Политика информационной безопасности Digitalstep KZ

Настоящая Политика информационной безопасности Digitalstep KZ (далее – Компания) устанавливает основные принципы и меры обеспечения безопасности информации, персональных данных студентов и сотрудников, цифровых активов и системы онлайн-обучения. Политика разработана в соответствии с законодательством Республики Казахстан и международными стандартами информационной безопасности. Требования Политики обязательны для всех сотрудников Компании и пользователей платформы Digitalstep KZ.

1. Правовая основа

Компания осуществляет защиту информации в строгом соответствии с действующим законодательством Республики Казахстан и международными стандартами. Основой Политики являются требования следующих нормативно-правовых актов и стандартов:

  • Закон РК «О защите персональных данных» № 94-V от 21 мая 2013 года – регламентирует сбор, обработку и защиту персональных данных граждан.
  • Закон РК «Об информации» № 349-III от 10 января 2007 года – устанавливает правовые основы обращения с информацией и защиты информации.
  • Закон РК «О цифровых активах» № 164-VII от 6 февраля 2023 года – регулирует отношения, связанные с цифровыми активами и их защитой в информационных системах.
  • Международный стандарт ISO/IEC 27001 – мировой стандарт управления информационной безопасностью, требования и лучшие практики которого учтены при разработке настоящей Политики.

2. Основные принципы безопасности

Конфиденциальность: Компания обеспечивает конфиденциальность персональных данных студентов, сотрудников и иных пользователей. Сбор и обработка личных сведений осуществляется с согласия субъекта данных и в соответствии с требованиями законодательства. Доступ к персональным данным имеют только уполномоченные лица, и информация не разглашается третьим сторонам без законных оснований.

Целостность и защита цифровых активов: Компания защищает цифровые активы, учебные материалы и другие ценные данные от несанкционированного доступа, изменения или уничтожения. Обеспечивается сохранность интеллектуальной собственности и достоверность (целостность) информации, размещенной на платформе, чтобы предотвратить искажение или потерю данных.

Информационная безопасность платформы: Компания применяет комплексный подход к защите онлайн-платформы Digitalstep KZ, гарантируя ее устойчивость к киберугрозам и бесперебойное функционирование сервисов. Реализуются технические и организационные меры, направленные на предотвращение несанкционированного доступа к системе, быстрое обнаружение и блокировку попыток взлома, а также минимизацию рисков простоя или нарушения учебного процесса.

3. Защита данных

  • Шифрование данных: Компания обеспечивает шифрование всех данных, передаваемых между пользователями и платформой Digitalstep KZ, с использованием современных протоколов безопасности (SSL/TLS). Это гарантирует, что конфиденциальная информация (персональные данные, платежные сведения и пр.) не сможет быть перехвачена или прочитана злоумышленниками в процессе передачи. Кроме того, чувствительные данные при хранении защищаются актуальными криптографическими методами.

  • Защита учетных записей: Для всех пользовательских аккаунтов реализованы усиленные меры аутентификации и авторизации. Пользователи обязаны создавать надежные пароли; пароли хранятся в системе в зашифрованном/хэшированном виде. Для повышения безопасности предусмотрена двухфакторная аутентификация (2FA), что значительно снижает риск несанкционированного доступа к аккаунтам. Пользователям также рекомендуется регулярно обновлять пароли и не использовать одни и те же пароли на других ресурсах.

  • Предотвращение утечки данных: Внедрены организационные и технические меры, исключающие несанкционированное копирование или выведение конфиденциальной информации за пределы Компании. Доступ сотрудников к персональным данным и другим критичным сведениям ограничен и предоставляется только в рамках их должностных обязанностей (принцип минимальных привилегий). Периодически проводится обучение персонала правилам защиты данных и проверка соблюдения внутренних политик, чтобы снизить вероятность человеческого фактора в утечках.

  • Контроль доступа третьих лиц: Компания строго контролирует доступ сторонних организаций и лиц к данным Digitalstep KZ. Передача персональных данных третьим лицам возможна только на основании закона или с согласия самого субъекта данных, и при условии, что такие стороны обеспечивают надлежащий уровень защиты информации. Все внешние сервисы и партнеры, привлекаемые к обработке или хранению данных, проходят проверку на соответствие требованиям информационной безопасности и конфиденциальности.

4. Кибербезопасность и защита платформы

  • Регулярные аудиты безопасности: Компания регулярно проводит проверки и аудит системы на уязвимости. Периодически осуществляются как внутренние, так и внешние аудиты информационной безопасности платформы. В рамках этих проверок проводятся оценка уязвимостей программного обеспечения, тестирование на проникновение (penetration testing) и анализ архитектуры системы. Выявленные недостатки незамедлительно устраняются, при необходимости вносятся изменения в инфраструктуру и процессы обеспечения безопасности.

  • Мониторинг и обнаружение угроз: Компания внедрила системы мониторинга, которые постоянно отслеживают работу платформы и фиксируют подозрительную активность. Автоматизированные средства информационной безопасности (системы обнаружения вторжений, анализаторы логов и пр.) позволяют оперативно выявлять попытки несанкционированного доступа или необычное поведение. Специалисты по безопасности регулярно анализируют журналы событий и получают уведомления о возможных инцидентах, что обеспечивает своевременное реагирование на угрозы.

  • Защита от DDoS-атак и вредоносного ПО: Компания использует современные средства защиты инфраструктуры от сетевых атак и вредоносных программ. Применяются межсетевые экраны (фаерволы) и системы предотвращения вторжений для фильтрации трафика и блокировки неавторизованных попыток доступа. Реализованы механизмы противодействия DDoS-атакам (например, использование облачных сервисов защиты или распределение нагрузки на серверы), благодаря чему поддерживается доступность онлайн-сервисов даже при попытках их перегрузки. Также используется антивирусное программное обеспечение и регулярное обновление систем, что помогает обнаруживать и удалять вредоносное ПО, а также закрывать известные уязвимости до того, как ими смогут воспользоваться злоумышленники.

5. Платежные операции

  • Безопасные платёжные системы: Для обработки онлайн-платежей за услуги обучения Компания использует только сертифицированные платежные шлюзы и системы, соответствующие отраслевым стандартам безопасности (например, стандарт PCI DSS для карточных данных). Все финансовые данные (номера платежных карт, банковские реквизиты и пр.) передаются по защищённым каналам связи с шифрованием. Компания не хранит полные реквизиты платежных карт клиентов на своих серверах, тем самым снижая риск компрометации финансовой информации.

  • Контроль и мониторинг транзакций: Каждая транзакция проходит автоматизированный контроль на предмет мошеннических или подозрительных действий. В случае обнаружения аномальной активности платеж может быть временно приостановлен для дополнительной проверки службой безопасности. Компания отслеживает попытки многократных неудачных оплат и другие нетипичные ситуации, чтобы предотвратить несанкционированное списание средств. При необходимости пользователю может быть направлен запрос на подтверждение операции, либо осуществлён обратный звонок/контакт службой поддержки для уточнения деталей платежа.

  • Политика возврата средств: В случае отмены обучения, переплаты либо иной необходимости возврата средств, Компания выполняет возврат платежа согласно установленной внутренней процедуре и в соответствии с законодательством. Возврат производится на ту же банковскую карту или другой источник, с которого была изначально получена оплата (если иное не оговорено), и только после проверки оснований для возврата. Сроки возврата и дополнительные условия прописаны во внутренних регламентах и доводятся до сведения пользователей (например, в договоре оферты или пользовательском соглашении).

6. Ответственность пользователей

  • Соблюдение правил безопасности: Пользователи платформы Digitalstep KZ (студенты и сотрудники) обязаны строго следовать всем правилам и рекомендациям по безопасности, установленным Компанией. Рекомендуется регулярно обновлять программное обеспечение на своих устройствах, использовать антивирусные средства и проявлять осторожность при работе с ресурсами платформы. При подозрении на компрометацию своего аккаунта (например, обнаружение неизвестной активности, входа с нового устройства и пр.) пользователь должен незамедлительно уведомить об этом службу поддержки или администрацию Компании.

  • Конфиденциальность учетных данных: Категорически запрещается передавать свои учетные данные для доступа к платформе (логин, пароль, одноразовые коды двухфакторной авторизации) каким-либо третьим лицам. Пользователь несет персональную ответственность за сохранность своих логинов и паролей. Все действия, совершенные в системе под учетной записью пользователя, считаются совершенными самим пользователем. В случае нарушения конфиденциальности учетных данных (например, передачу логина и пароля другому лицу) Компания освобождается от ответственности за возможные последствия, а пользователь берет на себя риск возникновения ущерба.

  • Недопустимость компрометации системы: Пользователям запрещено совершать любые действия, способные повредить информационную безопасность платформы. К таким действиям относятся попытки взлома сайта или серверов, несанкционированный доступ к чужим данным, распространение вирусов или вредоносных ссылок через платформу, а также любые иные действия, нарушающие нормальную работу сервисов Digitalstep KZ. Нарушители правил безопасности могут быть отключены от платформы (блокировка или удаление аккаунта), а в случаях, предусмотренных законом, могут понести административную или уголовную ответственность.

7. Политика реагирования на инциденты

  • Процедуры в случае инцидента: Компания разработала детальный план реагирования на инциденты информационной безопасности. При возникновении инцидента (утечка персональных данных, взлом аккаунта, сбой в работе системы из-за внешней атаки и т.п.) ответственные специалисты по безопасности незамедлительно приступают к его локализации и расследованию. Предпринимаются шаги для ограничения распространения инцидента: отключение затронутых узлов от сети, блокирование компрометированных учетных записей, активация резервных механизмов защиты и пр. Цель первоочередных действий – как можно быстрее остановить развитие инцидента и минимизировать ущерб для пользователей и инфраструктуры.

  • Уведомление пользователей и органов власти: Если инцидент привёл к утечке персональных данных пользователей или иным серьёзным последствиям, Компания оперативно уведомляет об этом самих затронутых пользователей и уполномоченные контролирующие органы. Уведомление пользователей производится через зарегистрированные электронные адреса или иным доступным способом и содержит информацию о характере инцидента, о данных, которые могли быть раскрыты, а также рекомендации по дальнейшим действиям (например, сменить пароль, быть внимательнее к подозрительным письмам и т.д.). Уведомление государственных органов (например, уполномоченного органа по защите персональных данных) осуществляется в случаях и порядке, предусмотренных законодательством Республики Казахстан. Компания документирует каждый инцидент и действия по оповещению, чтобы предоставить отчётность и доказательство выполненных обязательств.

  • Восстановление и улучшение безопасности: После локализации и остановки инцидента Компания принимает меры по восстановлению нормальной работы платформы и предотвращению подобных ситуаций в будущем. Если в ходе инцидента были повреждены или утрачены данные, информация восстанавливается из резервных копий (backup). Проводится тщательный анализ причин инцидента (post-incident review) и разрабатываются коррективные меры: установка необходимых обновлений и патчей для устранения уязвимостей, усиление настроек безопасности, доработка внутренних процедур или дополнительное обучение сотрудников. Итоги расследования и сведения о принятых мерах фиксируются в отчёте по инциденту. Компания постоянно совершенствует систему защиты с учётом полученного опыта, чтобы снизить риск повторения инцидентов.

8. Контактные данные компании

Полное наименование компании: Товарищество с ограниченной ответственностью «Digitalstep KZ» (БИН: 000000000000)
Юридический адрес: Республика Казахстан, 050000, г. Алматы, ул. Примерная, д. 1, офис 101
Контактные данные службы поддержки: Телефон: +7 (727) 000-00-00, Электронная почта: [email protected]