Для скачивания
FAQ
en
Отчёт
Этика и добросовестность

Информационная безопасность и защита персональных данных

Миллионы людей пользуются сервисами Яндекса и доверяют нам свои данные. Мы понимаем, насколько это большая ответственность и прикладываем максимум усилий, чтобы обеспечить безопасность и конфиденциальность персональной информации.

Сервисы Яндекса сертифицированы по следующим стандартам:

  • ISO 27001

    В стандарте собраны требования к системе управления информационной безопасностью.

  • ISO 27017

    Включает в себя набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров.

  • ISO 27018

    Рассматривает вопросы защиты персональных данных при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению информационной безопасности для защиты доверенной облачному провайдеру личной информации клиентов.

  • ISO 27701

    Расширение в области менеджмента персональных данных, содержит требования к созданию, внедрению, поддержанию и совершенствованию системы управления персональными данными

  • SOC 2

    Это стандарт безопасности, разработанный Американским институтом дипломированных присяжных бухгалтеров (AICPA). Он дает независимую оценку контрольных процедур по управлению рисками кибербезопасности в IT-компаниях, предоставляющих сервисы пользователям. В стандарте особое внимание уделяется приватности и конфиденциальности данных.

  • SOC 3

    Публичная форма отчёта о результатах аудита SOC, из которого пользователи и клиенты могут узнать, как Яндекс заботится о безопасности, обработке, защите, доступности, конфиденциальности и целостности данных.

  • PСI DSS

    Содержит набор требований для защиты данных держателей карт. Требования обязательны и распространяются на все компании, обрабатывающие данные платёжных систем.

Управление приватностью

Яндекс использует самые современные технологии и системы безопасности в своей инфраструктуре, чтобы обеспечить защиту данных пользователей. Мы также предоставляем им возможность управлять своими данными и решать, какую информацию о них может хранить Яндекс.

Инструмент управления пользовательскими данными

В июне 2021 года Яндекс внедрил в личный кабинет Яндекс ID инструмент для управления пользовательскими данными. С его помощью пользователи могут запросить полную выгрузку и удаление персональных данных, накопленных о них сервисами Яндекса. На конец 2021 года таких сервисов было 70, а в 2022 году возможность удалять свои данные появилась во всех основных сервисах Яндекса. Аналогичный инструмент доступен и бизнес-партнёрам Яндекса, которые могут запрашивать и удалять архив с данными для своих бизнес-аккаунтов.

Защита Яндекс ID

Технология проверки паролей на безопасность: если пароль пользователя скомпрометирован, система немедленно предложит его сбросить и заменить. Также проверяется номер телефона при входе в аккаунт по коду из смс. Если владелец номера сменился, то войти в аккаунты предыдущих владельцев по такому номеру не получится.

Your Tracking Protection

Функция блокировки сторонних трекеров в Яндекс Браузере, которая позволяет пользователям получить доступ к списку всех сторонних трекеров и выбрать, какие из них разрешить или заблокировать.

Защита от мошенничества

Мы выявляем мошеннические ссылки из поисковой выдачи и удаляем их, чтобы защитить пользователей от переходов на сайты, предлагающих сомнительные платные услуги и несуществующие сервисы. Яндекс Браузер также показывает отзывы на сайты и предупреждает о рисках.

Менеджер паролей Яндекса

Автоматический генератор надёжных и уникальных паролей и встроенное хранилище паролей для безопасной и бесшовной авторизации.

Охота за ошибками

Выявляют уязвимости не только наши специалисты по безопасности данных. Нам помогают пользователи в рамках программы «Охота за ошибками», которая предлагает денежное вознаграждение за найденные недочёты в продуктах и сервисах. Участники конкурса получают призы и попадают в Зал славы. В рамках «Охоты за ошибками» есть несколько направлений, каждая со своими правилами и положениями.

Система информационной безопасности

Каждый сотрудник Яндекса несёт ответственность за сохранность данных пользователей: регулярно проходит обучение по информационной безопасности и защите персональных данных и должен строго следовать правилам.
Есть в компании и специальная служба информационной безопасности, а на уровне топ-менеджмента выделены отдельные роли директора по ИБ и директора по защите данных. СИБ отвечает за обеспечение безопасности инфраструктуры Яндекса и сервисов, внедрение ведущих стандартов ИБ, мониторинг уязвимостей, проведение аудитов, расследование инцидентов и многое другое. А руководитель службы регулярно отчитывается совету директоров.
Мониторинг рисков кибербезопаности — это непрерывный процесс, который сопровождается упреждающими мерами по обнаружению уязвимостей и чёткими инструкциями, как действовать в случае возникновения инцидента. И несмотря на то, что мы годами трудимся над созданием безопасных и надёжных систем защиты, которые делают инциденты крайне маловероятными, всегда существует их ничтожная вероятность, к которой мы хотим быть готовым.
Мы считаем, что честная коммуникация — это ключ к минимизации ущерба, поэтому обязуемся немедленно информировать пользователей в случае, если их данные были скомпрометированы.
  • Мы даём пользователям право управлять своими данными и разработали для этого отдельный инструмент.
  • Мы используем данные пользователей только для создания новых сервисов и улучшения уже существующих.
  • Мы никогда и никому не продаём данные пользователей.
  • Мы обрабатываем персональные данные только с опредёленными целями и только те данные, которые имеют к ним непосредственное отношение.
  • Мы не храним данные дольше необходимого. Это время, в течение которого мы используем информацию для достижения цели, для которой она собиралась, или срок хранения, предусмотренный законодательством.
  • Мы прозрачно рассказываем о том, как работаем с данными пользователей и запросами госорганов.
  • Если нам необходимо раскрыть информацию о пользователе по запросу органов государственной власти, мы делаем это в строгом соответствии с законом и только в минимальном объёме. В нашем Transparency Report мы регулярно сообщаем о количестве запросов, по которым была раскрыта та или иная информация.
  • Мы обязуемся действовать в строгом соответствии со всем применимым законодательством о защите персональных данных.

Полезные материалы