Navigation SearchNavigation ContactNavigation Products

В центре внимания:
безопасность и целостность информации

С самого начала своей деятельности DDI уделяла особое внимание сохранению целостности данных.  DDI верна обязательству работать так, чтобы укрепить уверенность в нашей компании и доверие к нам. Это невозможно без надлежащего использования и управления персональными данными, которые предоставляют наши коллеги, клиенты и поставщики.  Сотрудники DDI, работающие по всему миру, проходят обучение передовым стандартам в области защиты информации — это помогает нам обезопасить данные клиентов.

Как мы видим свою миссию по обеспечению безопасности информации

  • Обеспечение абсолютной прозрачности в вопросах использования и управления данными.
  • Помощь нашим клиентам: получение максимальных преимуществ от предоставления нам своих данных при сокращении потенциальных рисков.
  • Использование передового опыта при реализации собственных политик конфиденциальности и мер, направленных на выполнение нормативных требований к организации защиты информации.
  • Обеспечение высокой степени безопасности данных наших клиентов.

Наш подход к вопросам защиты данных

DDI реализует многоступенчатый подход к защите пользовательской информации (информация о кандидате, участнике, обучающемся, администраторе и клиенте) и предотвращению несанкционированного доступа, изменения или уничтожения данных.  Наши правила и процедуры помогают нам:

  • определять механизмы защиты данных и предотвращать их ненадлежащее использование;
  • обучать сотрудников DDI безопасному управлению данными и идентификации потенциальных угроз безопасности;
  • предоставлять информационный канал для обработки поступающих запросов о политике конфиденциальности и системах компании.

Управление безопасностью

Для обеспечения целостности информации DDI изыскала надлежащие ресурсы, разработала соответствующие правила и внедрила определенные процедуры по защите данных, в том числе предусмотрела Отдел по защите информации и должность инспектора по защите информации, который на регулярной основе следит за изменениями международных стандартов информационный безопасности. 

Инспектор по защите информации DDI определяет и совершенствует концепцию и стратегию информационной безопасности и соблюдения соответствующих законов. Основной целью такой работы является обеспечение общей согласованности действий компании, проверка эффективности управления рисками и достижения поставленных задач.

Обучение вопросам безопасности

DDI проводит регулярное обучение сотрудников на предмет защиты конфиденциальных сведений и информирует их о передовом опыте в данной сфере.   Конечные пользователи учатся распознавать фишинг, ловушки социальной инженерии, вредоносные ссылки и файлы.

Обработка данных

В зависимости от контекста своей коммерческой деятельности DDI может выступать как в роли контролера, так и в роли обработчика данных.  При сборе и обработке данных в контексте маркетинга, продаж или исследований под руководством DDI последняя выступает в качестве «Контролера данных» и выполняет предписанные правила и требования, отвечающие данной роли.  При сборе и обработке данных, получаемых в ходе мероприятия, проводимого за счет клиентов, клиенты имеют статус «Контролера».  DDI выступает в роли «Обработчика данных» и выполняет все соответствующие требования, предъявляемые к Обработчику данных. 

Безопасность в партнерских отношениях

Безопасность и конфиденциальность наших клиентов — наша общая с клиентами зона ответственности.  DDI предлагает безопасную платформу для доступа клиентов к своим данным и их использования.  Кроме того, DDI предоставляет инструменты, сервисы, поддержку и ресурсы, которые позволяют клиентам быть уверенными в безопасности своих данных на протяжении всего процесса взаимодействия с компанией DDI. См. Заявление о конфиденциальности DDI.

Клиенты совместно с компанией отвечают за безопасность своих данных во время и после завершения сотрудничества с компанией DDI.  Клиенты должны понимать, какие данные собираются и хранятся в системах DDI, и определять соответствующую политику передачи и раскрытия данных, гарантирующую получение этой информации только теми лицами, которые имеют полномочия на доступ к ней.  Политика передачи и раскрытия информации должна учитывать возможные риски и нормативные требования, которые, в свою очередь, определяются важностью и категорией информации.

Категории информации

  • Персональные данные включают любую информацию, которая идентифицирует вас как личность. Мы осуществляем сбор, получаем доступ и используем или раскрываем персональные данные исключительно для достижения законных и обоснованных деловых целей. Мы обеспечиваем надлежащий уровень защиты информации и не раскрываем ее никому внутри и за пределами компании без конкретной и обоснованной деловой цели.
  • Важная/конфиденциальная информация — это любая информация, представляющая ценность, в отношении которой действуют юридические запреты на разглашение, или же это информация, раскрытие которой нарушит право на неприкосновенность частной жизни лица.  Доступ к конфиденциальной информации предоставлен только внутренним пользователям DDI, которым она необходима для выполнения договорных обязательств и (или) контроля безопасности данных.  Программное обеспечение как услуга (SaaS), поставщиком которого является DDI, не собирает и не хранит конфиденциальную информацию. 
  • Диагностические данные/показатели производительности собираются в процессе исполнения контрактных обязательств перед клиентами, согласно их условиям.  Хранилище данных приложений DDI имеет ограниченный доступ, снижающий вероятность несанкционированного использования информации сторонними лицами.  Доступ к нему предоставлен только внутренним пользователям компании DDI, которым информация необходима для выполнения договорных обязательств и (или) контроля безопасности данных. Доступ предоставляется также пользователям, проходящим процедуру идентификации и авторизации в соответствии с политикой передачи и раскрытия информации клиентов.
  • Публичная информация — информация для широкого доступа со стороны неограниченного круга лиц либо информация, доступ к которой может быть получен из других публичных источников.  Однако основной объем информации о людях подпадает под категорию Конфиденциальной или Важной информации, даже если общедоступен.

Принцип предоставления минимальных прав доступа

Доступ к данным

Доступ ко всем данным (вне зависимости от категории информации) предоставляется по принципу «минимальных прав», т. е. в первоочередном порядке доступ предоставляется тем лицам, потребность которых в информации обусловлена законной и обоснованной деловой целью. К таким лицам относятся конечные пользователи, администраторы и сотрудники различных служб поддержки.  Могут быть использованы дополнительные меры, обеспечивающие охрану информации в соответствии с требованиями безопасности для той или иной категории данных.  Доступ может быть разрешен следующим лицам:

Конечные пользователи

Конечными пользователями являются лица, участвующие в выполнении онлайн-заданий (например, тест или оценка) или прохождении опросов.

Администраторы клиента

Администраторы клиента — конечные пользователи, управляющие учетными записями и рабочими процессами системы DDI, такие как менеджеры по подбору персонала, специалисты по развитию персонала и другие специалисты по кадровым ресурсам.  Администраторами могут выступать сотрудники клиента или сотрудники DDI, вводящие персональные данные от имени клиента или соискателей и обрабатывающие их данные на разных этапах. 

Сотрудники службы поддержки

При поступлении запроса в службу технической поддержки от клиента последний может предоставить специалисту технической поддержки временный доступ к своей учетной записи.  У службы поддержки может возникнуть необходимость посмотреть тест конкретного пользователя, результаты оценки продукта или услуги или опрос в ходе разрешения проблемы.

Доступ к приложениям

В приложениях реализована ролевая модель управления доступом. Клиентская информация логически разделяется по определенным критериям: сайт, документ, пользователь и др.  Изменения системы отслеживаются с помощью передовых процессов управления изменениями.

Доступ к учетным записям

Конечным пользователям предоставлен доступ в рамках системы «предоставления минимальных прав доступа» только к той информации, которая требуется им для эффективного выполнения своей работы.  Администрирование и управление учетными записями строго контролируются компанией DDI. Для учетных записей и экранных заставок должны быть созданы надежные пароли.  Доступ к учетной записи автоматически блокируется после определенного количества неудачных попыток авторизации, а также после увольнения владельца учетной записи.

Доступ к базамданных

К базам данных доступ предоставляется только отдельным инженерам. Этот доступ позволяет им создавать резервные копии на удаленных системах и выполнять восстановление данных. Эти операции не требует просмотра или ознакомления с данными.

Доступ к центрам хранения и обработки данных или резервным копиям

Физический доступ к центрам хранения и обработки данных ограничен списком конкретных сотрудников DDI. Физический доступ не означает доступа к данным. Материальный носитель данных располагается на серверах в закрытых шкафах. Системы с резервными копиями сайтов хранятся в огнестойких шкафах в защищенных помещениях. Доступ в эти помещения ограничен и отслеживается.

Безопасная передача данных

В приложениях DDI данные обычно перемещаются между тремя основными сторонами — клиент и его сотрудники/кандидаты и DDI.  При использовании конечным пользователем приложения DDI сообщаемая им информация передается по поддерживающему шифрование протоколу (HTTPS).  Данные, обработанные серверами нашего приложения, передаются на серверы баз данных для хранения. Сервера с веб-данными и данными приложения и сервера баз данных размещены в различных логических и физических сетях, защищенных брандмауэрами.

DDI использует SSL/TLS 1.2 для доступа к данным приложения по протоколу HTTPS. Технология SSL стандартно используется во всех приложениях DDI, и резервное копирование на магнитной ленте поддерживает шифрования по алгоритму AES с длиной кода 256 бит. Шифруются также и пароли, сохраненные в базах данных приложения.  Все файлы (независимо от степени конфиденциальности) остаются зашифрованными при копировании с ноутбука DDI на внешний накопитель.

Разработка продуктов и управление кодом

Рабочий цикл разработки

DDI придерживается модели гибкой разработки программного обеспечения.  Такая модель разработки программного обеспечения дает DDI возможность быстро среагировать на потребности клиентов.  Мы намереваемся внедрить новый цикл выпуска кода — недельный. Это означает, что DDI планирует в среднем каждую неделю выпускать обновления и добавлять новые функции.  Модель гибкой разработки дает возможность чаще улучшать существующие и (или) добавлять новые функции. За рамками данной модели мы можем выпускать пакеты исправлений в зависимости от срочности.

(Цифровая) среда разработки

DDI использует отдельные приложения для тестирования обновленных кодов, а также для пробных версий программ. Это защищает данные от доступа и управления ими с помощью программы, находящейся в разработке.  Все коды в процессе разработки применяются к фиктивным тестовым базам данных.

Просмотр кода

Новые коды разрабатываются командой программистов или отдельными сотрудниками.  По окончании разработки код проходит экспертную оценку и испытание в среде тестирования, не связанной с эксплуатационной средой.  С помощью такого тестирования большинство ошибок устраняется до выпуска программы.  Код также проходит проверку программным путем с помощью инструмента поиска уязвимостей NTOSpider.

Управление кодами

Git используется для управления процессом разработки программного обеспечения и одновременно как сервис-репозиторий исходного кода.  Благодаря системе Git и связанным процессам не происходит перезапись изменений в процессе частого редактирования кода разработчиками внутри одного модуля.  Контроль изменений реализуется на нескольких уровнях во время разработки, испытаний в среде тестирования и внедрении и включает:

  • Ведение отчетности запросов на изменения, в том числе просмотр, одобрение и фиксация всех изменений, внесенных владельцем приложения.
  • Многоэтапный процесс разработки кода с контрольными пунктами на этапах: разработка — испытание в тестовой среде; испытание в тестовой среде — подготовка; подготовка — выпуск.
  • Многоступенчатые процессы испытаний и испытания в тестовой среде (тест — тест в системе — пользовательское тестирование). Разработка и модульное тестирование производятся в раздельных системах до этапа тестирования в системе и пользовательского тестирования в отдельной среде тестирования.

Безопасность инфраструктуры

Безопасный хостинг

DDI хранит клиентские приложения в центрах хранения и обработки данных, имеющих многочисленные сертификаты соответствия стандартам SSAE18, SOC 2 тип II, ISO / IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1.

DDI имеет выделенные сервера, расположенные на огороженной зоне площадью 8 футов x 16 футов (243 см х 457 см).  Доступ к этой территории имеют только сотрудники DDI, ответственные за работу серверов приложений и сетевых компонентов. Для защиты центра хранения и обработки данных также предусмотрены многочисленные системы, в том числе системы защиты от физического доступа. 

Ввиду того, что серверы могут подвергаться атакам, DDI стремится обеспечить их надлежащую защиту.  Меры, предпринимаемые DDI для повышения безопасности серверов, включают следующее.  [По соображениям безопасности мы не можем привести полную информацию о контроле за безопасностью.]

  • Блокировка или удаление неиспользуемых сервисов, приложений и сетевых протоколов.
  • Деактивация неиспользуемых и переименование стандартных учетных записей.
  • Установление требований к паролю в соответствии с политикой DDI о паролях.
  • Ведение журнала на сервере и сохранение контрольных следов, выполненных с данными операций
  • Установка антивирусных программ с файлами определения вредоносного ПО.
  • Файлы обновлений для системы безопасности, испытываемые сначала на тестовой платформе.

Непрерывность

Центр хранения и обработки данных подключен к системе с параллельным включением резерва/к резервным системам с источниками бесперебойного питания (UPS) и запасными генераторами.  Имеется подключение к многочисленным сетям телекоммуникационных компаний для бесперебойного доступа к сети Интернет. Нагрузка системы сбалансирована, доступ к сети обеспечивается несколькими провайдерами.

Аварийное восстановление

В DDI разработан детальный план аварийного восстановления работы компании в случае крупномасштабной аварии. Этот план обновляется по мере изменения инфраструктуры системы или конфигурации объединенных в фабрику серверов.

Сетевая безопасность

Наша система сконфигурирована таким образом, чтобы нагрузка делилась между двумя устройствами, обеспечивающими высокую доступность и ускорение обслуживания запросов. Процессы слушают порты TCP 80 или 443 (сессии SSL), к которым подключаются клиенты.  DDI использует серверную и сетевую систему обнаружения, отслеживающую вторжения в непрерывном режиме.

 

Защита от вредоносного программного обеспечения

Наша система отслеживания автоматически направляет предупреждения соответствующим сотрудникам, которые готовы принимать их 24 часа в сутки.  Все системы — персональные компьютеры, серверы, шлюзы и т. п. — защищены антивирусом Microsoft Endpoint Protection от вредоносного программного обеспечения, а также от «уязвимостей нулевого дня». Управление антивирусным ПО и его обновление осуществляется централизованно. 

Хранение и удаление данных

DDI реализует исчерпывающие меры по хранению, управлению и защите персональных данных.  Следуя рекомендациям, выработанным положительной практикой, DDI не хранит персональные данные дольше, чем они необходимы для выполнения контрактных обязательств и (или) нормативных требований.  Наша политика (1) предусматривает удаление/уничтожение или обезличивание персональных данных по истечении срока их хранения — не более 5 лет; и (2) разрешает хранение в обезличенном формате в течение неопределенного срока для деловых или исследовательских целей.

До 25 мая 2018 г. будет осуществляться постепенное резервное копирование данных в ночное время. Это необходимо, чтобы проверить, что все данные приложений и клиентская информация сохранены и могут быть восстановлены на случай потери данных или аварии.  После этой даты ночное резервное копирование будет возможно лишь в течение следующих 30 (тридцати) дней.

График резервного копирования и хранение данных

  • Резервные копии данных файловых серверов и базы данных: (хранение 35 дней на диске)
  • Виртуальные вычислительные машины: (хранение 35 дней на диске)
  • Сайты SharePoint Client: (хранение 35 дней на диске)
  • Ежемесячно копируемые на магнитную ленту данные: (хранение 1 год на ленте)
  • Ежегодно копируемые на ленту данные: (хранение 5 лет на ленте)

Реагирование на происшествие в системе безопасности

DDI реализует исчерпывающий план обнаружения аварийной ситуации и реагирования на нее, включающий обнаружение проникновения, сканирование системы и другие необходимые и эффективные мероприятия. Связанные с применением компьютеров происшествия случаются чаще. О происшествиях, не связанных с компьютерами, можно сообщить на горячую линию или связаться с инспектором по защите информации либо юрисконсультом.  DDI сообщит о любом предполагаемом или фактическом нарушении безопасности пострадавшему или потенциально пострадавшему клиенту и соответствующим контролирующим органам в течение 72 часов с момента обнаружения факта.  После устранения последствий нарушения и его причин DDI продолжит предпринимать меры по улучшению защиты информации во избежание повторения случившегося.

Выполнение нормативных требований

Сертификаты

SSAE-18: DDI хранит данные в центрах хранения и обработки данных, прошедших объективную и непредвзятую аудиторскую проверку в соответствии с положениями по стандартам аудита номер 70 (SAS) тип II. Обращаем внимание, что вместо вышеназванных стандартов теперь используются положениям о стандартах соответствия аудиту (SSAE) номер 18, и наши центры хранения и обработки данных сертифицированы на соответствие данным стандартам.

ISO 27001: DDI регулярно проходит оценку на соответствие международному стандарту по информационной безопасности, разработанному Международной организацией по стандартизации, и использует только те центры хранения и обработки данных, которые также проходят регулярные проверки и ежегодную сертификацию.

SOC 1/ SOC 2 – DDI не имеет сертификатов о прохождении проверок SOC 1 или SOC 2.  Однако поставщик услуг хостинга для компании прошел сертификацию SOC 2. 

Конфиденциальная информация

При приеме на работу сотрудники DDI подписывают соглашение о неразглашении информации, в котором прописываются условия и риски работы с конфиденциальной информацией.  Сотрудник, который нарушил это соглашение, подлежит немедленному увольнению или привлечению к ответственности в соответствии с законом.

Проверки биографических данных

DDI, как правило, прибегает к услугам сторонних компаний для проведения проверок биографических данных в отношении соискателей на стадии предложения о вступлении в должность. Информация, которая может быть получена в ходе таких проверок, включает, среди прочего, сведения о прошлых местах работы, образовании, характеристике личности, финансовом состоянии, репутации и т. п. Все проверки проводятся с соблюдением федеральных и местных законов.

Проверка номера социального обеспечения

Все соискатели, находящиеся в США, являются проверенными официальными работниками, которые осуществляют трудовую деятельность в соответствии с законом. Их номера социального обеспечения или разрешения на работу также проходят проверку.

Положения ЕС о защите информации

Главный офис компании DDI расположен в США и обслуживает клиентов по всему миру. При этом компания реализует механизмы, гарантирующие, что передача информации из ЕС в США происходит в соответствии с положениями ЕС о защите информации, включая положения «Щита конфиденциальности» (заменившего соглашение «Безопасная гавань») и условия типового договора ЕС, и с согласия конечного пользователя.  Сертификаты о соответствии DDI программе «Щит конфиденциальности» можно найти на соответствующем сайте программы: https://www.privacyshield.gov/

Типовые условия договора ЕС

Типовой договор ЕС — стандартный образец дополнительного соглашения к договору между поставщиком услуг, например DDI, и его клиентами. Целью соглашения является обеспечение передачи любых персональных данных, полученных в ЕЭЗ, в соответствии с законами ЕС о защите данных и Директивой 95/46/ЕС о защите данных.

Общий регламент по защите данных

25 мая 2018 г. вступает в силу правовой акт ЕС под названием Общий регламент по защите данных (GDPR).  Регламент GDPR расширяет объем прав находящихся на территории Европейского союза лиц и устанавливает новые обязанности для провайдеров, таких как DDI, осуществляющих управление и обработку персональных данных, поступающих с территории ЕС.  DDI рассматривает регламент GDPR в качестве возможности укрепить наши обязательства в вопросах защиты данных, привнести новый положительный опыт по защите информации со стороны компании и самих клиентов.

В целях соблюдения регламента GDPR, как и любых других нормативных предписаний, DDI взаимодействует со своими компаниями и подразделениями, субоператорами и клиентами. DDI обязуется соблюдать регламент GDPR при оказании услуг клиентам. Компания также будет оказывать содействие клиентам в вопросах соблюдения требований о защите информации. DDI тщательно изучила требования регламента GDPR и занимается доработкой наших продуктов, контрактов и прочей документации в связи с этим, а также обучает клиентов правилам соблюдения безопасности информации.   

Сторонние поставщики

DDI прибегает к услугам сторонних поставщиков для предоставления услуг в соответствии с соглашениями.  Мы используем очень жесткие процедуры рассмотрения заявок, проведения предварительных проверок и аудита, чтобы быть уверенными в том, что эти поставщики разделяют нашу систему ценностей.  Ко всем сторонним поставщикам предъявляется требование соответствовать нашим стандартам обработки, защиты и обеспечения безопасности информации.

Перечень наших субоператоров данных приводится по ссылке https://www.ddiworld.com/thirdpartyproviders

Поговорите с экспертом: GISP
* указывает на необходимое поле
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

Я даю DDI согласие на сбор и обработку моих личных данных с целью предоставления мне услуг, а также для маркетинговых целей и исследований. Я знаю свои права и способы использования моих данных, указанные в Политике конфиденциальности данных DDI. Я знаю, что могу отозвать данное согласие в любой момент.

Enter security code:
 Security code