Все компании, так или иначе работающие с резидентами Евросоюза, уже обновили свои положения о конфиденциальности в соответствии с требованиями Общего регламента по защите данных (GDPR). Помните ту лавину писем?
Мы уверены, что сохранность персональных данных наших пользователей важна для вас не меньше, чем для нас, в ONLYOFFICE. Прочитайте эту статью, чтобы узнать, как ONLYOFFICE Enterprise Edition может помочь вашей компании соответствовать требованиям GDPR.
Согласно GDPR, ONLYOFFICE действует и как контроллер, и как процессор данных. Подробности можно узнать из этого поста.
Работая с персональными данными ваших клиентов в ONLYOFFICE, вы также являетесь контроллером данных. Вот почему мы должны обеспечить не только соответствие своего продукта требованиям закона, но и сделать максимум, чтобы помочь вашей организации работать в соответствии с ним.
GDPR гарантирует следующие права пользователей – право получить доступ к своим данным, обновить или удалить их, право направить жалобу в надзорный орган и многие другие.
Мы обновили наше Положение о конфиденциальности, чтобы обеспечить реализацию этих прав. Далее мы расскажем, как соблюдать их при администрировании портала ONLYOFFICE Enterprise Edition.
Право на доступ к данным
Как администратор и пользователь портала, вы получаете доступ к следующим персональным данным: полное имя, email, дата рождения, контактная информация.
Вы можете легко обновить личную информацию на странице Профиля. Чтобы изменить пароли и адреса электронной почты, потребуется пройти дополнительные шаги. По соображениям безопасности, пароли не показываются и не высылаются пользователям напрямую. Вместо этого вы получите инструкции, как продолжить работу, на электронную почту.
Администраторы также могут менять email и пароль по запросу пользователей.
Право на забвение / Право отказаться
Увольняясь из организации, вы можете самостоятельно удалить свои личные данные c портала ONLYOFFICE (инструкции также будут высланы вам на почту) или попросить администратора сделать это.
Чтобы остановить обработку персональных данных, администраторы могут заблокировать пользователей. В этом случае созданный ими контент и сами данные не удаляются и могут быть восстановлены.
Также можно полностью удалить все данные пользователя, включая:
- все персональные документы;
- отчеты CRM;
- все сообщения из почти и прикрепленные файлы;
- прикрепленные файлы из Чата.
Чтобы не потерять важную для компании информацию, администраторы могут передать документы, задачи и т.п. другому пользователю, переназначив их владельца.
Право быть уведомленным об утечке
В случае утечки данных администраторы обязаны уведомить пользователей в течение 72 часов, связавшись с ними по электронной почте или в корпоративном мессенджере ONLYOFFICE.
Открытый исходный код гарантирует прозрачность и надежность решения. Установка ONLYOFFICE Enterprise Edition на локальном сервере дает полный контроль над защитой аппаратных средств, а также позволяет вручную поддерживать стабильность системы. Вам не придется полагаться на сторонних провайдеров, и вы можете быть уверены, что никто кроме ваших сотрудников не получит доступ к данным, которые хранятся на портале.
Кроме того, в ONLYOFFICE Enterprise Edition есть все необходимые инструменты для повышения безопасности.
Защитите данные от взлома
Чтобы зашифровать трафик портала, включите HTTPS в Панели управления.
Контролируйте доступ к порталу
- Чтобы безопасно перенести ранее созданные учетные данные пользователей на портал ONLYOFFICE, используйте функцию LDAP в Панели управления.
- Чтобы минимизировать риск утечки данных авторизации, включите аутентификацию с помощью SSO-сервисов – Shibboleth, OneLogin, или AD FS.
- Ограничьте возможность самостоятельной регистрации юзеров, задав доверенные почтовые домены, и исключите доступ нежелательных пользователей, выбрав доверенные IP-адреса.
- Задайте параметры сложности пользовательских паролей (минимальную длину и типы символов).
- Активируйте двухфакторную аутентификацию. В этом случае адреса электронной почты и пароля будет мало, чтобы войти на портал – потребуется ввести код, пришедший в SMS.
- Настройте время существования сессий, чтобы задать время (в минутах), которое пройдет, прежде чем пользователям портала потребуется заново вводить пару логин-пароль.
Контролируйте доступ к важным файлам
- Определите роли участников портала и их права: гости имеют возможность просматривать файлы, пользователи обладают всеми базовыми правами, а администраторы могут настраивать портал и управлять им.
- Задайте права доступа для каждого модуля на портале.
- Управляйте правами доступа внутри модулей – ограничьте доступ к любой задаче, контакту и т.д. в CRM, делитесь документами и папками, предоставляя различный уровень прав доступа (чтение, рецензирование, редактирование)* в модуле Документы.
* Трафик портала автоматически защищен с помощью технологии JWT (JSON Web Token). Таким образом, пользователи не смогут получить доступ к большему количеству данных, чем им разрешено, что очень важно в случае приглашения сторонних юзеров.
Отслеживайте потенциально опасное поведение
- Отслеживайте удачные и неудачные попытки входа в систему.
- Используйте Журнал аудита, чтобы мониторить действия пользователей портала.
Эти функции можно найти в Настройках безопасности.
Предотвращайте потери данных
- Чтобы гарантировать сохранность данных в маловероятном случае технического сбоя, автоматизируйте процесс резервного копирования в Панели управления.
Подробную информацию о системе безопасности ONLYOFFICE можно найти здесь. Чеклист по безопасности ONLYOFFICE Enterprise Edition ищите у нас в блоге.
Если у вас остались вопросы о соответствии ONLYOFFICE требованиям GDPR, пожалуйста, свяжитесь с нами support.onlyoffice.com.
