Предыдущие версии этой и других политик см. в нашем Архиве политик(открывается в новой вкладке или окне).
Настоящее Заявление о технических и организационных мерах включено в наше Дополнение по обработке данных в форме отсылки. В нем описаны минимальные стандарты безопасности, которые Canva применяет к Сервисам Canva в соответствии с Соглашением о предоставлении услуг в рамках подписки(открывается в новой вкладке или окне). Используемые с заглавной буквы термины, которые не определены в настоящем Заявлении о технических и организационных мерах, имеют значения, указанные в Дополнении по обработке данных(открывается в новой вкладке или окне), включая «Данные» (которые во избежание недоразумений ограничиваются данными корпоративных клиентов, если иное не указано в вашем соглашении с нами).
1. Меры по обеспечению псевдонимизации и шифрования персональных данных
Canva шифрует Данные, передаваемые между клиентами и приложением Canva через общедоступные сети с помощью протокола TLS 1.2 или выше. Хранящиеся на серверах Canva Данные клиентов шифруются с использованием алгоритма AES 256 или более надежного алгоритма.
2. Меры по обеспечению сохранности конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки данных
В команде Canva есть специалисты, отвечающие за обеспечение безопасности и конфиденциальности. В компании есть руководители Отделов безопасности, конфиденциальности и данных, а также Комитет по информационной безопасности, который проводит ежеквартальные собрания для обсуждения рисков в области конфиденциальности и безопасности, включенных в журналы рисков.
3. Меры по обеспечению возможности своевременного восстановления и доступа к персональным данным в случае возникновения физического или технического инцидента
Для обеспечения доступности сервиса Canva использует автоматическое масштабирование Amazon Web Services (AWS), зоны доступности AWS, всесторонний мониторинг приложений и инфраструктуры, а также осуществляет круглосуточную поддержку приложения.
Canva ведет резервное копирование хранилищ данных, включая Данные Клиентов, которые поддерживают основные функциональные возможности приложения Canva. Резервные копии хранятся в географически удаленном от основного хранилища данных месте.
Canva поддерживает систему реагирования на инциденты в области безопасности, которая включает в себя официальный План реагирования на инциденты с персональными данными для инцидентов в области безопасности, связанных с Данными. В нем определены методы локализации, реагирования, оценки и информирования об инцидентах, а также роли и обязанности сотрудников Canva и требование о проведении анализа после устранения инцидента.
4. Процедуры регулярного тестирования, анализа и оценки эффективности технических и организационных мер для обеспечения безопасности выполнения процедур
Canva привлекает стороннего эксперта по безопасности для проведения ежегодного теста на проникновение в приложения и инфраструктуру с целью проверки системы защиты. Canva также использует сторонний сервис по сканированию на уязвимости приложений и организовывает публичную премию по обнаружению проблем в программном обеспечении.
5. Меры по идентификации и авторизации пользователей
Если учетная запись Клиента содержит пароль для аутентификации, Canva хранит этот пароль «в темном и закрытом месте», используя стандартную функцию хеширования паролей. Canva поддерживает интеграцию системы единого входа (SSO) с поставщиком идентификационных данных клиента с помощью Языка разметки декларации безопасности (Security Assertion Markup Language, SAML).
6. Меры по обеспечению защиты данных при передаче
Как указано в пункте 1, Canva шифрует Данные, передаваемые по сетям общего пользования между клиентами и приложением Canva, с помощью протокола TLS 1.2 или выше.
7. Меры по обеспечению защиты данных во время хранения
Как указано в пункте 1, хранящиеся на серверах Canva Данные Клиентов шифруются с использованием алгоритма AES 256 или более надежного алгоритма.
8. Меры по обеспечению физической безопасности в местах обработки персональных данных
Сервис размещен в центрах обработки Данных, предоставляемых Amazon Web Services (AWS). Там же хранятся и данные. Таким образом, Canva полагается на физический, экологический и инфраструктурный контроль со стороны AWS. Canva периодически пересматривает предоставленные AWS сертификаты и заверения третьих сторон об эффективности контроля центра обработки данных.
9. Меры по обеспечению регистрации событий
Canva ведет журналы аудита безопасности приложений и инфраструктуры. Анализ журналов аудита позволяет выявить аномальную активность.
10. Меры по обеспечению конфигурации системы, включая конфигурацию по умолчанию
Canva обеспечивает защиту своей серверной инфраструктуры, используя стандарт защиты, основанный на общепринятом отраслевом стандарте. Canva применяет обновления для исправления уязвимости для своих серверов в соответствии с процедурой управления уязвимостями.
11. Меры по организации и управлению внутренними информационными технологиями и безопасностью информации при применении информационных технологий
Доступ сотрудников Canva к Данным Клиентов определяется ролями и соответствует принципу наименьших привилегий. Сотрудники получают доступ к Данным Клиентов только для того, чтобы эффективно выполнять свои обязанности. Удаленный сетевой доступ к системам Canva подразумевает использование шифрованной связи по защищенным протоколам и многофакторной аутентификации. Canva разработала и будет поддерживать процедуры управления паролями для своих сотрудников, предназначенные для обеспечения того, чтобы пароли были персональными для каждого пользователя и недоступными для неавторизованных лиц, включая, как минимум:
- криптографическую защиту паролей при хранении в компьютерных системах или при передаче по сети;
- изменение паролей по умолчанию у поставщиков услуг; и
- обучение по вопросам надлежащей защиты паролей.
Сотрудники, имеющие доступ к производственной инфраструктуре, должны пройти процедуру многофакторной аутентификации (MFA).
Сотрудники Canva обязаны соблюдать конфиденциальность и придерживаться Политики обработки персональных данных. Canva требует от своих сотрудников прохождения обучения по вопросам информационной безопасности, как при приеме на работу, так и ежегодно впоследствии. Canva также требует, чтобы ее сотрудники ежегодно проходили обучение по законам о конфиденциальности (в том числе для соблюдения COPPA и FERPA в отношении данных учащихся).
Canva внедрила систему защиты конфиденциальности по дизайнам, включая, но не ограничиваясь, оценкой воздействия на неприкосновенность частной жизни.
12. Меры по сертификации/обеспечению процедур и продукции
Canva будет поддерживать сертификацию в соответствии со стандартом ISO 27001, периодически проводя внешнее наблюдение и ресертификационные аудиты, чтобы обеспечить соответствие Системы управления информационной безопасностью (Information Security Management System, ISMS) требованиям этого стандарта.
Canva будет поддерживать политику информационной безопасности, соответствующую требованиям стандарта ISO 27001, программу внутреннего аудита, оценивающую СУИБ и механизмы контроля информационной безопасности Canva, а также работу комитета по управлению, отвечающего за надзор за Системой управления информационной безопасностью (ISMS) Canva.
13. Меры по обеспечению минимизации данных
Canva позволяет пользователям использовать некоторые функциональные возможности своей платформы анонимно и минимизирует количество запрашиваемых у Клиентов Данных, ограничиваясь только теми Данными, которые необходимы для предоставления запрашиваемой услуги.
14. Меры по обеспечению качества данных
Canva обеспечивает высокое качество своих данных посредством проверки электронных адресов, регистрирующихся на платформе canva.com. Canva также позволяет пользователям самостоятельно обновлять информацию в своих учетных записях или с помощью запросов в службу поддержки клиентов — Команду исполнения желаний.
15. Меры по обеспечению ограничения срока хранения данных
Canva использует Политику хранения данных, определяющую сроки хранения различных типов данных в соответствии с требованиями законодательства, обоснованными интересами Canva и целями сбора данных.
16. Меры по обеспечению подотчетности
Canva имеет местных представителей в Европе и Великобритании. Местным представителем Canva в Европейской экономической зоне является Европейское бюро по защите данных (EDPO), зарегистрированное по адресу: Avenue Huart Hamoir 71, 1030 Brussels, Belgium. Нашим представителем в Великобритании является Европейское бюро по защите данных Великобритании (EDPO UK), зарегистрированное по адресу: 8 Northumberland Avenue, London WC2N 5BY, United Kingdom. При обработке данных с высоким уровнем риска проводятся Оценки воздействия на защиту данных, а Canva осуществляет учет своей деятельности по обработке данных.
17. Меры по обеспечению перенесения и стирания данных
Canva предлагает автоматизированный процесс удаления данных клиента по его запросу в течение 28 дней и позволяет скачивать данные клиента для предоставления альтернативным поставщикам услуг.