Информационная безопасность и защита персональных данных

Миллионы людей пользуются сервисами Яндекса и доверяют нам свои данные. Мы понимаем, насколько это большая ответственность и прикладываем максимум усилий, чтобы обеспечить безопасность и конфиденциальность персональной информации.

Сервисы Яндекса сертифицированы по следующим стандартам:

  • ISO 27001

    В стандарте собраны требования к системе управления информационной безопасностью.
  • ISO 27017

    Включает в себя набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров.
  • ISO 27018

    Рассматривает вопросы защиты персональных данных при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению информационной безопасности для защиты доверенной облачному провайдеру личной информации клиентов.
  • ISO 27701

    Расширение в области менеджмента персональных данных, содержит требования к созданию, внедрению, поддержанию и совершенствованию системы управления персональными данными
  • SOC 2

    Это стандарт безопасности, разработанный Американским институтом дипломированных присяжных бухгалтеров (AICPA). Он дает независимую оценку контрольных процедур по управлению рисками кибербезопасности в IT-компаниях, предоставляющих сервисы пользователям. В стандарте особое внимание уделяется приватности и конфиденциальности данных.
  • SOC 3

    Публичная форма отчёта о результатах аудита SOC, из которого пользователи и клиенты могут узнать, как Яндекс заботится о безопасности, обработке, защите, доступности, конфиденциальности и целостности данных.
  • PСI DSS

    Содержит набор требований для защиты данных держателей карт. Требования обязательны и распространяются на все компании, обрабатывающие данные платёжных систем.

Управление приватностью

Яндекс использует самые современные технологии и системы безопасности в своей инфраструктуре, чтобы обеспечить защиту данных пользователей. Мы также предоставляем им возможность управлять своими данными и решать, какую информацию о них может хранить Яндекс.

Инструмент управления пользовательскими данными

В 2021 году Яндекс внедрил в личный кабинет Яндекс ID инструмент для управления пользовательскими данными. С его помощью пользователи могут запросить полную выгрузку и удаление персональных данных, накопленных о них сервисами Яндекса. Сегодня возможность удаления данных есть во всех основных сервисах Яндекса. Аналогичный инструмент доступен и бизнес-партнёрам Яндекса, которые могут запрашивать и удалять архив с данными для своих бизнес-аккаунтов.

Защита Яндекс ID

Технология проверки паролей на безопасность: если пароль пользователя скомпрометирован, система немедленно предложит его сбросить и заменить. Также проверяется номер телефона при входе в аккаунт по коду из смс. Если владелец номера сменился, то войти в аккаунты предыдущих владельцев по такому номеру не получится.

Your Tracking Protection

Функция блокировки сторонних трекеров в Яндекс Браузере, которая позволяет пользователям получить доступ к списку всех сторонних трекеров и выбрать, какие из них разрешить или заблокировать.

Защита от мошенничества

Мы выявляем мошеннические ссылки из поисковой выдачи и удаляем их, чтобы защитить пользователей от переходов на сайты, предлагающих сомнительные платные услуги и несуществующие сервисы. Яндекс Браузер также показывает отзывы на сайты и предупреждает о рисках.

Менеджер паролей Яндекса

Автоматический генератор надёжных и уникальных паролей и встроенное хранилище паролей для безопасной и бесшовной авторизации.

Охота за ошибками

Выявляют уязвимости не только наши специалисты по безопасности данных. Нам помогают пользователи в рамках программы «Охота за ошибками», которая предлагает денежное вознаграждение за найденные недочёты в продуктах и сервисах. Участники конкурса получают призы и попадают в Зал славы. В рамках «Охоты за ошибками» есть несколько направлений, каждая со своими правилами и положениями.

Система информационной безопасности

Защиту инфраструктуры и сервисов Яндекса обеспечивает служба информационной безопасности: она внедряет стандарты безопасности, проводит мониторинг уязвимостей и расследует инциденты. Эти действия регламентируются Политикой по информационной безопасности, Политикой управления инцидентами и другими внутренними документами. Результаты работы службы оценивает управляющее звено Яндекса.
Мы работаем с персональными данными на основании требований законодательства и строгих внутренних правил. Директор по защите данных и специально обученные специалисты анализируют работу с персональными данными на соответствие этим принципам, а также несут ответственность за внедрение необходимых механизмов защиты. При этом ответственность за бережное обращение с данными пользователей лежит на каждом сотруднике без исключения. Все сотрудники проходят обязательное обучение принципам защиты приватных данных, обращения с конфиденциальной информацией и антифишинговым мерам.
Мониторинг рисков кибербезопаности — это непрерывный процесс, который сопровождается упреждающими мерами по обнаружению уязвимостей и чёткими инструкциями, как действовать в случае возникновения инцидента. И несмотря на то, что мы годами трудимся над созданием безопасных и надёжных систем защиты, которые делают инциденты крайне маловероятными, всегда существует их ничтожная вероятность, к которой мы хотим быть готовыми.
Мы считаем, что честная коммуникация — это ключ к минимизации ущерба, поэтому обязуемся немедленно информировать пользователей в случае, если их данные были скомпрометированы.
  • Мы даём пользователям право управлять своими данными и разработали для этого отдельный инструмент.
  • Мы используем данные пользователей только для создания новых сервисов и улучшения уже существующих.
  • Мы никогда и никому не продаём данные пользователей.
  • Мы обрабатываем персональные данные только с опредёленными целями и только те данные, которые имеют к ним непосредственное отношение.
  • Мы не храним данные дольше необходимого. Это время, в течение которого мы используем информацию для достижения цели, для которой она собиралась, или срок хранения, предусмотренный законодательством.
  • Мы прозрачно рассказываем о том, как работаем с данными пользователей и запросами госорганов.
  • Если нам необходимо раскрыть информацию о пользователе по запросу органов государственной власти, мы делаем это в строгом соответствии с законом и только в минимальном объёме. В нашем отчёте Transparency Report мы регулярно сообщаем о количестве запросов, по которым была раскрыта та или иная информация.
  • Мы обязуемся действовать в строгом соответствии со всем применимым законодательством о защите персональных данных.