Каждый сотрудник Яндекса несёт ответственность за сохранность данных пользователей: регулярно проходит обучение по информационной безопасности и защите персональных данных и должен строго следовать правилам.
Есть в компании и специальная служба информационной безопасности, а на уровне топ-менеджмента выделены отдельные роли директора по ИБ и директора по защите данных. СИБ отвечает за обеспечение безопасности инфраструктуры Яндекса и сервисов, внедрение ведущих стандартов ИБ, мониторинг уязвимостей, проведение аудитов, расследование инцидентов и многое другое. А руководитель службы регулярно отчитывается совету директоров.
Мониторинг рисков кибербезопаности — это непрерывный процесс, который сопровождается упреждающими мерами по обнаружению уязвимостей и чёткими инструкциями, как действовать в случае возникновения инцидента. И несмотря на то, что мы годами трудимся над созданием безопасных и надёжных систем защиты, которые делают инциденты крайне маловероятными, всегда существует их ничтожная вероятность, к которой мы хотим быть готовым.
Мы считаем, что честная коммуникация — это ключ к минимизации ущерба, поэтому обязуемся немедленно информировать пользователей в случае, если их данные были скомпрометированы.
- Мы даём пользователям право управлять своими данными и разработали для этого отдельный инструмент.
- Мы используем данные пользователей только для создания новых сервисов и улучшения уже существующих.
- Мы никогда и никому не продаём данные пользователей.
- Мы обрабатываем персональные данные только с опредёленными целями и только те данные, которые имеют к ним непосредственное отношение.
- Мы не храним данные дольше необходимого. Это время, в течение которого мы используем информацию для достижения цели, для которой она собиралась, или срок хранения, предусмотренный законодательством.
- Мы прозрачно рассказываем о том, как работаем с данными пользователей и запросами госорганов.
- Если нам необходимо раскрыть информацию о пользователе по запросу органов государственной власти, мы делаем это в строгом соответствии с законом и только в минимальном объёме. В нашем Transparency Report мы регулярно сообщаем о количестве запросов, по которым была раскрыта та или иная информация.
- Мы обязуемся действовать в строгом соответствии со всем применимым законодательством о защите персональных данных.