Как ONLYOFFICE Enterprise Edition может помочь вашей компании соответствовать требованиям GDPR

Все компании, так или иначе работающие с резидентами Евросоюза, уже обновили свои положения о конфиденциальности в соответствии с требованиями Общего регламента по защите данных (GDPR). Помните ту лавину писем?

Мы уверены, что сохранность персональных данных наших пользователей важна для вас не меньше, чем для нас, в ONLYOFFICE. Прочитайте эту статью, чтобы узнать, как ONLYOFFICE Enterprise Edition может помочь вашей компании соответствовать требованиям GDPR.

onlyoffice enterprise edition gdpr compliance

Двойная ответственность: контроллеры и процессоры данных

Согласно GDPR, ONLYOFFICE действует и как контроллер, и как процессор данных. Подробности можно узнать из этого поста.

Работая с персональными данными ваших клиентов в ONLYOFFICE, вы также являетесь контроллером данных. Вот почему мы должны обеспечить не только соответствие своего продукта требованиям закона, но и сделать максимум, чтобы помочь вашей организации работать в соответствии с ним.

Ключевые права пользователей

GDPR гарантирует следующие права пользователей — право получить доступ к своим данным, обновить или удалить их, право направить жалобу в надзорный орган и многие другие.

Мы обновили наше Положение о конфиденциальности, чтобы обеспечить реализацию этих прав. Далее мы расскажем, как соблюдать их при администрировании портала ONLYOFFICE Enterprise Edition.

Право на доступ к данным

Как администратор и пользователь портала, вы получаете доступ к следующим персональным данным: полное имя, email, дата рождения, контактная информация.

Вы можете легко обновить личную информацию на странице Профиля. Чтобы изменить пароли и адреса электронной почты, потребуется пройти дополнительные шаги. По соображениям безопасности, пароли не показываются и не высылаются пользователям напрямую. Вместо этого вы получите инструкции, как продолжить работу, на электронную почту.

Администраторы также могут менять email и пароль по запросу пользователей.

Редактирование профиля на портале

 

Право на забвение / Право отказаться

Увольняясь из организации, вы можете самостоятельно удалить свои личные данные c портала ONLYOFFICE (инструкции также будут высланы вам на почту) или попросить администратора сделать это.

Чтобы остановить обработку персональных данных, администраторы могут заблокировать пользователей. В этом случае созданный ими контент и сами данные не удаляются и могут быть восстановлены.

Также можно полностью удалить все данные пользователя, включая:

  • все персональные документы;
  • отчеты CRM;
  • все сообщения из почти и прикрепленные файлы;
  • прикрепленные файлы из Чата.

Чтобы не потерять важную для компании информацию, администраторы могут передать документы, задачи и т.п. другому пользователю, переназначив их владельца.

Передача данных при удалении пользователей в ONLYOFFICE

Право быть уведомленным об утечке

В случае утечки данных администраторы обязаны уведомить пользователей в течение 72 часов, связавшись с ними по электронной почте или в корпоративном мессенджере ONLYOFFICE.

Защита данных

Открытый исходный код гарантирует прозрачность и надежность решения. Установка ONLYOFFICE Enterprise Edition на локальном сервере дает полный контроль над защитой аппаратных средств, а также позволяет вручную поддерживать стабильность системы. Вам не придется полагаться на сторонних провайдеров, и вы можете быть уверены, что никто кроме ваших сотрудников не получит доступ к данным, которые хранятся на портале.

Кроме того, в ONLYOFFICE Enterprise Edition есть все необходимые инструменты для повышения безопасности.

Защитите данные от взлома

Чтобы зашифровать трафик портала, включите HTTPS в Панели управления.
 
Контролируйте доступ к порталу

Настройки безопасности портала

 

  • Чтобы безопасно перенести ранее созданные учетные данные пользователей на портал ONLYOFFICE, используйте функцию LDAP в Панели управления.
  • Чтобы минимизировать риск утечки данных авторизации, включите аутентификацию с помощью SSO-сервисов  — Shibboleth, OneLogin, или AD FS.
  • Ограничьте возможность самостоятельной регистрации юзеров, задав доверенные почтовые домены, и исключите доступ нежелательных пользователей, выбрав доверенные IP-адреса.
  • Задайте параметры сложности пользовательских паролей (минимальную длину и типы символов).
  • Активируйте двухфакторную аутентификацию. В этом случае адреса электронной почты и пароля будет мало, чтобы войти на портал — потребуется ввести код, пришедший в SMS.
  • Настройте время существования сессий, чтобы задать время (в минутах), которое пройдет, прежде чем пользователям портала потребуется заново вводить пару логин-пароль.

Контролируйте доступ к важным файлам

  • Определите роли участников портала и их права: гости имеют возможность просматривать файлы, пользователи обладают всеми базовыми правами, а администраторы могут настраивать портал и управлять им.

Добавление администраторов в ONLYOFFICE
 

* Трафик портала автоматически защищен с помощью технологии JWT (JSON Web Token). Таким образом, пользователи не смогут получить доступ к большему количеству данных, чем им разрешено, что очень важно в случае приглашения сторонних юзеров.

Отслеживайте потенциально опасное поведение

  • Отслеживайте удачные и неудачные попытки входа в систему.
  • Используйте Журнал аудита, чтобы мониторить действия пользователей портала.

Эти функции можно найти в Настройках безопасности.
 
Предотвращайте потери данных

Резервное копирование ONLYOFFICE

 

Подробную информацию о системе безопасности ONLYOFFICE можно найти здесь. Чеклист по безопасности ONLYOFFICE Enterprise Edition ищите у нас в блоге.

Если у вас остались вопросы о соответствии ONLYOFFICE требованиям GDPR, пожалуйста, свяжитесь с нами support.onlyoffice.com.

 

Add a comment