Защиту инфраструктуры и сервисов Яндекса обеспечивает служба информационной безопасности: она внедряет стандарты безопасности, проводит мониторинг уязвимостей и расследует инциденты. Эти действия регламентируются Политикой по информационной безопасности, Политикой управления инцидентами и другими внутренними документами. Результаты работы службы оценивает управляющее звено Яндекса.
Мы работаем с персональными данными на основании требований законодательства и строгих внутренних правил. Директор по защите данных и специально обученные специалисты анализируют работу с персональными данными на соответствие этим принципам, а также несут ответственность за внедрение необходимых механизмов защиты. При этом ответственность за бережное обращение с данными пользователей лежит на каждом сотруднике без исключения. Все сотрудники проходят обязательное обучение принципам защиты приватных данных, обращения с конфиденциальной информацией и антифишинговым мерам.
Мониторинг рисков кибербезопаности — это непрерывный процесс, который сопровождается упреждающими мерами по обнаружению уязвимостей и чёткими инструкциями, как действовать в случае возникновения инцидента. И несмотря на то, что мы годами трудимся над созданием безопасных и надёжных систем защиты, которые делают инциденты крайне маловероятными, всегда существует их ничтожная вероятность, к которой мы хотим быть готовыми.
Мы считаем, что честная коммуникация — это ключ к минимизации ущерба, поэтому обязуемся немедленно информировать пользователей в случае, если их данные были скомпрометированы.
- Мы даём пользователям право управлять своими данными и разработали для этого отдельный инструмент.
- Мы используем данные пользователей только для создания новых сервисов и улучшения уже существующих.
- Мы никогда и никому не продаём данные пользователей.
- Мы обрабатываем персональные данные только с опредёленными целями и только те данные, которые имеют к ним непосредственное отношение.
- Мы не храним данные дольше необходимого. Это время, в течение которого мы используем информацию для достижения цели, для которой она собиралась, или срок хранения, предусмотренный законодательством.
- Мы прозрачно рассказываем о том, как работаем с данными пользователей и запросами госорганов.
- Если нам необходимо раскрыть информацию о пользователе по запросу органов государственной власти, мы делаем это в строгом соответствии с законом и только в минимальном объёме. В нашем отчёте Transparency Report мы регулярно сообщаем о количестве запросов, по которым была раскрыта та или иная информация.
- Мы обязуемся действовать в строгом соответствии со всем применимым законодательством о защите персональных данных.