1. База знаний Yva.ai
  2. Безопасность и соблюдение стандартов

Безопасность пользовательских данных

Подробно о политике Yva.ai в отношении персональных данных читайте на нашем сайте: https://www.yva.ai/ru/personal-data-policy

Yva.ai принимает все необходимые меры, чтобы защитить данные пользователей своего продукта.

После установки Yva.ai on-premise, все данные находятся на серверах клиента или серверах, администрируемых клиентом. Yva.ai не администрирует серверы клиента и не собирает и/или не обрабатывает никакие данные клиента, если только клиент не попросит нас собрать и/или обработать данные.

Развертывание по умолчанию анонимизирует все активные отзывы сотрудников, агрегируя данные по группа из минимум 5 сотрудников одновременно.

Система никогда не хранит и не предоставляет доступ к содержимому электронных писем и сообщений кому бы то ни было. Yva.ai никогда не анализирует личные источники данных, такие как личная почта, SMS, WhatsApp, Facebook, LinkedIn, Instagram и т. д. При установке в облако клиента или on-premise все данные находятся в пределах периметра сети клиента.

Соблюдение законов о конфиденциальности

Yva.ai принимает все необходимые меры, чтобы гарантировать соблюдение правил GDPR. Yva.ai имеет Data Processing Addendum, содержащий контрактные требования GDPR.

Наши обязательства, относящиеся к GDPR, заключаются в следующем:

  • Yva.ai никогда не будет использовать личную информацию ваших сотрудников иначе, чем по вашим указаниям,
  • Yva.ai будет поддерживать соответствующие технические и организационные меры безопасности для защиты личной информации ваших сотрудников,
  • Yva.ai будет помогать вам с запросами от ваших сотрудников относительно их личной информации, которая обрабатывается с использованием Yva.ai в соответствии с требованиями GDPR.

Аудит и сертификация  

Наша компания соответствует стандарту ISO/IEC 27001:2013.

Мы следуем высококачественной и последовательной системе управления безопасностью, подкрепленной независимой экспертной оценкой того, все ли данные, которые мы обрабатываем, должным образом защищены. Поэтому в рамках стандарта ISO/IEC 27001:2013 мы разработали процессы и процедуры, гарантирующие создание, внедрение, поддержание и постоянное совершенствование системы управления информационной безопасностью (ISMS) в нашей компании. Систематический подход к управлению конфиденциальной информацией компании защищает данные. Система гарантирует регулярную оценку рисков в области разработки программного обеспечения, хранения и обработки данных, непрерывности процессов, безопасности рабочих мест и серверов, чтобы несанкционированный доступ к данным был полностью закрыт. 

Процесс делится на следующие этапы:

  • определение области оперирования данными;
  • инвентаризация физических и логических информационных активов (серверы, хранилища данных и т. д.);
  • определение угроз и оценка рисков для информационных активов;
  • подбор средств защиты и контроля надежности;
  • создание инструментов для устранения оставшихся рисков и т.д.

Все это замыкается процессом непрерывного совершенствования системы управления информационной безопасностью как внутри, так и снаружи Компании.

Соответствие закону ФЗ-152 «О персональных данных»

Компания Yva.ai в России является   оператором   персональных   данных   и осуществляет   обработку данных в соответствии   с   требованиями   Федерального   закона   «О персональных данных». 

Пользовательские данные, внесенные в систему, обрабатываются исключительно в целях, которые заявлены как функционал системы,  и не  передаются  третьим  лицам.

Если вы используете решение on-premise, то есть устанавливаете Yva.ai на серверы вашей компании, это означает, что все данные остаются в контуре вашей компании. 

В этом случае только вы имеете доступ к серверу с системой. Данные сотрудников находятся под вашим полным контролем. 

Если вы используете облачное решение Yva.ai, то сервер с данными вашей компании размещается в хранилище ПАО «МТС», построенном на базе Azure Stack. 

Это продукт компании Microsoft, полностью соответствующий политике безопасности это компании.

Ресурсы Azure Stack физически размещены в собственном дата-центре «МТС». Это режимный объект с допуском только для уполномоченных сотрудников. При этом сотрудники ПАО «МТС» не имеют доступа к данным клиентов Azure Stack.

Это значит, что облачное решение Yva.ai защищено лучшими технологиями Microsoft, их регламентами безопасности и огромному опыту в разработке, защите и поддержке облачных технологий.

Поддержка безопасности данных

В рамках ISMS сотрудникам компании назначаются следующие роли для обеспечения соблюдения политик, процедур и стандартов безопасности каждым сотрудником в организации:

  • ISMS Owner,
  • IS Manager,
  • IT Manager,
  • Business Continuity Manager.

Предоставление пользовательских данных третьим лицам 

Команда Yva.ai не передает данные пользователя третьим лицам. Мы можем привлекать третьих лиц для обработки диагностических данных (которые могут содержать пользовательские данные) и анонимизированных данных пользователя для улучшения качества предоставляемого сервиса и устранения неисправностей. Но мы гарантируем, что привлеченные нами специалисты соблюдают требования конфиденциальности и безопасности при обработке информации.

Третьи стороны, которые использует Yva.ai

Microsoft Azure — наша платформа облачных вычислений, где мы храним и обрабатываем анонимизированные пользовательские данные.

Zendesk — программное обеспечение для обслуживания клиентов и системы тикетов.

G Suite — наше решение документооборота.

Банкротство, правонарушения, тяжбы 

Против нашего бизнеса не ведется судебных разбирательств. 

Наш бизнес, директора и акционеры не признаны банкротами и процедура банкротства не была инициирована. В пользу наших кредиторов не было заключено никаких соглашений или договоренностей и не поступало никаких просьб о заключении таких соглашений. 

Мы не терпим никаких форм коррупции и взяточничества, включая любые выплаты или иные выгоды, предоставляемые любому государственному служащему с целью влияния на принятие решений в обход закона. Наш бизнес не был признан виновным в совершении каких-либо правонарушений, связанных со взяточничеством или коррупцией. 

Наш бизнес не был признан виновным в совершении каких-либо правонарушений, связанных с законодательством о конкуренции, торговыми санкциями или экспортным контролем. 

Наш бизнес не был признан виновным в совершении каких-либо финансовых преступлений, включая мошенничество и отмывание денег.