ONLYOFFICE готов к GDPR

Для ONLYOFFICE безопасность персональных данных наших пользователей всегда была одной из главных ценностей, и мы приветствуем вступление в силу нового Общего регламента по защите данных (GDPR), принятого в Евросоюзе.

Из этого поста вы узнаете, какие меры принял ONLYOFFICE, чтобы соответствовать требованиям GDPR.

Одобренный Европарламентом в апреле 2016 года, документ дает резидентам Евросоюза все инструменты для полного контроля над своими персональными данными. Компании, обрабатывающие их персональные данные, должны действовать согласно следующим принципам:
 

• Необходимо практиковать “минимализм данных” и не собирать больше личных данных, чем необходимо для целей обработки.
• Персональные данные должны обрабатываться законно и прозрачно. При этом компаниям следует излагать информацию о целях, методах и объёмах обработки персональных данных максимально доступно.
• У пользователей есть право получить доступ к своим персональным данным, которые хранит компания, запросить их копию, обновить, удалить или перенести в другую организацию.
• При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Полный текст постановления можно прочитать здесь.

Согласно GDPR, существует два типа компаний, обрабатывающих персональные данные пользователей:
 

• Контроллер данных, или data controller, определяет цели и способы обработки персональных данных.
• Процессор данных, или data processor, является исполнителем и обрабатывает (например, хранит или анализирует данные) в соответствии с целями и требованиями контроллера.

ONLYOFFICE действует и как контроллер, и как процессор данных. Например, когда вы заносите данные своих клиентов в нашу CRM-систему, вы являетесь контроллером, а мы процессором. В то же время, когда мы обрабатываем ваши данные и предоставляем вам свои сервисы, мы являемся контроллером. Поэтому для нас важно соответствовать требованиям GDPR и как процессор, и как контроллер данных.

Мы здорово потрудились, чтобы привести наши сервисы в соответствие с требованиями постановления.

Обновление юридической информации

Мы пересмотрели наши юридические соглашения – Условия использования, Положение о конфиденциальности – и внесли все необходимые правки. Мы подробно описали, какие именно персональные данные использует ONLYOFFICE, как они хранятся и обрабатываются, а также какие меры мы предпринимаем для их защиты. Кроме того, мы доработали пункты о согласии на обработку персональных данных и возможности отказаться от неё, а также от получения наших маркетинговых рассылок.

Рекомендуем вам ознакомиться с текстами документов в разделе Юридическая информация.

Назначение ответственного за защиту персональных данных

Мы назначили сотрудника по защите данных (data protection officer, или DPO) для управления процессами обработки данных пользователей и контроля за соблюдением требований GDPR. Им стал Тимур Шугаев, наш менеджер, обладающий всеми необходимыми знаниями в области защиты данных и юриспруденции. С ним можно связаться, написав на почту.

Улучшения в управлении данными и права пользователей

Мы проанализировали все системы ONLYOFFICE, принимающие участие в обработке личных данных пользователей. Некоторое время назад в ONLYOFFICE уже были внедрены повышенные меры безопасности, однако для нас было важно настроить работу так, чтобы пользователи могли реализовать свои права, гарантированные GDPR, включая:
 

• Право получить доступ к данным. Пользователи имеют право запросить подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться. Всю эту информацию можно получить, отправив нам запрос.
• Право на забвение дает возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам. Вы также можете стереть всю информацию, которая хранится в облаке. Например, если вы пользуетесь корпоративным порталом ONLYOFFICE, вы можете сделать это в разделе настроек Управление данными. Чтобы удалить персональный портал, зайдите в свой профиль.
• Право отказаться и отозвать ранее данное согласие на обработку персональных данных.
• Право быть уведомленным об утечке данных. Мы уже организовали работу так, что в маловероятном случае утечки и пользователи, и надзорные органы получат уведомление в течение предусмотренных законом 72 часов.

Чтобы отправить запрос на доступ, удаление данных или любой другой, касающийся прав субъекта, воспользуйтесь нашей саппорт-системой или свяжитесь с нами по почте support@onlyoffice.com. В случае отправки запроса вам нужно будет пройти простую процедуру идентификации.

Согласно GDPR, каждая компания должна внедрить надежную систему безопасности – в ONLYOFFICE она уже внедрена. Вот почему вы можете быть уверены в ONLYOFFICE:

Надежный хостинг

Amazon уже подтвердил, что все его сервисы полностью соответствуют требованиям GDPR. Среди предоставляемых провайдером инструментов мы выбрали следующие:
 

• Шифрование данных. Доступ к порталу ONLYOFFICE разрешен только по HTTPS с SSL-шифрованием, а файлы хранятся с шифрованием 256-bit AES.
• Регулярные бэкапы. ONLYOFFICE гарантирует автоматическое резервное копирование данных каждые 10 дней. Владельцы порталов также могут осуществлять резервное копирование данных самостоятельно в любое время.
• Регулярное тестирование и оценка эффективности технических и организационных мер, применяемых для обеспечения безопасности.

Фильтрация и мониторинг аутентификации

ONLYOFFICE предлагает ряд функций, чтобы защитить ваш веб-офис. Среди них:
 

• Двухфакторная аутентификация;
• SSO с помощью Shibboleth, OneLogin и AD FS;
• Ограничение доступа по IP и доверенные почтовые домены;
• История входов в систему;
• Журнал аудита.

Управление правами доступа и предотвращение утечек данных

Вы можете быть уверены, что несанкционированный доступ к вашим данным и данным ваших клиентов исключен благодаря:
 

• Локальной установке. Вы можете развернуть ONLYOFFICE в своей локальной сети. Дополнительные меры безопасности, которые вы можете применить описаны в этом чеклисте.
• JWT-защите от несанкционированного доступа. JWT защищает трафик портала и гарантирует, что пользователи не смогут получить доступ к большему количеству данных, чем им разрешено.
• HTTPS для локального сервера. ONLYOFFICE позволяет шифровать трафик за счет переключения на протокол HTTPS порталов, размещенных на собственном сервере, независимо от того, есть ли у вас уже SSL-сертификат.
• Управлению правами доступа. Пользователей вашего приватного портала можно легко объединить в группы и иерархически упорядочить. Распределите права доступа к модулям портала и данным для каждого пользователя или группы, чтобы защитить определенную информацию от нежелательного внимания и действий инсайдеров.

Узнайте больше о программе безопасности ONLYOFFICE на официальном сайте.

ONLYOFFICE полностью поддерживает Общий регламент по защите данных и разделяет его ценности. Мы всегда относились к личным данным пользователей с уважением и будем относиться к ним так всегда.

Если у вас есть вопросы о GDPR и ONLYOFFICE, пишите нам support.onlyoffice.com.