Витяг є скороченою версією Політики інформаційної безпеки сервісу «Арт-офіс» та призначений для публічного ознайомлення.
Політика інформаційної безпеки описує запроваджені заходи інформаційної безпеки щодо сервісу миттєвого обміну електронними документами «Арт Офіс»(далі – Сервіс) з метою забезпечення доступності, цілісності та конфіденційності електронних документів та даних користувачів, які обробляються/зберігаються у Сервісі, а також доступності усіх функцій, виконання яких забезпечується Сервісом.
Фізично серверне та мережеве обладнання, на якому зберігається інформація користувачів, а також розгорнута сама інформаційна система (Сервіс) розташоване в індивідуальних модулях (кімнатах) в дата-центрі (центрі обробки даних - ЦОД) в місті Київ, Україна.
ЦОД має сертифіковану міжнародним органом сертифікації систему менеджменту інформаційної безпеки для надання клієнтам послуг дата-центру, що відповідає вимогам міжнародному стандарту ISO/IEC 27001:2013. Також ЦОД має сертифікат відповідності стандартам PSI/DSS. Всі послуги надаються у суворій відповідності до вимог стандарту TIA-942, рівню безвідмовності TIER III.
ЦОД забезпечує:
Доступ до обладнання в модулях мають тільки санкціоновані на виконання робіт технічні фахівці компанії за узгодженою із ЦОД процедурою.
5.1. Ретельна перевірка персоналу.
Особисті якості та рівень компетентності персоналу Компанії, який забезпечує роботу Сервісу, впливають на результативність її інформаційної безпеки.
Для гарантування, що найманий персонал розуміє свої обов’язки та придатний для виконання ролей, на які претендує, перед прийняттям на роботу, з дотриманням законодавства України щодо захисту персональних даних, проводиться ретельна перевірка претендента.
5.2. Відповідальність щодо інформаційної безпеки.
При оформленні на роботу, зі співробітниками компанії укладається Угода про нерозголошення комерційної таємниці, в якій встановлюється порядок роботи з інформацією та відомостями, що становлять комерційну таємницю, права та обов’язки працівника щодо ІБ, а також відповідальність за невиконання або неналежне виконання своїх зобов’язань за цією Угодою.
З метою своєчасного, всебічного, повного й об'єктивного дослідження інциденту ІБ, в компанії може бути ініційоване проведення службового розслідування відповідно до встановленої процедури.
5.3. Поінформованість, навчання щодо інформаційної безпеки.
Керівництво компанії вимагає від персоналу компанії, підрядників та інших суб’єктів, які взаємодіють із Компанією та можуть вплинути на її інформаційну безпеку, застосування заходів безпеки за установленими в Компанії політиками та процедурами.
Працівники компанії поінформовані щодо дотримання технічних і організаційних заходів інформаційної безпеки, відповідно до їх ролей та обов’язків в Компанії.
Працівники компанії, задіяні в розробці та підтримці сервісу «Арт‑Офіс» не менш ніж один раз на рік проходить навчання з питань інформаційної безпеки. Відповідне навчання також проходять нові працівники після прийняття на роботу.
6.1. Обслуговування обладнання.
Для гарантування доступності та цілісності обладнання Компанії, яке задіяне в забезпеченні роботи Сервісу, виконується його технічне обслуговування відповідно до рекомендованих постачальниками специфікацій та періодів обслуговування. Обслуговування здійснюється внутрішнім персоналом компанії або персоналом авторизованих сервісних центрів під наглядом персоналу компанії, який має відповідну санкцію.
Якщо обслуговування/ремонт обладнання проводиться зовнішнім персоналом за межами ЦОД, вся конфіденційна інформація, за можливості, вивантажується з обладнання або, якщо це неможливо, із компанією, що буде виконувати ремонт/обслуговування обладнання підписується Угода про конфіденційність.
Перед вводом в експлуатацію після обслуговування/ремонту, обладнання перевіряється на комплектність і працездатність.
6.2. Постійний моніторинг потужності та доступності Сервісу.
Для забезпечення цілісності та доступності Сервісу та електронних документів Користувачів, компанія здійснює постійний моніторинг та регулювання використання ресурсів інформаційної системи за допомогою системи моніторингу та відстеження статусів різноманітних сервісів комп'ютерної мережі, серверів та мережевого обладнання, з миттєвим сповіщенням технічних спеціалістів у режимі 24/7.
6.3. Управління змінами.
Інформування користувачів про планові оновлення інформаційної системи або проведення технічних робіт здійснюється за допомогою каналів комунікації, попередньо узгоджених із представниками Користувача
Для зручності Користувачів, оновлення системи/регламентні технічні роботи здійснюються не в бізнес-час (тобто після 18 години), або у вихідні дні.
Доступність послуг при оновленні Сервісу відновлюється за 30-90 хвилин.
6.4. Відокремлення засобів розробки, тестування та експлуатації.
Для зменшення ризику випадкової зміни або несанкціонованого доступу до інформаційної системи, що перебуває в експлуатації, середовища розробки, тестування та експлуатації відокремлені.
Конфіденційні дані клієнтів не використовуються для тестування.
Тестування не здійснюється в системі, що знаходиться в експлуатації.
Перед застосуванням оновлень ми проводимо різні види тестування в тестовому середовищі.
6.5. Резервне копіювання.
З метою запобігання випадкового або навмисного знищення, або втрати даних клієнтів застосовується стратегія резервного копіювання.
Резервному копіюванню підлягають:
Частота проведення резервного копіювання: кожні 24 години.
6.6. Захист від зловмисного коду
Для гарантування захисту Сервісу та інформації Користувачів, що зберігається/обробляється у Сервісі від зловмисного коду, ми приймаємо наступні заходи:
6.7. Ведення журналів аудиту та моніторингу.
З метою запису системних подій та збереження доказів діяльності користувачів (збої, попередження, системні помилки, входи користувачів, управління обліковими записами, зміна дозволів та прав доступу до файлів і папок, запуск і зупинка процесів тощо) ведуться наступні журнали подій: операційної системи, міжмережевого екрана, віддаленого доступу, антивірусів.
6.8. Моніторинг подій в Сервісі.
Всі дії користувачів із кожним електронним документом в Сервісі можна відслідкувати за допомогою вбудованого інструменту «Історія операцій». Також є можливість побачити історію по всій організації, в тому числі дії локального адміністратора.
7.1. Контроль доступу.
З метою обмеження доступу до інформації та засобів оброблення інформації в компанії розроблена та впроваджена Політика контролю доступу, відповідно до якої:
Періодично проводиться формальна перевірка доступу користувачів до інформаційних систем та ресурсів, включаючи ті, які зберігають (або зберігатимуть) інформацію клієнтів/ щодо клієнтів.
7.2. Безпека мережі.
Адміністрування серверів, що знаходяться в ЦОД, здійснюється із локальної мережі. Передача даних із ЦОД до локальної мережі здійснюється через два виділені канали зв’язку від двох незалежних провайдерів.
В мережі Інтернет Сервіс опублікований з використанням SSL-сертифіката, який забезпечує безпечне введення персональних даних користувачів через сайт, також задіяні Протоколи захисту транспортного рівня (TLS), які забезпечують захищену передачу даних між вузлами в мережі.
Доступ до локальної мережі через сервер публікатор заборонений. Для захисту внутрішньої мережі компанії від ненадійних/зовнішніх мереж використовується міжмережевий екран (брандмауер).
7.2.1. Захист даних в процесі передачі.
Доступ до сайту здійснюється за протоколом HTTPS.
7.2.2. Авторизація в системі.
Користувачі отримують доступ до Сервісу лише коли вони були авторизовані.
Авторизація в системі відбувається з використанням кваліфікованого електронного підпису (КЕП), а саме файлу особистого ключа, який доступний тільки підписувачу чи створювачу електронної печатки.
Таким чином, кожний користувач однозначно ідентифікується в системі, оскільки він використовує свій власний особистий ключ КЕП.
КЕП повинний відповідати Законодавству України у сферах електронних довірчих послуг та електронної ідентифікації.
Дані автентифікації користувачів (особисті ключі, паролі до ключів) не зберігаються і нікуди не передаються.
7.3. Конфіденційність.
Компанія дотримується Законодавства України щодо захисту персональних даних (Закон України «Про захист персональних даних») та застосовує до Сервісу «Політику конфіденційності персональних даних», з якою можна ознайомитися за посиланням
Співробітники компанії не мають доступу до електронних документів та кабінетів користувачів, окрім тих, що мають привілейовані права для виконання відповідних функціональних обов’язків. Призначення та використання привілейованих прав доступу обмежено та контрольовано.
Працівники, які мають доступ до персональних даних користувачів, дають письмове зобов'язання про нерозголошення персональних даних, які їм були довірені або які стали їм відомі у зв'язку з виконанням професійних або службових чи трудових обов'язків.
У разі звільнення працівника, який мав доступ до персональних даних або переведення його на іншу посаду, яка не передбачає роботу з персональними даними клієнтів, вживаються заходи щодо запобігання доступу такої особи до персональних даних.
Періодично (не менш ніж один раз на три місяці) перевіряються поточні права працівників, що забезпечують роботу Сервісу.
Порядок зберігання електронних документів та архівів електронних документів визначається Законом України «Про електронні документи та електронний документообіг». Відповідно до Закону строк зберігання електронних документів на електронних носіях інформації повинен бути не меншим від строку, встановленого законодавством для відповідних документів на папері.
Для Користувачів, які працюють у Сервісі «Арт-офіс» за типом ліцензії Арт Офіс Корпоративне рішення, SaaS, електронні документи гарантовано зберігаються протягом 60 (шістдесяти) календарних місяців з дня створення електронного документа.
Якщо Користувачеві необхідно зберігати документи довше зазначеного строку, він повинен самостійно вжити заходів щодо їх завантаження із Сервісу до закінчення гарантованого строку зберігання документів. Відповідальність за своєчасне завантаження електронних документів із Сервісу несе Користувач. Після завантаження електронного документа необхідно здійснювати перевірку цілісності даних.
Електронні документи користувачів після закінчення гарантованого терміну зберігання не видаляються. Якщо необхідно видалити будь-який документ, необхідно отримати погодження із всіма контрагентами.
У разі виникнення інциденту Користувачі Сервісу можуть сформувати та надіслати звернення до Служби підтримки через канали комунікації, попередньо узгоджені з представниками Користувача.
Усі отримані звернення реєструються в системі обліку Служби підтримки, проходять опрацювання відповідно до внутрішнього регламенту, після чого Користувачеві надається офіційна відповідь у погодженому форматі та через обраний канал зв’язку.
В Компанії впроваджений процес реєстрації, аналізу, та реагування на інциденти, а також проведення службового розслідування у випадку інциденту інформаційної безпеки, та встановлена відповідальність персоналу компанії у разі порушення ним вимог щодо інформаційної безпеки.
В Компанії впроваджено процес управління ризиками інформаційної безпеки, який дозволяє застосовувати належні організаційні та технічні заходи з метою досягнення та постійного вдосконалення рівня інформаційної безпеки Сервісу.
