ООО «ФАРГО» / Платформа MAZZON 

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

ООО «ФАРГО» (Платформа MAZZON) 

1. ОБЩИЕ ПОЛОЖЕНИЯ #

1.1. Настоящая политика устанавливает принципы, меры и порядок обеспечения информационной безопасности (ИБ) при обработке персональных данных на платформе MAZZON. 

1.2. Политика разработана в соответствии с требованиями Федерального закона №152-ФЗ, а также нормативных актов Роскомнадзора и рекомендаций ФСТЭК/ФСБ. 

2. ЦЕЛЬ ПОЛИТИКИ #

2.1. Обеспечение конфиденциальности, целостности и доступности персональных данных пользователей. 

2.2. Предотвращение несанкционированного доступа, утечек, сбоев, модификации и уничтожения данных. 

3. СИСТЕМА УПРАВЛЕНИЯ ИБ #

3.1. Ответственным за информационную безопасность назначается сотрудник, обладающий административным доступом к системам хранения ПДн. 

3.2. Ответственный обязан: 

— контролировать разграничение прав доступа; 

— проводить аудит журналов активности; 

— обеспечивать регулярное резервное копирование; 

— реагировать на инциденты и вести их учёт. 

4. УРОВНИ ДОСТУПА #

4.1. Установлены следующие уровни доступа: 

— Администратор: полный доступ к системе; 

— Менеджер: ограниченный доступ (только к заказам и поддержке); 

— Продавец: доступ только к заказам своих клиентов; 

— Сторонние подрядчики: доступ строго по договору и NDA. 

5. ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ #

5.1. Внедрены следующие меры: 

— шифрование соединения (SSL/TLS); 

— двухфакторная аутентификация; 

— регулярные обновления ПО; 

— защита от DDoS-атак и внешнего сканирования; 

— системы бэкапа (резервного копирования); 

— журналирование действий пользователей. 

6. ОРГАНИЗАЦИОННЫЕ МЕРЫ #

6.1. Сотрудники проходят инструктаж по безопасности. 

6.2. При увольнении доступ немедленно блокируется. 

6.3. Все сотрудники подписывают соглашение о неразглашении (NDA). 

6.4. Доступ к ПДн разрешается только в рамках служебных обязанностей. 

7. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ #

7.1. В случае выявления утечки/атаки ответственный по ИБ: 

— фиксирует инцидент в журнале; 

— проводит блокировку доступа; 

— уведомляет руководство; 

— при необходимости уведомляет Роскомнадзор в течение 72 часов. 

8. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПДн #

8.1. Срок хранения ПДн определяется законодательством и внутренними регламентами (в среднем — не более 5 лет). 

8.2. Обезличивание и уничтожение производится безопасными методами. 

9. КОНТРОЛЬ И ОБНОВЛЕНИЕ #

9.1. Политика пересматривается не реже одного раза в год. 

9.2. Аудит ИБ проводится при каждом масштабном обновлении платформы или смене архитектуры. 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ #

10.1. Все сотрудники и подрядчики обязаны соблюдать положения настоящей политики. 

10.2. Несоблюдение влечёт дисциплинарную, административную и иную ответственность.