Условия и положения Keeper Security

Назад к Условиям использования SaaS

Дополнение об обработке данных

Настоящее Дополнение об обработке данных («Дополнение») расширяет и уточняет Условия использования («Условия») и/или иное письменное или электронное соглашение («Соглашение»), заключенное между: (i) юридическим лицом Keeper, являющимся стороной Соглашения («Keeper» или «Поставщик»), которое действует от своего имени и в качестве представителя любого аффилированного лица Keeper; и (ii) Клиентом Keeper («Вы» или «Клиент»), который действует от своего имени и в качестве представителя любого своего аффилированного лица.

Термины, используемые в настоящем Дополнении, определены далее по тексту. Термины, написанные с заглавной буквы, не определенные в Дополнении, имеют значения, закрепленные за ними в Соглашении. Если определение отсутствует в обоих документах, термин трактуется согласно Общему регламенту по защите данных ЕС (Регламент (ЕС) 2016/679 от 27 апреля 2016 г. в действующей редакции) («GDPR»). За исключением изменений, предусмотренных ниже, Соглашение сохраняет юридическую силу в полном объеме.

Определения

В этом Дополнении следующие термины имеют значения, изложенные ниже:

  1. Аффилированная компания — любая организация, которая прямо или косвенно контролирует, контролируется или находится под общим контролем с субъектом. Контроль (в рамках данного определения) — прямое или косвенное владение или управление более чем 50% голосующих акций компании-субъекта.
  2. Применимые законы — все законы, применимые к Обработке данных клиента, которые могут включать законы ЕС о защите данных, другие законы Европейского союза или любого его государства-члена, законы Великобритании, а также законы любой другой страны, субъектом которой являются Клиент или Данные клиента.
  3. Данные клиента — персональные данные, которые Keeper собирает, получает или обрабатывает от имени Контроллера и по его инструкциям в рамках Соглашения, за исключением данных, в отношении которых Keeper сам выступает Контроллером. Примеры Данных клиента: списки имен авторизованных пользователей, адреса электронной почты, назначенные роли и иная контактная информация.
  4. Контроллер — организация, которая самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Стороны подтверждают, что положения настоящего Дополнения не наделяют их статусом совместных контроллеров данных. Стороны несут индивидуальную ответственность за выполнение обязательств в соответствии с применимым законодательством.
  5. Субъект Данных означает физическое лицо, Персональные Данные которого обрабатываются в контексте настоящего Дополнения.
  6. Под Законодательством ЕС о защите персональных данных понимаются GDPR и Директива 2002/58/EC о конфиденциальности в области электронных средств связи (с учетом поправок, внесенных Директивой 2009/136/EC, и изменений, вносимых время от времени), а также соответствующие национальные законы, принятые для их исполнения, если таковые имеются.
  7. GDPR означает Общий регламент ЕС по защите данных 2016/679;
  8. Под UK GDPR понимается Общий регламент по защите данных Соединенного Королевства и Закон о защите данных 2018 года.
  9. Независимый контроллер — лицо, которое самостоятельно определяет цели и способы обработки персональных данных.
  10. Персональные данные — любая информация о Клиенте, позволяющая прямо или косвенно установить личность конкретного человека.
  11. Обработчик данных означает организацию, которая обрабатывает Персональные Данные от имени Контроллера.
  12. Обработка означает любую операцию или набор операций, выполняемых с Персональными Данными, отдельно или в наборах, с помощью автоматизированных или других средств, например сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, разглашения или иного предоставления доступа, согласование или комбинация, ограничение, удаление или уничтожение
  13. Услуги означают услуги и другие действия, которые должны быть предоставлены или выполнены Keeper для Заказчика в соответствии с Соглашением;
  14. Стандартные договорные условия — типовые положения о передаче персональных данных обработчикам в третьих странах, не обеспечивающих надлежащий уровень защиты данных в соответствии с решением Европейской комиссии 2021/914 от 4 июня 2021 года.
  15. Субобработчик — любое лицо, привлеченное Keeper для обработки персональных данных в рамках оказания Услуг.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Данные в рамках настоящего Дополнения обрабатываются исключительно для оказания услуг Keeper, предусмотренных основным Соглашением. Стороны подтверждают, что при обработке данных по поручению Клиента он является Контроллером, а Keeper — Обработчиком. Исключение составляют данные, указанные в пункте 2.4. В отношении них Keeper выступает в качестве Контроллера. Категории и виды персональных данных, которые обрабатывает Keeper, указаны в Приложении А. Срок обработки данных в рамках Дополнения соответствует сроку действия Соглашения, если иное не предусмотрено применимым законодательством.
  2. Keeper обрабатывает персональные данные только на основании задокументированных инструкций Клиента (далее — «Инструкция»), за исключением случаев, предусмотренных законом. На дату вступления Дополнения в силу Инструкция устанавливает, что Keeper вправе обрабатывать персональные данные исключительно для оказания Услуг, предусмотренных Соглашением. С учетом положений Дополнения и по взаимному согласию сторон Клиент может давать дополнительные письменные инструкции, не противоречащие условиям этого документа. Клиент отвечает за то, чтобы все лица, направляющие такие инструкции, обладали необходимыми полномочиями.
  3. Keeper уведомляет Клиента о любых инструкциях, которые, по мнению компании, нарушают применимое законодательство, включая законы ЕС о защите данных. Keeper не приступает к выполнению таких инструкций до тех пор, пока они не будут подтверждены или изменены Клиентом.
  4. Обработка данных в качестве Контроллера: Keeper обрабатывает определенные персональные данные для собственных законных целей в качестве независимого Контроллера исключительно в тех случаях, когда обработка необходима и соразмерна одной из следующих законных деловых целей: (i) обеспечение безопасности или выявление мошенничества; (ii) сбор и использование аналитики в обоснованных деловых целях Keeper и в интересах Клиента; (iii) оказание и развитие технической поддержки, сопровождение Услуг (включая регистрацию аккаунтов и биллинг); и (iv) взаимодействие с клиентами, например обработка контактных данных для связи с Клиентом.

КОНФИДЕНЦИАЛЬНОСТЬ И БЕЗОПАСНОСТЬ

  1. Keeper обязуется соблюдать строгую конфиденциальность при работе со всеми персональными данными. Персональные данные запрещено копировать, передавать или обрабатывать в нарушение Инструкции без письменного согласия Клиента. Сотрудники Keeper связаны обязательствами о неразглашении, что гарантирует конфиденциальность обработки любых персональных данных в рамках настоящего Дополнения. Доступ к персональным данным предоставляется только тем сотрудникам, которым он необходим для оказания Услуг и исполнения условий настоящего Дополнения.
  2. Keeper внедряет технические и организационные меры безопасности, изложенные в Приложении C к настоящему Соглашению, в соответствии с применимым законодательством и требованиями статьи 32 GDPR. Меры безопасности адаптируются к техническому прогрессу и постоянно совершенствуются. Keeper вправе периодически обновлять или изменять эти меры при условии, что корректировки не приведут к снижению общего уровня защиты.

ПРАВА СУБЪЕКТА ДАННЫХ

  1. Если Клиенту нужна помощь Keeper, чтобы ответить на запрос субъекта данных о его правах, компания предоставит необходимые сведения и документы. На оказание такой помощи Keeper должен быть отведен разумный срок в соответствии с законом.
  2. Если в Keeper поступает запрос на реализацию законных прав от субъекта данных, и он связан с персональными данными Клиента, компания незамедлительно передает его Клиенту, если это не запрещено законом. Без указаний Клиента компания не отвечает на такие обращения напрямую.

НАРУШЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Keeper обязуется незамедлительно уведомить Клиента о нарушениях безопасности, которые могут привести к случайному или незаконному уничтожению, потере, изменению, раскрытию персональных данных или несанкционированному доступу к ним (далее — «Утечка данных»). Это касается любых данных, которые передаются, хранятся или обрабатываются по поручению Клиента. Уведомление направляется не позднее 72 часов с момента подтверждения нарушения.
  2. Keeper обязуется выяснить причины инцидента и принять меры, чтобы устранить их и не допустить повторения проблемы.

ДОКУМЕНТАЦИЯ СООТВЕТСТВИЯ И ПРАВА НА АУДИТОРСКИЕ ПРОВЕРКИ

  1. По запросу Клиента, при наличии оснований или в объеме, предусмотренном Статьей 28 GDPR, Keeper предоставляет Клиенту всю информацию, необходимую для подтверждения соблюдения условий Дополнения. Keeper также обязуется разрешать проведение аудитов (включая инспекции со стороны Клиента или уполномоченного им аудитора) и оказывать разумное содействие в их проведении. Клиент уведомляет о любой проверке или инспекции документов и обязуется приложить разумные усилия, чтобы избежать ущерба или сбоев в работе офисов, оборудования и бизнеса Keeper в ходе таких мероприятий. Любой аудит или инспекция документов проводятся при условии предварительного письменного уведомления не менее чем за 60 (шестьдесят) календарных дней и не чаще одного раза в год.
  2. Независимо от указанных ограничений, дополнительные аудиты допускаются в любое время, если выявлены признаки нарушений, произошел инцидент безопасности или этого потребовал компетентный надзорный орган.
  3. Заказчику может быть выражена просьба подписать соглашение о неразглашении, в разумных рамках приемлемое для Keeper, прежде чем ему будет предоставлена вышеизложенная информация.

ПЕРЕДАЧА ДАННЫХ

  1. Европейская экономическая зона и Швейцария
    В отношении персональных данных, которые передаются из Европейской экономической зоны (ЕЭЗ) или Швейцарии, Стороны обязуются соблюдать Стандартные договорные условия ЕС. Они утверждены Исполнительным решением Комиссии (ЕС) 2021/914 и включены в настоящее Дополнение посредством ссылки.
  2. Стороны подтверждают применение условий «Контроллер — Обработчик» (Модуль 2). В отношении данных, передаваемых из Швейцарии, термин «государство-член» включает в себя Швейцарию. Все ссылки на регламент GDPR следует понимать как ссылки на Федеральный закон Швейцарии о защите данных (FADP). Компетентным надзорным органом является Федеральный уполномоченный по защите данных и информационным технологиям Швейцарии (FDPIC).
  3. Стандартные договорные условия ЕС
    В рамках применения Стандартных договорных условий (SCC) ЕС:
    (a) Клиент выступает в роли экспортера данных, а Keeper — импортера данных;
    (b) Раздел 7 (Оговорка о присоединении) применяется только при наличии взаимного письменного согласия Сторон;
    (c) Раздел 9 (Использование субобработчиков) применяется в соответствии с Вариантом 2, при этом перечень субобработчиков приведен в Приложении B;
    (d) Дополнительные положения Раздела 11 (Независимое разрешение споров) не применяются;
    (e) Раздел 17 (Применимое право) — законодательство Ирландии; Раздел 18 (Юрисдикция) — суды Ирландии;
    (f) Приложения I и II заполняются путем ссылки на настоящее Дополнение об обработке данных. Технические и организационные меры Keeper изложены в Приложении C.
  4. Великобритания
    В отношении Персональных данных клиентов, передаваемых из Великобритании в Keeper, Стороны соглашаются, что применяются и включаются в настоящее Дополнение путем ссылки: Международное соглашение о передаче данных Великобритании (IDTA) и Дополнение для Великобритании к Стандартным договорным условиям ЕС в редакции, изданной Управлением Комиссара по вопросам информации (ICO). Для целей Дополнения для Великобритании:
    (a) Клиент выступает в роли экспортера данных, а Keeper — импортера данных;
    (b) Применимое право и юрисдикция — Англия и Уэльс; и
    (c) Меры безопасности изложены в Приложении C и в Документации по безопасности Keeper.
    Оговорка о присоединении применяется только при наличии взаимной письменной договоренности Сторон.
  5. Бразилия (LGPD)
    В отношении Персональных данных клиентов, на которые распространяется действие Lei Geral de Proteção de Dados Pessoais (Федеральный закон № 13 709/2018 — «LGPD»), Стороны соглашаются, что международная передача данных должна осуществляться в соответствии со Статьями 33–36 LGPD и Регламентом о международной передаче персональных данных, изданным Национальным управлением по защите данных (ANPD), включая Стандартные договорные условия (Cláusulas-Padrão Contratuais), утвержденные в Приложении II к указанному Регламенту, которые включаются в настоящее Дополнение путем ссылки.

    5.1 Данные Условия применяются без изменений и заполняются следующим образом:
    (a) Экспортер: Клиент (Контроллер); (b) Импортер: Keeper (Обработчик); (c) Цель: предоставление услуг Keeper и поддержки в соответствии с Соглашением; (d) Категории субъектов данных: данные клиентов в рамках Соглашения; (e) Персональные данные: согласно описанию в Приложении A; (f) Последующая передача: разрешена авторизованным субобработчикам Keeper (указаны в Приложении B) при условии соблюдения эквивалентных мер защиты; (g) Назначенная сторона (Раздел 4): Keeper; компания несет ответственность за обеспечение прозрачности, обработку запросов субъектов данных и информирование об инцидентах согласно Разделам 14–16 Стандартных договорных условий Бразилии; (h) Применимое право и юрисдикция: независимо от положений Соглашения, Стандартные договорные условия Бразилии регулируются законодательством Бразилии и подпадают под исключительную юрисдикцию ее компетентных судов; (i) Меры безопасности: изложены в Приложении C.

    5.2 Оговорка о присоединении (Раздел 9 Стандартных договорных условий Бразилии) применяется только при наличии взаимной письменной договоренности Сторон.

  6. Для всех прочих юрисдикций, в отношении которых отсутствует решение о достаточности мер защиты, Keeper обязуется внедрить механизмы передачи согласно Статье 46 Общего регламента по защите данных (GDPR), Статьям 33–36 Общего закона Бразилии о защите данных (LGPD) или иным применимым нормам для обеспечения должного уровня безопасности данных.
  7. В случаях, когда механизмы Рамочной программы конфиденциальности данных (DPF) неприменимы, Стороны используют Стандартные договорные условия или иные меры защиты, предусмотренные применимым законодательством о защите персональных данных.
  8. Для всех прочих юрисдикций, в отношении которых отсутствует решение о достаточности мер защиты, Keeper обязуется внедрить механизмы передачи согласно Статье 46 Общего регламента по защите данных (GDPR), Статьям 33–36 Общего закона Бразилии о защите данных (LGPD) или иным применимым нормам для обеспечения должного уровня безопасности данных.
  9. Обновления механизмов передачи
    Новые или пересмотренные механизмы передачи данных, принятые Европейской комиссией или профильными регуляторами Великобритании (ICO), Швейцарии (FDPIC) и Бразилии (ANPD), автоматически заменяют условия настоящего Дополнения с целью соблюдения актуальных требований законодательства.
  10. Рамочная программа конфиденциальности данных (ЕС–США)
    Keeper является активным участником Рамочной программы конфиденциальности данных между ЕС и США, британского расширения этой программы, а также аналогичной программы между Швейцарией и США. Вы можете проверить статус сертификации Keeper по ссылке: https://www.dataprivacyframework.gov/list. Если Рамочная программа по защите данных утратит силу, передача данных будет осуществляться на основании Стандартных договорных условий.
  11. Если Заказчик считает, что этих мер недостаточно для удовлетворения юридических требований в каких-либо конкретных обстоятельствах, Заказчик должен предоставить Keeper письменное уведомление об обоснованиях таких точек зрения, и Стороны должны добросовестно работать вместе над поиском взаимоприемлемой альтернативы.
  12. Законы США о защите персональных данных (включая CCPA с изменениями и дополнениями)

    Если Keeper обрабатывает персональные данные клиентов, подпадающие под действие Закона штата Калифорния о защите персональных данных потребителей 2018 г. в действующей редакции (включая Закон Калифорнии о правах на неприкосновенность частной жизни и любые последующие поправки; далее — CCPA) или иных законов, возлагающих аналогичные обязательства на обработчиков данных или поставщиков услуг (далее — Законы штатов о конфиденциальности), Keeper выступает в качестве Поставщика услуг или Обработчика:

    (а) Keeper обрабатывает такие данные исключительно в деловых целях, предусмотренных Соглашением и настоящим Дополнением, и только для оказания Услуг.
    (b) Keeper не продает, не передает и не раскрывает персональные данные третьим лицам вне рамок деловых отношений с Клиентом, за исключением случаев, установленных законом.
    (c) Keeper гарантирует, что договоры с любыми субобработчиками содержат аналогичные ограничения и обязательства.
    (d) Keeper обязуется незамедлительно уведомить Клиента, если не сможет выполнять обязательства по Законам штата о конфиденциальности. В этом случае Клиент вправе принять меры для прекращения или устранения несанкционированного использования данных.
    (e) Keeper подтверждает, что ознакомлен с нормами законодательства штатов о защите персональных данных и обязуется их соблюдать.

СУБОБРАБОТЧИКИ

  1. Keeper получает общее разрешение привлекать третьих лиц к обработке персональных данных (далее — «Субобработчики») без отдельного письменного согласия Клиента в каждом конкретном случае. Keeper заключает с каждым Субобработчиком письменный договор. Соглашение накладывает те же обязательства по защите данных, что действуют для самого Keeper, включая условия настоящего Дополнения. Keeper постоянно контролирует, как Субобработчики соблюдают законы о защите данных. Документация о таком мониторинге предоставляется Клиенту по письменному запросу.
  2. Если Субобработчик оказывает услуги за пределами ЕС/ЕЭЗ, Keeper обеспечивает законность обработки данных, принимая необходимые меры в соответствии с законодательством.
  3. На момент заключения настоящего Дополнения Keeper привлекает субобработчиков, указанных в Приложении B. Клиент может подписаться на уведомления о новых субобработчиках в Центре доверия Keeper. Keeper обязуется направлять уведомления о новых или заменяющих субобработчиках через Центр доверия или иными доступными способами связи. Срок для подачи возражений отсчитывается с момента получения такого уведомления.
  4. Клиент вправе добросовестно и на разумных основаниях возразить против замены или привлечения нового Субобработчика. Для этого необходимо направить уведомление по адресу privacy@keepersecurity.com в течение 10 (десяти) рабочих дней с даты получения уведомления от Keeper. В документе должны быть изложены веские и обоснованные причины возражения. Keeper обязуется приложить коммерчески оправданные усилия, чтобы предложить Клиенту альтернативный порядок использования Услуг. Отсутствие возражений в течение 10 (десяти) рабочих дней считается согласием на привлечение соответствующего Субобработчика.
  5. Если Клиент возражает против нового Субобработчика и сторонам не удается урегулировать спор, Клиент вправе отказаться от тех Услуг, предоставление которых невозможно без участия этого Субобработчика, направив Keeper письменное уведомление.
  6. Keeper несет ответственность перед Заказчиком за любого Субобработчика так же, как и за свои собственные действия и бездействие.

РАСТОРЖЕНИЕ СОГЛАШЕНИЯ; ВОЗВРАТ ИЛИ УДАЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. После истечения или в случае расторжения Соглашения Keeper удалит или вернет Заказчику все Персональные Данные, находящиеся в его распоряжении, как это предусмотрено в Соглашении, за исключением случаев, когда Применимые Законы требуют от Keeper сохранить некоторые или все Персональные Данные (в этом случае Keeper заархивирует данные и примет разумные меры для предотвращения любой дальнейшей обработки Персональных Данных). Условия настоящего Дополнения будут по-прежнему применяться к таким Персональным Данным.

ОЦЕНКА ВЛИЯНИЯ НА ЗАЩИТУ ДАННЫХ И ПРЕДВАРИТЕЛЬНАЯ КОНСУЛЬТАЦИЯ

  1. Если содействие Keeper необходимо и обосновано, стороны обязуются сотрудничать в разумных пределах при подготовке оценки воздействия на защиту данных (согласно ст. 35 GDPR) и проведении предварительных консультаций (согласно ст. 36 GDPR). Каждая сторона самостоятельно несет расходы, связанные с выполнением данных обязательств.

ПРОЧИЕ УСЛОВИЯ

  1. Изменение Дополнения: настоящее Дополнение может быть изменено только путем заключения письменного соглашения, подписанного каждой из Сторон.
  2. Применимое право, место рассмотрения споров и юрисдикция: все споры и иски, касающиеся настоящего Соглашения, подлежат исключительному рассмотрению в судах и толкованию в соответствии с законодательством, указанным в Соглашении (без учета коллизионных норм).
  3. Недействительность и автономность положений, коллизия: если суд или административный орган надлежащей юрисдикции признает какое-либо положение настоящего Дополнения недействительным или не имеющим исковой силы, это не влияет на действительность остальных положений. Все положения, сохранившие силу, продолжают действовать в полном объеме. В случае несоответствия между настоящим Дополнением и Стандартными договорными условиями, заключенными сторонами (при их наличии), приоритет имеют Стандартные договорные условия.

СУБПРИЛОЖЕНИЕ А

Персональные данные

  1. Keeper обрабатывает следующие типы Персональных Данных в связи с предоставлением услуг:
    1. Переданные персональные данные касаются контактной информации (имя, адрес, адрес электронной почты, телефон), данных о субъекте, IP-адреса, идентификатора устройства и информации о версии приложения.

Категории Субъектов Данных

  1. Keeper обрабатывает персональные данные о следующих категориях субъектов данных от имени Заказчика:
    1. Заказчик
    2. Авторизованные конечные пользователи Клиента, включая его сотрудников.

ПРИЛОЖЕНИЕ B — утвержденные Субобработчики

Актуальный перечень субобработчиков Keeper доступен по ссылке: 1B Sub-Processors. Список включает наименования юридических лиц и сведения об их местонахождении. Перечень субобработчиков периодически обновляется; Клиент может подписаться на обновления в Центре доверия Keeper.

ПРИЛОЖЕНИЕ C — Регламент обеспечения безопасности данных

Настоящий Регламент дополняет Соглашение между Клиентом и Keeper, регулирующее использование Услуг. Термины с заглавной буквы, значение которых не определено в настоящем Регламенте, имеют тот же смысл, что и в Соглашении.

  1. Сфера действия. Настоящий Регламент распространяется на все Услуги Keeper и на обработку любых данных, которые Клиент передает Keeper («Данные клиента»).
  2. Конфиденциальность Данных клиента. Keeper не имеет права обращаться к Данным клиента, использовать их или раскрывать третьим лицам. Исключение — случаи, когда это необходимо для поддержки или предоставления Услуг, либо того требует закон или законное распоряжение государственного органа (судебная повестка или постановление). Если государственный орган запрашивает Данные клиента, Keeper постарается перенаправить запрос напрямую Клиенту. Для этого Keeper может передать госоргану основные контактные данные Клиента. Если Keeper все же будет обязан раскрыть данные, он обязуется своевременно уведомить об этом Клиента. Это позволит Клиенту оспорить запрос или использовать другие средства правовой защиты, если только закон не запрещает Keeper направлять такое уведомление. Keeper запрещает своему персоналу обрабатывать данные клиентов без специального разрешения. Порядок работы с данными описан в Приложении 1 «Стандарты безопасности». Keeper накладывает на своих сотрудников строгие договорные обязательства, включая требования по конфиденциальности и защите данных.
  3. Безопасность обработки данных. Keeper внедрила и обязуется поддерживать технические и организационные меры защиты своих систем, как указано в Стандартах безопасности и настоящем разделе. В частности, Keeper применяет следующие меры:
    1. безопасность систем Keeper согласно Стандартам безопасности;
    2. физическая безопасность объектов согласно Стандартам безопасности;
    3. управление доступом персонала к системам Keeper согласно Стандартам безопасности; и
    4. процедуры регулярного тестирования и оценки эффективности технических и организационных мер Keeper согласно разделу 2 Стандартов безопасности.
  4. Сертификация и аудит Keeper.
    1. Сертификаты и отчеты Keeper. В дополнение к информации, содержащейся в данном Приложении, по запросу Клиента Keeper предоставит свои сертификаты ISO 27001 и SOC2. Меры информационной безопасности Keeper подтверждены независимыми проверками и сертификатами, доступными в Центре доверия Keeper. В их число входят:
      • SOC 2 Type II (критерии AICPA Trust Services);
      • ISO 27001, ISO 27017 и ISO 27018
      • FedRAMP уровня Moderate (для Keeper Security Government Cloud);
      • криптографические модули, сертифицированные по стандарту FIPS 140-3;
      • архитектура, соответствующая требованиям HIPAA (Keeper не является деловым партнером, так как не имеет доступа к ePHI);
      • соответствие требованиям GDPR, UK GDPR и Закона о цифровой операционной устойчивости (DORA).
    2. Аудит. Keeper привлекает внешних аудиторов для проверки мер безопасности, включая защиту физических дата-центров, через которые предоставляются Услуги. Такой аудит: (a) проводится не реже одного раза в год; (b) основывается на стандартах ISO 27001 или их признанных эквивалентах; (c) выполняется независимыми сторонними специалистами по безопасности, выбранными Keeper и за его счет; (d) завершается составлением аудиторского отчета («Отчет»), который признается Конфиденциальной информацией Keeper.

Приложение 1 — Стандарты безопасности

Программа информационной безопасности. Keeper реализует программу информационной безопасности, которая позволяет: (a) обеспечить защиту данных Клиента от случайной утери, незаконного уничтожения, несанкционированного доступа или разглашения; (b) выявлять прогнозируемые риски для безопасности и доступности систем Keeper; (c) минимизировать угрозы физической и логической безопасности систем Keeper, в том числе путем регулярной оценки рисков и тестирования. KEEPER назначает одного или нескольких сотрудников, ответственных за координацию и выполнение этой программы безопасности.

Программа информационной безопасности Keeper включает следующие меры:

  1. Логическая безопасность.
    1. Контроль доступа. Keeper предоставляет доступ к своим системам только уполномоченным сотрудникам и исключительно в объеме, необходимом для поддержки и оказания Услуг. Keeper использует политики и средства контроля доступа, чтобы управлять правами каждого пользователя и сетевого соединения. В их число входят межсетевые экраны (или аналогичные технологии) и инструменты аутентификации. Keeper обеспечивает работу механизмов контроля доступа, которые призваны: (i) пресекать несанкционированный доступ к данным и (ii) изолировать информацию каждого клиента от данных других пользователей.
    2. Ограниченный доступ пользователя. Keeper: (i) ограничивает доступ к системам согласно принципу минимальных привилегий с учетом должностных обязанностей; (ii) требует предварительного согласования для предоставления расширенных прав, включая учетные записи администраторов; (iii) не реже раза в квартал проверяет права доступа к системам Keeper и при необходимости своевременно их аннулирует; (iv) требует использовать двухфакторную аутентификацию для удаленного подключения к системам Keeper.
    3. Оценка уязвимости. Keeper регулярно проводит внешнюю оценку уязвимостей и тестирование систем на проникновение. Все выявленные недостатки анализируются и своевременно устраняются.
    4. Безопасность приложений. Перед запуском новых Услуг или внедрением ключевых обновлений Keeper проводит проверку безопасности приложений для выявления и устранения рисков.
    5. Управление изменениями. Keeper применяет механизмы контроля для регистрации, авторизации, тестирования, утверждения и документирования любых изменений в системных ресурсах. Подробная информация фиксируется в инструментах управления изменениями или развертывания. Перед переносом в рабочую среду Keeper обязательно тестирует изменения на соответствие внутренним стандартам. Действующие процессы Keeper позволяют выявлять несанкционированные изменения и отслеживать решение проблем. Стандарты безопасной разработки Keeper включают статический и динамический анализ, экспертную оценку и официальное утверждение изменений перед их внедрением. Разработчики ежегодно проходят обучение по вопросам безопасности и конфиденциальности данных.
    6. Целостность данных. Keeper обеспечивает целостность данных при их передаче, хранении и обработке внутри своих систем. Клиенты могут самостоятельно удалять свои данные из систем Keeper.
    7. Шифрование и дешифрование выполняются исключительно на устройстве пользователя. У Keeper нет доступа к содержимому хранилища в открытом виде или к мастер-паролям. Принципы нулевого доверия требуют обязательной аутентификации пользователя и устройства перед предоставлением доступа. Ключи шифрования генерируются на устройстве пользователя (например, методом PBKDF2). Незашифрованные ключи или мастер-пароли никогда не хранятся и не передаются в Keeper.
    8. Keeper поддерживает TOTP, Duo Security, ключи FIDO/U2F и биометрию. Решения SSO Connect® и SSO Connect® Cloud обеспечивают аутентификацию с нулевым разглашением через SAML 2.0. Администраторам доступны гибкие настройки прав доступа на основе ролей.
    9. TLS-шифрование всех соединений, надежная аутентификация API, сегментация сети, обнаружение вторжений и круглосуточный мониторинг доступности и угроз.
    10. Непрерывность бизнес-процессов и аварийное восстановление. Keeper применяет официальную программу управления рисками для обеспечения непрерывности критически важных бизнес-функций («Программа обеспечения непрерывности бизнеса»). Она включает процедуры выявления, реагирования и восстановления после инцидентов, которые могут помешать предоставлению услуг или существенно нарушить их работу («Инцидент непрерывности бизнеса»). Для управления такими инцидентами Keeper использует трехэтапный подход:
  2. Этап активации и оповещения. При выявлении проблем, способных привести к инциденту, Keeper проводит их эскалацию, проверку и расследование. На этом этапе Keeper анализирует основную причину сбоя.
    1. Этап восстановления. Keeper назначает ответственные группы для возврата систем в рабочее состояние или стабилизации затронутых сервисов.
    2. Этап нормализации. Руководство Keeper оценивает принятые меры и подтверждает возобновление штатной работы. После этого Keeper проводит ретроспективный анализ инцидента.
  3. Управление инцидентами. Keeper применяет планы корректирующих действий и регламенты реагирования для защиты систем от потенциальных угроз. Эти документы устанавливают порядок обнаружения, минимизации последствий и расследования инцидентов, а также правила отчетности. Процесс реагирования включает верификацию инцидента, анализ атаки, локализацию угрозы, сбор данных и устранение последствий.
  4. Вывод из эксплуатации носителей информации. Keeper применяет регламент вывода из эксплуатации носителей, на которых хранились данные клиентов. Перед окончательной утилизацией устройства проходят процедуру размагничивания, стирания, очистки или физического уничтожения. Эти методы безопасной обработки соответствуют отраслевым стандартам и гарантируют, что данные клиентов невозможно восстановить.
  5. Физическая безопасность
    1. Контроль доступа. Keeper обязуется: (i) внедрять и поддерживать средства защиты, чтобы исключить посторонний доступ, повреждение систем или помехи в их работе; (ii) через устройства контроля допускать к системам только тех сотрудников, которым доступ необходим для работы; (iii) следить за физическим доступом через системы обнаружения вторжений, которые фиксируют угрозы и оповещают персонал о происшествиях; (iv) вести журнал и регулярно проверять все случаи доступа к системам; (v) регулярно проверять, соблюдаются ли эти стандарты.
    2. Доступность. Чтобы гарантировать стабильную работу, Keeper (i) дублирует системные ресурсы, чтобы свести к минимуму последствия сбоев, (ii) обеспечивает высокую отказоустойчивость инфраструктуры и (iii) автоматически перенаправляет трафик в обход неисправных узлов при отказе оборудования.
  6. Сотрудники Keeper
    1. Обучение сотрудников правилам безопасности. Keeper обучает сотрудников правилам информационной безопасности. Программы обучения пересматриваются и обновляются не реже одного раза в год.
    2. Проверка данных. Keeper проверяет биографию каждого сотрудника в соответствии с законом и с учетом сведений, доступных в государственных органах. Объем такой проверки должен быть обоснованным и соответствовать должности сотрудника, а также его уровню доступа к системам.
  7. Постоянный контроль. Keeper периодически проверяет эффективность программ информационной безопасности. При необходимости Keeper обновляет регламенты защиты, чтобы учитывать новые риски и внедрять актуальные технологии.
  8. Соблюдение Закона об устойчивости цифровых операций (DORA)
    Для соблюдения Закона о цифровой операционной устойчивости (DORA) Keeper применяет строгие стандарты безопасности. Компания защищает программное обеспечение и внутренние системы, используя эффективные методы управления рисками и обеспечивая бесперебойную работу сервисов. Эти меры включают строгое соблюдение внутренних политик, обучение персонала и четкие протоколы реагирования на инциденты. Keeper постоянно совершенствует процедуры защиты, чтобы минимизировать риски и гарантировать безопасность ПО и услуг.
close
Бизнес-продажи
Поддержка
close
Купить сейчас