• 0

Политика безопасности

ПОЛИТИКА БЕЗОПАСНОСТИ ОБРАБОТКИ ДАННЫХ
Интернет-магазин pdecor.by (ООО "Вип-Ново")
(далее – Оператор, Компания, Мы)


«28» апреля 2025 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика безопасности (далее – Политика) определяет систему мер, направленных на обеспечение безопасности и защиты информации, обрабатываемой в информационной системе Интернет-магазина pdecor.by (далее – Сайт), в частности персональных данных Пользователей (Покупателей), в соответствии с законодательством Республики Беларусь.
1.2. **Цель Политики:** Предотвращение несанкционированного доступа, использования, разглашения, изменения, блокирования или уничтожения информации, в том числе персональных данных.
1.3. **Область применения:** Политика распространяется на все информационные ресурсы, системы и процессы, связанные с функционированием Сайта и обработкой данных Пользователей, включая серверы, базы данных, административные панели, средства связи.
1.4. **Нормативная база:**
    *   Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»
    *   Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»
    *   Закон Республики Беларусь от 09.01.2002 № 90-З «О защите прав потребителей»
    *   Постановление Совета Министров РБ от 22.07.2014 № 703 «Об утверждении Правил осуществления розничной торговли и общественного питания» (в части дистанционной торговли)
    *   Иные нормативные правовые акты РБ в сфере информационной безопасности и защиты данных.
    *   Внутренние документы Оператора.
1.5. **Принципы безопасности:**
    *   Законность и справедливость обработки.
    *   Ограничение обработки заявленными целями.
    *   Минимизация данных (сбор только необходимых данных).
    *   Достоверность данных.
    *   Ограничение хранения.
    *   Конфиденциальность и целостность.
    *   Подотчетность и ответственность.

2. КАТЕГОРИИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ И РИСКИ

2.1. **Основные категории информации, требующие защиты:**
    *   **Персональные данные Пользователей (Покупателей):** ФИО, контактные телефоны, адреса электронной почты, почтовые адреса (доставки/установки), данные для выставления счетов (для юр. лиц), записи обращений в поддержку, IP-адреса, cookie-файлы (с согласия).
    *   **Данные заказов:** Состав заказа (выбранные солнцезащитные системы, характеристики, размеры, цвет), стоимость, история заказов, статусы оплаты и доставки/монтажа.
    *   **Платежная информация:** Данные банковских карт обрабатываются **исключительно** сертифицированными платежными шлюзами (например, bePaid, CloudPayments). Оператор **не хранит** и **не обрабатывает** напрямую реквизиты карт (номер CVV/CVC, полный номер карты). Хранятся только токены платежей или идентификаторы транзакций для сверки.
    *   **Техническая информация:** Логи серверов, данные аудита доступа, информация об устройствах и браузерах Пользователей (для обеспечения функциональности и безопасности).
    *   **Информация о замерах:** Чертежи, схемы, спецификации, созданные в процессе оказания услуг замера (если применимо). **Особо конфиденциальная информация!**
2.2. **Основные угрозы и риски:**
    *   Несанкционированный доступ к данным (взлом Сайта, БД, почты, административных панелей).
    *   Утечка данных (через уязвимости, действия персонала, фишинг).
    *   Изменение или уничтожение данных (вирусы-шифровальщики, действия злоумышленников).
    *   Нарушение доступности Сайта (DDoS-атаки).
    *   Мошеннические операции (кардинг).

3. ОРГАНИЗАЦИОННЫЕ МЕРЫ БЕЗОПАСНОСТИ

3.1. **Ответственность:** Назначение ответственного лица за организацию обработки и обеспечение безопасности персональных данных (может быть руководитель или назначенный сотрудник). Определение зон ответственности.
3.2. **Политики и инструкции:** Разработка и внедрение внутренних регламентов:
    *   Инструкция по обработке ПДн.
    *   Регламент доступа к информационным системам и данным.
    *   Политика использования электронной почты и интернета.
    *   Регламент резервного копирования и восстановления.
    *   План реагирования на инциденты безопасности.
3.3. **Обучение и информирование персонала:** Регулярное обучение сотрудников, имеющих доступ к данным, правилам безопасности, обработки ПДн, распознаванию фишинга.
3.4. **Обработка обращений субъектов ПДн:** Четкий порядок рассмотрения запросов Пользователей на доступ, исправление, удаление их ПДн.
3.5. **Контроль доступа:**
    *   Принцип минимальных привилегий (сотрудники получают доступ только к данным, необходимым для выполнения задач).
    *   Уникальные учетные записи с надежными паролями (требование сложности, регулярная смена).
    *   Использование двухфакторной аутентификации (2FA) для доступа к критически важным системам (админ-панель Сайта, хостинг, почта).
    *   Регулярный пересмотр прав доступа.
    *   Запрет на использование учетных записей общего доступа.
3.6. **Работа с подрядчиками:** Заключение договоров с четкими положениями о конфиденциальности и безопасности с хостинг-провайдерами, платежными шлюзами, сервисами рассылок, службами доставки/монтажа. Оценка их уровня безопасности. **Особенно важно для данных замеров!**
3.7. **Управление инцидентами:**
    *   Процедуры выявления, регистрации и расследования инцидентов безопасности (утечки, взломы).
    *   План реагирования, включая уведомление регулятора (ОАЦ при Президенте РБ) и субъектов ПДн в случаях, предусмотренных законом.
    *   Анализ причин и принятие мер по предотвращению повторения.

4. ТЕХНИЧЕСКИЕ МЕРЫ БЕЗОПАСНОСТИ

4.1. **Защита каналов связи:**
    *   Обязательное использование протокола **HTTPS (SSL/TLS)** с актуальными сертификатами для всего Сайта. Шифрование передачи данных между браузером пользователя и сервером.
4.2. **Защита веб-приложения (Сайта):**
    *   Регулярное обновление CMS (системы управления сайтом), плагинов, тем, скриптов до актуальных версий.
    *   Использование Web Application Firewall (WAF) для фильтрации вредоносного трафика (например, Cloudflare WAF, встроенные WAF хостинга).
    *   Защита от распространенных веб-атак (SQL-инъекции, XSS, CSRF, брутфорс).
    *   Валидация и санитизация всех входных данных от пользователей.
4.3. **Защита серверной инфраструктуры:**
    *   Выбор надежного хостинг-провайдера с хорошей репутацией в сфере безопасности. Предпочтение серверам с локализацией в РБ или ЕАЭС (если применимо).
    *   Регулярное обновление операционной системы и ПО сервера.
    *   Настройка межсетевого экрана (Firewall) для блокировки нежелательного трафика.
    *   Отключение ненужных сервисов и портов.
    *   Мониторинг безопасности и активности сервера.
4.4. **Защита баз данных:**
    *   Разделение веб-сервера и сервера БД.
    *   Шифрование чувствительных данных в БД (например, адреса электронной почты, телефоны – с использованием стойких алгоритмов шифрования).
    *   Регулярное резервное копирование БД (см. п. 4.6).
    *   Ограничение доступа к БД по IP и с использованием строгих учетных данных.
4.5. **Защита от вредоносного ПО:** Использование антивирусного ПО на рабочих станциях сотрудников и серверах (если применимо). Регулярное сканирование.
4.6. **Резервное копирование и восстановление:**
    *   Регулярное (ежедневное/еженедельное) автоматическое резервное копирование файлов Сайта и баз данных.
    *   Хранение резервных копий на отдельном защищенном сервере/в облаке, изолированно от основного сервера.
    *   Регулярная проверка возможности восстановления из резервных копий.
    *   Срок хранения резервных копий – не менее, чем требуется для восстановления после инцидента и выполнения требований законодательства.
4.7. **Управление паролями:**
    *   Требование к сложности паролей (мин. длина 12 символов, буквы верхнего/нижнего регистра, цифры, спецсимволы).
    *   Запрет на использование простых и повторяющихся паролей.
    *   Использование менеджеров паролей сотрудниками.
    *   Регулярная (не реже 1 раза в квартал) смена паролей для критичных систем.
4.8. **Защита данных замеров:** Особые меры для файлов с замерами (чертежи, схемы): шифрование при хранении и передаче, строгий контроль доступа, безопасное удаление после окончания гарантийного срока или по запросу клиента.

5. ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ

5.1. Сотрудники, подрядчики и иные лица, получившие доступ к конфиденциальной информации (особенно ПДн и данным замеров), обязаны соблюдать конфиденциальность в соответствии с трудовыми договорами, договорами подряда и Политикой конфиденциальности.
5.2. Запрет на разглашение конфиденциальной информации без согласия субъекта данных или оснований, предусмотренных законом.

6. МОНИТОРИНГ И АУДИТ

6.1. Регулярный мониторинг систем безопасности (логи сервера, логи WAF, логи доступа к админ-панели).
6.2. Проведение периодических тестов на проникновение (Penetration Testing) и аудитов безопасности силами независимых специалистов (рекомендуется не реже 1 раза в год или после значительных изменений на Сайте).
6.3. Регулярный пересмотр и обновление настоящей Политики безопасности и связанных регламентов (не реже 1 раза в год).

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Настоящая Политика безопасности является внутренним документом Оператора.
7.2. Контроль за соблюдением требований Политики безопасности возлагается на [Должность ответственного лица, например, Директора или Ответственного за защиту ПДн].
7.3. Нарушение требований Политики безопасности влечет за собой дисциплинарную, материальную, административную или уголовную ответственность в соответствии с законодательством Республики Беларусь.

Реквизиты Оператора:

 ООО «Вип-Ново» УНП 491266693, юр. адрес: 247434, г. Светлогорск, ул. Спортивная 11/1, офис 12, банк. реквизиты: р/с BY90SLAN30125680300000100000 в ЗАО "Банк ВТБ”, БИК SLANBY22, тел.: +375 (29) 307-41-53, email: svt.pr.decor@mail.ru.