим никаких актов возмездия против тех, кто высказывается.

E-mail: compliance-hotline@schmidt-export.com