Кибербезопасность и защита персональных данных

Обеспечение информационной безопасности

В эпоху развитых цифровых технологий защита личной информации сотрудников, партнеров и клиентов приобретает особенную важность. В этом направлении наша деятельность основана на Политике обработки персональных данных и Требованиях по обеспечению безопасности персональных данных, в которых указан состав персональной информации, которую мы собираем о наших клиентах и сотрудниках, а также прописана цель ее сбора, область применения и условия передачи третьим лицам.

Мы установили физические, электронные, договорные и управленческие меры безопасности, предназначенные для защиты безопасности и конфиденциальности личной информации клиентов и сотрудников. В 2020 году запущена программа обучения персонала ответственному отношению к персональным и корпоративным данным.

В компании используются следующие системы информационной безопасности:

  • межсетевые экраны для фильтрации и блокировки нежелательного трафика;
  • удаленный доступ пользователей с применением двухфакторной аутентификации;
  • виртуальные частные сети VPN для безопасной передачи данных в рамках общедоступных сетей;
  • система мониторинга трафика;
  • антивирусная защита рабочих станций и серверов;
  • удостоверяющий центр PKI;
  • защита от спама;
  • идентификация и контроль доступа к сети;
  • системы мониторинга ИТ-инфраструктуры;
  • установка и контроль обновлений безопасности;
  • защита от DDoS атак;
  • система защиты веб-приложений Web Application Firewall (WAF).

Обработка и защита персональных данных

Компания руководствуется следующими правилами и процедурами при приеме на работу сотрудников: с новым работником подписывается согласие на обработку, хранение и распространение его персональных данных. Также работники должны ознакомиться и подписать лист ознакомления с Политикой о персональных данных, о коммерческой тайне и прочими локальными нормативными актами Компании.

Персональные данные работников хранятся и обрабатываются в ИТ-системе «1С: Зарплата и управление персоналом». Личные дела работников хранятся в несгораемых железных картотеках, в отдельном помещении, которое закрывается на ключ. Доступ к нему имеют сотрудники кадровой службы, ответственные за обработку и хранение персональных данных.

В рамках поиска кандидатов Компания использует ресурсы следующих поисковых сайтов hh.ru, superjob.ru, worki.ru и avito.ru. У всех перечисленных контрагентов работа построена следующим образом — регистрируясь на сайте, кандидаты соглашаются размещать данные в открытом для работодателей виде и дают согласие на обработку персональных данных.

«Детский мир» также выступает оператором персональных данных клиентов. Эти данные собираются при заполнении анкеты в рамках бонусной программы, а также при регистрации на сайте detmir.ru или в мобильном приложении «Детмир». Данные хранятся у сертифицированных подрядчиков, обеспечивающих необходимый уровень защиты. В связи со спецификой бизнеса Компания также имеет доступ к персональным данным несовершеннолетних. Сбор, хранение и любое использование персональных данных детей происходят
исключительно с согласия законных представителей.

Регистрируясь в Бонусной программе сети магазинов «Детский мир», а также принимая участие в конкурсах, законные представители несовершеннолетнего ребёнка выражают свое полное согласие на обработку своих персональных данных, персональных данных несовершеннолетнего ребенка, содержащихся в анкете Компании, и передачу данных ПАО «Детский мир» третьим лицам для целей обработки. Согласие действует до его письменного отзыва, которое можно отправить по адресу: 127238, г. Москва, 3-й Нижнелихоборский проезд, д.3 с.6.

Субъекты персональных данных могут управлять предоставленными Компании персональными данными (личной информацией) по своему усмотрению. Бонусная программа предполагает, что только участник имеет право вносить изменения в персональные данные, указанные при регистрации.

Обучения персонала ответственному отношению к персональным и корпоративным данным

В Компании действует программа обучения персонала ответственному отношению к персональным и корпоративным данным. Цель программы — ознакомить сотрудников с Политикой обработки персональных данных и Требованиями по обеспечению безопасности персональных данных, а также обеспечить ответственное отношение к персональной информации. Создан соответствующий онлайн-курс, который сотрудники должны будут проходить ежегодно для подтверждения достаточности знаний в этой области.