1. Введение
Цель и правовая рамка
Настоящая Декларация о конфиденциальности данных устанавливает комплексную правовую рамку, регулирующую все операции по обработке персональных данных, осуществляемые Группой CypSec в связи с предоставлением передовых услуг кибербезопасности государственным органам, оборонным подрядчикам, операторам критической инфраструктуры, коммерческим организациям и уполномоченным физическим лицам. Настоящая Декларация представляет собой обязательный правовой инструмент, определяющий параметры сборки, обработки, хранения и передачи данных, необходимых для обеспечения национальных интересов безопасности и защиты критических информационных систем от сложных киберугроз.
Положения, содержащиеся в настоящем документе, действуют в рамках применимого законодательства о защите данных, включая Федеральный закон Швейцарии о защите данных, Общий регламент по защите данных (GDPR), где применимо, и иные обязательные правовые требования, которые могут регулировать конкретные юрисдикции. Однако все операции по обработке данных осуществляются с явным признанием того, что операции в области кибербезопасности, поддерживающие национальные интересы безопасности, могут требовать отклонений от стандартных парадигм защиты данных, когда это необходимо для реагирования на угрозы, проведения операций по сбору разведывательной информации или реализации мер защиты систем критической инфраструктуры.
Сфера применения
Настоящая Декларация применяется в полной мере ко всем операциям по обработке персональных данных, осуществляемым в связи с предоставлением услуг по выявлению и предотвращению продвинутых угроз, мониторингу безопасности и реагированию на инциденты, операциям по оценке уязвимости и пенетрационному тестированию, проведению форензического анализа и следственных процедур, предоставлению управляемых услуг безопасности, а также всем связанным платформам, технологиям и механизмам поддержки, предоставляемым уполномоченным пользователям.
Сфера действия охватывает все персональные данные, обрабатываемые через защищенные правительственные порталы и классифицированные каналы связи, платформы threat intelligence и системы управления информацией безопасности, облачные архитектуры безопасности и локальные развертывания, мобильные приложения и технологии удаленного доступа, интерфейсы прикладного программирования и программные комплекты разработки, а также все интегрированные сторонние инструменты безопасности и источники данных, необходимые для комплексных возможностей выявления угроз.
Принятие и обязательное действие
Доступ к любому сервису CypSec или его использование constitutes безоговорочное принятие настоящей Декларации о конфиденциальности данных и создает юридически обязательное соглашение относительно операций по обработке данных. Пользователи подтверждают, что обладают необходимой правоспособностью и полномочиями для предоставления согласия на условия обработки данных от своего имени и от имени любых представляемых ими юридических лиц. Настоящая Декларация применяется ко всем пользователям без исключения, включая государственные органы, оборонных подрядчиков, коммерческие организации и индивидуальных пользователей, действующих в рамках уполномоченных систем безопасности.
Используя сервисы CypSec, пользователи признают, что операции по обработке данных могут проводиться в поддержку национальных целей безопасности, защиты критической инфраструктуры и уполномоченных операций в области кибербезопасности, и что такая обработка может включать сбор и анализ персональных данных, необходимых для выявления угроз, реагирования на инциденты и проведения мероприятий по обеспечению безопасности.
2. Категории данных и методологии сбора
Категории обрабатываемых персональных данных
CypSec осуществляет обработку персональных данных исключительно в объеме, необходимом для операционных требований по предоставлению услуг кибербезопасности, возможностей выявления угроз, координации реагирования на инциденты, а также для соблюдения применимых договорных обязательств и государственных директив. Обрабатываемые персональные данные включают идентификационные и авторизационные данные, включая полные юридические имена, идентификационные номера, выданные государством, обозначения допуска к государственной тайне, учетные данные доступа к объектам, биометрические идентификаторы и профессиональные сертификаты, необходимые для доступа к классифицированным системам и защищенным объектам. В эту категорию входят данные паспортов, военные идентификационные номера и иные учетные данные, которые могут быть предусмотрены государственными протоколами безопасности и процедурами верификации допуска.
Данные аутентификации и контроля доступа включают сложные учетные данные аутентификации, токены многофакторной аутентификации, цифровые сертификаты, криптографические ключи, идентификаторы сеансов, журналы доступа и записи эскалации привилегий, необходимые для обеспечения безопасного доступа к критическим системам и предотвращения несанкционированных попыток вторжения. Все данные аутентификации обрабатываются с использованием шифрования, валидированного по стандарту FIPS 140-2 Уровня 3, и хранятся в аппаратных модулях безопасности, соответствующих государственным стандартам безопасности. Технические данные слежения и телеметрии включают IP-адреса, отпечатки устройств, информацию о топологии сети, параметры конфигурации систем, журналы событий безопасности, телеметрию выявления угроз, результаты сканирования уязвимостей, метаданные захвата пакетов и все связанные технические индикаторы, необходимые для операций по поиску угроз и оценки posture безопасности.
Методы сбора и техническая реализация
Операции по сбору данных осуществляются через множество технических и операционных каналов, включая прямое взаимодействие пользователей с защищенными порталами аутентификации и классифицированными системами связи, автоматизированный сбор через развернутые датчики безопасности, системы обнаружения вторжений и платформы threat intelligence, интеграцию с государственными системами аутентификации и базами данных допуска к государственной тайне, защищенные каналы данных от партнерских агентств и консорциумов по обмену данными об угрозах, а также правомерные операции перехвата и мониторинга, проводимые под надлежащим юридическим авторитетом.
Все операции сбора используют государственно-утвержденные стандарты шифрования и осуществляются через защищенные каналы связи, соответствующие применимым требованиям классификации. Метаданные, необходимые для эксплуатации служб и корреляции угроз, сохраняются согласно установленным графикам, соответствующим требованиям национальной безопасности по хранению и государственным обязательствам аудита. В случаях, когда CypSec выступает в качестве обработчика данных по государственным контрактам или классифицированным соглашениям, все категории данных и методологии сбора определяются контрактующим органом, который сохраняет статус контроллера данных для всех операционных директив и целей обработки.
Ограничения обработки и минимизация данных
CypSec осуществляет обработку таких данных строго в рамках параметров, установленных договорными инструментами и применимыми руководствами по классификации безопасности. Компания не осуществляет автоматизированные процессы принятия решений, которые производят юридические эффекты в отношении физических лиц, за исключением случаев, когда такая обработка необходима для операций выявления угроз, верификации допуска к государственной тайне или иной деятельности, явно уполномоченной государственной директивой и подлежащей соответствующим механизмам надзора. Все операции по обработке осуществляются с явным признанием того, что операции в области кибербезопасности могут требовать автоматизированного анализа в реальном времени для выявления и реагирования на неминущие угрозы безопасности.
Принципы минимизации данных применяются последовательно ко всем операциям по обработке, при этом сбор и хранение ограничиваются информацией, необходимой для поддержания posture безопасности, выполнения договорных обязательств и поддержки законных государственных интересов в защите критической инфраструктуры и активов национальной безопасности. Операции по обработке, которые представляют повышенные риски для прав физических лиц, подлежат усиленным механизмам надзора и дополнительным гарантиям, как это требуется применимыми правовыми рамками и государственными директивами.
3. Цели обработки и правовые основания
Исполнение договорных обязательств и предоставление услуг
CypSec осуществляет обработку персональных данных в случаях, когда это необходимо для исполнения государственных контрактов, соглашений оборонного закупа и уполномоченных сервисных договоров. Это включает предоставление возможностей выявления и реагирования на угрозы, поддержание безопасных систем аутентификации и контроля доступа, предоставление услуг по оценке уязвимости и пенетрационному тестированию, эксплуатацию классифицированных коммуникационных платформ и защищенных инструментов совместной работы, а также выполнение операций по координации реагирования на инциденты и проведению форензического анализа. Вся договорная обработка осуществляется строго в рамках заключенных соглашений и применимых регламентов закупок.
Персональные данные обрабатываются в случаях, когда это необходимо для исполнения договора с пользователями или организациями, которые они представляют, или для предпринятия шагов по запросу пользователя до заключения таких договорных отношений. Это включает предоставление, эксплуатацию, конфигурацию, техническое обслуживание и поддержку продуктов и услуг CypSec, управление учетными записями пользователей и механизмами аутентификации, обработку сервисных запросов и технических обращений, а также администрирование процессов выставления счетов, инвойсинга и связанных финансовых транзакций, проводимых в рамках государственных закупочных процедур.
Юридическое обязательство и соблюдение нормативных требований
Обработка осуществляется в случаях, когда это предписано применимым законодательством, государственными нормативными актами и директивами национальной безопасности. Такие обязательства включают соблюдение требований Федерального регламента о закупках и Дополнения к регламенту о закупках оборонного ведомства, соблюдение руководств по классификации безопасности и процедур обращения, выполнение обязательств экспортного контроля в соответствии с Регламентом о международной торговле вооружениями и Регламентом администрирования экспорта, реагирование на законные процессы от судов, регуляторных органов и органов надзора, а также соблюдение налоговых, бухгалтерских и требований корпоративного управления, применимых к государственным подрядчикам.
CypSec осуществляет обработку персональных данных в случаях, когда это необходимо для соблюдения юридических обязательств, которым подчиняется Компания. Такие обязательства могут возникать в рамках налогового, бухгалтерского, корпоративного управления, экспортного контроля, кибербезопасности, финансового регулирования, трудового законодательства или обязательств реагировать на законные запросы от судов, регуляторов или органов надзора, имеющих соответствующую юрисдикцию над операциями Компании.
Законные интересы безопасности и требования национальной безопасности
CypSec осуществляет обработку персональных данных в случаях, когда это необходимо для защиты существенных интересов безопасности, которые не превышают индивидуальные права на конфиденциальность. Такие интересы включают поддержание безопасности и целостности систем и сетей критической инфраструктуры, предотвращение, выявление и реагирование на киберугрозы, шпионские активности и атаки государственных участников, проведение анализа threat intelligence и расследований по атрибуции, защиту классифицированной информации и контролируемых технических данных, обеспечение постоянной доступности существенных услуг, а также поддержку правоохранительной и контрразведывательной деятельности в рамках применимого правового авторитета.
Законные интересы включают обеспечение безопасности и целостности инфраструктуры, продуктов и услуг, предотвращение, расследование и реагирование на мошенничество, злоупотребления или инциденты безопасности, разработку и улучшение платформ и предложений, проведение внутреннего анализа и отчетности, поддержание и расширение деловых отношений, принудительное осуществление юридических требований и управление корпоративными транзакциями, такими как слияния, поглощения или реструктуризации. Вся обработка на основе законных интересов подлежит формальным тестам на сбалансированность, которые учитывают серьезность выявленных угроз, потенциальное влияние на защиту критической инфраструктуры, обязательства перед государственными контрактующими органами и применимые директивы национальной безопасности.
Обработка на основе согласия и специальные категории
Персональные данные обрабатываются на основе явного согласия в случаях, когда это требуется применимым законодательством для конкретной деятельности, включая участие в дополнительных исследовательских и разработческих инициативах в области безопасности, зачисление в расширенные программы обучения и курсы сертификации, участие в консорциумах по обмену информацией об угрозах и усилиях по отраслевому сотрудничеству, предоставление отзывов или кейсов для маркетинговых целей, а также активацию расширенных функций мониторинга или аналитики, выходящих за рамки базовых требований безопасности. Согласие может быть отозвано в любое время без влияния на законность обработки, проведенной до отзыва.
В ограниченных обстоятельствах, существенных для операций кибербезопасности, CypSec может обрабатывать специальные категории персональных данных, включая биометрические идентификаторы для многофакторной аутентификации, информацию о допуске к государственной тайне и результаты проверки биографических данных. Такая обработка осуществляется только в случаях, когда это необходимо для установления, осуществления или защиты юридических требований, требуется важными основаниями общественного интереса, включая цели национальной безопасности, явно уполномочивается субъектами данных с соответствующими правовыми гарантиями или предписывается применимыми государственными требованиями безопасности и процедурами допуска.
Все цели обработки оцениваются через формальные оценки необходимости и пропорциональности для обеспечения того, чтобы операции по сбору и обработке данных были строго ограничены тем, что существенно для достижения законных целей безопасности, при этом сохраняя соответствующее уважение к индивидуальным интересам конфиденциальности в рамках применимых правовых требований и государственных директив.
4. Хранение данных, архитектура хранилища и меры безопасности
Сроки хранения и правовая рамка
CypSec сохраняет персональные данные согласно графикам хранения, специально разработанным для балансировки операционных требований операций кибербезопасности с применимыми юридическими обязательствами и государственными мандатами по ведению учетных записей. Все сроки хранения устанавливаются через формальные процессы оценки, которые учитывают уровень классификации и обозначение чувствительности обработанной информации, договорные обязательства, указанные в государственных контрактах и соглашениях о закупках, статутные сроки исковой давности, применимые к государственным подрядчикам, требования национальной безопасности по хранению и мандаты разведывательного надзора, а также операционную необходимость для корреляции угроз и возможностей форензического анализа.
Данные учетных записей и аутентификации сохраняются в течение срока активного обслуживания плюс семь лет для поддержки аудиторских требований, расследований безопасности и мероприятий государственного надзора. Журналы безопасности и событий сохраняются в течение минимального периода двадцати четырех месяцев для обеспечения операций по поиску угроз, корреляции инцидентов и форензическому анализу. Финансовые и контрактные записи сохраняются в течение десяти лет в соответствии с государственными закупочными регламентами, налоговыми обязательствами и требованиями по аудиторским следам. Системы резервного копирования и восстановления после сбоев сохраняются в течение девяноста дней, если более длительное хранение не предписано конкретными договорными обязательствами или требованиями классификации.
Архитектура хранилища и технические контроли
Все персональные данные хранятся в защищенных средах, реализующих архитектуру защиты глубины обороны с множеством независимых уровней безопасности. Системы хранения используют валидированное по FIPS 140-2 Уровень 3 шифрование для всех данных в состоянии покоя с применением алгоритмов AES-256 или более сильных, аппаратные модули безопасности для управления криптографическими ключами и операций контроля доступа, сегментацию сети и микросегментацию для изоляции систем хранения чувствительных данных, системы непрерывного мониторинга с возможностями выявления угроз в реальном времени, а также неизменяемое аудиторское журналирование для предотвращения несанкционированного изменения записей хранения.
Операции хранения данных могут использовать государственно-утвержденную облачную инфраструктуру, соответствующую уровню безопасности FedRAMP High или эквивалентным базовым показателям, локальные системы в рамках защищенных объектов, имеющих допуск к соответствующему уровню классификации, гибридные архитектуры, утвержденные для конкретных государственных контрактов, а также системы резервного копирования, поддерживаемые в географически разделенных местоположениях для целей восстановления после сбоев. Все сторонние поставщики услуг хранения должны демонстрировать соответствующие допуски к государственной тайне и поддерживать допуски объектов в соответствии с уровнем классификации хранимых данных.
Процедуры реагирования на инциденты и уведомления о нарушениях
CypSec поддерживает комплексные процедуры реагирования на инциденты, предназначенные для решения событий безопасности, затрагивающих персональные данные. После обнаружения любого подозреваемого или подтвержденного инцидента безопасности Компания немедленно активирует процедуры сдерживания для предотвращения дальнейшего несанкционированного доступа, проводит комплексную оценку воздействия для определения масштаба и характера затронутых персональных данных, реализует меры устранения для решения уязвимостей и предотвращения повторного возникновения, координирует с соответствующими государственными органами и контрактующими офицерами в случаях вовлечения классифицированной информации, а также поддерживает детальную документацию для целей аудита и надзора.
Обязательства по уведомлению выполняются в соответствии с применимыми юридическими требованиями и положениями государственных контрактов. В случаях, когда это предписано законом, CypSec предоставляет уведомление органам надзора в течение семидесяти двух часов с момента подтверждения инцидента. Затронутые физические лица уведомляются без неоправданной задержки в случаях, когда инцидент представляет высокий риск для прав и свобод физических лиц. Все уведомления включают описание характера и масштаба инцидента, идентификацию категорий затронутых персональных данных, оценку потенциальных последствий, описание мер сдерживания и устранения, а также контактную информацию для дополнительных запросов.
Протоколы безопасного уничтожения и уничтожения данных
По истечении применимых сроков хранения персональные данные уничтожаются с использованием методов, соответствующих уровню классификации и чувствительности информации. Процедуры уничтожения включают криптографическое стирание с использованием NIST-утвержденных методов для зашифрованных данных, многопроходное перезаписывание, соответствующее стандартам DoD 5220.22-M для магнитных носителей, физическое уничтожение через измельчение или размагничивание для устройств хранения, содержащих классифицированную информацию, а также сертифицированное уничтожение с документацией цепочки ответственности для всех данных государственных контрактов.
В случаях, когда технические ограничения препятствуют немедленному удалению, доступ к персональным данным строго ограничивается через удаление всех привилегий пользовательского доступа и учетных данных аутентификации, внедрение технических контролей, препятствующих системному доступу, поддержание в защищенном автономном хранилище с ограниченным административным доступом, а также последующее уничтожение после устранения технических ограничений. Все операции по утилизации документируются через формальные сертификаты уничтожения, поддерживаемые в соответствии с применимыми государственными требованиями по ведению учетных записей и мандатами надзора.
5. Протоколы раскрытия данных и международной передачи
Уполномоченные категории раскрытия и получатели
CypSec не осуществляет продажу, аренду или коммерческое использование персональных данных ни при каких обстоятельствах. Все раскрытия осуществляются исключительно в случаях, когда это необходимо для операционных требований, договорных обязательств или законного процесса, и ограничиваются минимальным объемом, необходимым для законных операций кибербезопасности и предоставления государственных услуг. Персональные данные могут раскрываться проверенным субъектам, действующим на основе обязательств конфиденциальности и безопасности, включая проверенных подрядчиков и стратегических партнеров, имеющих соответствующие допуски объектов и персонала к государственной тайне, государственно-утвержденных поставщиков инфраструктуры, соответствующих уровню безопасности FedRAMP High или эквивалентным базовым показателям, финансовых учреждений, обрабатывающих уполномоченные транзакции в рамках государственных закупочных регламентов, юридических консультантов и консультантов по соблюдению требований, имеющих соответствующие допуски к государственной тайне и авторизацию на доступ по принципу необходимости знать, а также аудиторских фирм и органов надзора с законной юрисдикцией и соответствующими уровнями допуска.
Раскрытие в рамках корпоративной структуры CypSec ограничивается субъектами, поддерживающими эквивалентные стандарты безопасности и соответствующие допуски объектов. Все внутригрупповые передачи осуществляются через защищенные каналы связи с соответствующей маркировкой классификации и подлежат верификации статуса допуска к государственной тайне получающего субъекта, внедрению контроля доступа по принципу необходимости знать, поддержанию аудиторских следов для всех перемещений данных и соблюдению применимых требований государственного надзора и мандатов уведомления конгресса, где уместно.
Требования раскрытия для государственных органов и правоохранительных органов
Персональные данные раскрываются государственным агентствам, регуляторным органам и правоохранительным органам в случаях, когда это предписано законным процессом, включая судебные приказы, повестки и ордера, директивы национальной безопасности и классифицированные государственные требования, обязательства надзора в рамках Федерального регламента о закупках и агентских закупочных правил, процедуры экстренного раскрытия для предотвращения неминуещего вреда критической инфраструктуре, а также международные соглашения о сотрудничестве и договоры о взаимной правовой помощи. Все государственные раскрытия осуществляются через соответствующие каналы безопасности с надлежащим обращением с классификацией и координацией надзора.
CypSec поддерживает строгие процедуры проверки и надзора субподрядчиков. Все субподрядчики подлежат комплексным оценкам безопасности для верификации соответствия государственным требованиям безопасности, договорным обязательствам, внедряющим эквивалентные технические и организационные меры, ограничениям, запрещающим дальнейшее раскрытие без явного уполномочивания, правам аудита, обеспечивающим верификацию соблюдения обязательств безопасности, и положениям о немедленном расторжении в случае нарушений безопасности или нарушения обязательств конфиденциальности. Актуальный реестр уполномоченных субподрядчиков поддерживается и предоставляется государственным контрактующим офицерам по запросу.
Механизмы и гарантии международной передачи
Международные перемещения данных осуществляются исключительно через защищенные каналы, утвержденные для государственных и оборонных приложений, с внедрением шифрования в состоянии покоя и при транзите с использованием криптографических модулей, валидированных по FIPS 140-2 Уровень 3, контролей управления ключами, обеспечивающих, что ключи остаются в рамках соответствующей государственной юрисдикции, ограничений маршрутизации сети, предотвращающих транзит через неуполномоченные юрисдикции, требований локализации данных, где это предписано государственными контрактами, а также комплексного аудиторского журналирования всех международных перемещений для верификации надзора и соответствия.
Для передач в юрисдикции, не имеющие решений об адекватности, CypSec проводит формальные оценки воздействия передачи, включая анализ правовой рамки страны-получателя, законов о слежке и доступе к данным, оценку потенциального государственного доступа к переданным данным, оценку доступных юридических средств защиты для субъектов данных, идентификацию дополнительных технических и договорных мер, а также документацию анализа пропорциональности, балансирующей выгоды безопасности и риски конфиденциальности. Все оценки рассматриваются квалифицированными юридическими консультантами и утверждаются старшим руководством до авторизации передачи.
Протоколы передачи между государствами
Международные передачи, осуществляемые в рамках формальных государственных соглашений, используют уполномоченные защищенные каналы связи и подлежат двусторонним или многосторонним соглашениям, устанавливающим соответствующие гарантии, протоколам безопасности НАТО и процедурам обращения с классифицированной информацией, требованиям разведывательного надзора и обязательствам брифингов для конгресса, конкретным техническим контролям, предписанным соглашениями о передаче, а также постоянному надзору соответствующих государственных органов для обеспечения соответствия требованиям национальной безопасности.
Все международные передачи ограничиваются минимально необходимым объемом для законных операций кибербезопасности и осуществляются с явным признанием того, что защита национальных интересов безопасности и критической инфраструктуры может требовать приоритизации коллективных целей безопасности над неограниченным перемещением данных. Операции по обработке спроектированы для поддержания высшего доступного уровня защиты при одновременном обеспечении операционной эффективности для операций выявления и реагирования на угрозы в рамках уполномоченных юрисдикций и союзных государств.
6. Индивидуальные права и механизмы их реализации
Рамочные права и юридические ограничения
При условии соблюдения применимых правовых рамок и преобладающих требований национальной безопасности, физические лица обладают определенными правами в отношении персональных данных, обрабатываемых CypSec. Объем и осуществление этих прав могут быть изменены в случаях, когда это необходимо из-за требований классификации и обязательств допуска к государственной тайне, положений государственных контрактов и закупочных регламентов, директив национальной безопасности и требований разведывательного надзора, текущих расследований угроз и контрразведывательных операций, а также мер защиты критической инфраструктуры и классифицированных систем.
Физические лица обладают правом запрашивать доступ к персональным данным, находящимся в процессе обработки, при условии верификации соответствующего допуска к государственной тайне и авторизации доступа по принципу необходимости знать. Запросы на доступ должны указывать конкретные категории данных, требуемые законные основания для запроса доступа, верификацию личности через государственно-утвержденные механизмы аутентификации, а также подтверждение применимых требований по обращению с конфиденциальной информацией и безопасностью. Доступ может быть отклонен или ограничен в случаях, когда раскрытие может скомпрометировать классифицированную информацию или интересы национальной безопасности, помешать текущим расследованиям угроз, раскрыть собственные источники или методы threat intelligence, или нарушить обязательства по допуску к государственной тайне или требованиям компартиментализации.
Права на исправление и качество данных
Запросы на исправление неточных персональных данных обрабатываются в случаях, когда неточность подтверждена через соответствующую документацию, исправление не скомпрометирует операции безопасности или целостность аудиторского следа, запрашивающее физическое лицо обладает соответствующей авторизацией для запроса модификации, и исправление соответствует применимым государственным требованиям по ведению учетных записей. Запросы, затрагивающие информацию о допуске к государственной тайне, результаты проверки биографических данных или данные threat intelligence, подлежат дополнительным процедурам верификации и могут требовать координации с соответствующими государственными органами.
Право на стирание подчиняется преобладающим требованиям национальной безопасности по хранению, положениям государственных контрактов и мандатам разведывательного надзора. Стираение не будет обработано в случаях, когда персональные данные требуются для текущих операций выявления угроз или реагирования на инциденты, должны сохраняться в соответствии с государственными аудиторскими или требованиями надзора, составляют доказательства в фактических или потенциальных юридических процессах, необходимы для верификации допуска к государственной тайне или целей проверки биографических данных, или подлежат обязательным срокам хранения, установленным применимым законодательством или государственной директивой.
Ограничения обработки и права возражения
Физические лица могут запрашивать ограничение операций по обработке в случаях, когда точность законно оспаривается и верификация находится в процессе, обработка является незаконной, но стирание запрещено требованиями национальной безопасности, данные больше не требуются для операционных целей, но должны сохраняться для юридических процессов, или возражение против обработки находится в процессе верификации преобладающих законных оснований. Ограниченные данные остаются подлежащими соответствующим контролям безопасности и могут продолжать обрабатываться для целей национальной безопасности, уполномоченных государственной директивой, защиты систем критической инфраструктуры, соблюдения применимых юридических обязательств или установления, осуществления или защиты юридических требований.
Физические лица обладают правом возражать против обработки на основе законных интересов в случаях, когда такие интересы не превышаются требованиями национальной безопасности, государственными договорными обязательствами или потребностями защиты критической инфраструктуры. Возражения против обработки для целей прямого маркетинга будут удовлетворены немедленно. Возражения против обработки, связанной с безопасностью, оцениваются через формальные тесты на сбалансированность, учитывающие серьезность и непосредственность выявленных угроз, потенциальное влияние на защиту критической инфраструктуры, обязательства перед государственными контрактующими органами и применимые директивы национальной безопасности.
Процедуры реализации и требования верификации
Все запросы прав должны подаваться через защищенные каналы с соответствующей верификацией личности и подтверждением допуска к государственной тайне. Запросы обрабатываются только в случаях, когда личность запрашивающего верифицирована через государственно-утвержденные механизмы аутентификации, запрашивающий обладает соответствующим допуском к государственной тайне для доступа к запрошенной информации, раскрытие не скомпрометирует классифицированную информацию или интересы национальной безопасности, и обработка технически осуществима в рамках применимых ограничений безопасности. Неверифицируемые запросы не подлежат обработке.
Верифицированные запросы будут обработаны в рамках сроков, требуемых применимым законодательством, обычно тридцать дней, если не продлены сложностью запросов, вовлекающих классифицированную информацию, требованиями координации с государственными органами, техническими ограничениями, влияющими на извлечение данных из защищенных систем, или преобладающими интересами национальной безопасности, требующими продленных сроков обработки. Запрашивающие будут уведомлены о любых продлениях и предоставлены обновления статуса на протяжении всего периода обработки.
Все операции по реализации прав осуществляются с явным признанием того, что операции кибербезопасности, поддерживающие интересы национальной безопасности, могут требовать приоритизации коллективных целей безопасности над индивидуальными правами субъектов данных, когда такая приоритизация уполномочена применимыми правовыми рамками и государственными директивами. Физические лица сохраняют право подавать жалобы в компетентные органы надзора относительно операций по обработке, с дополнительными средствами правовой защиты через соответствующих контрактующих офицеров, генеральных инспекторов агентств и комитеты конгрессионального надзора, где применимо к государственным контрактам.
7. Управление политикой и административная рамка
Административный орган и юрисдикционная рамка
Настоящая Декларация о конфиденциальности данных администрируется Группой CypSec в качестве авторитетной рамки, регулирующей все операции по обработке персональных данных, осуществляемые в поддержку операций кибербезопасности. Декларация устанавливает единообразные стандарты защиты во всех операциях, при этом признавая, что конкретные государственные контракты, классифицированные соглашения и директивы национальной безопасности могут налагать дополнительные требования, которые преобладают над общими положениями, когда это предписано применимым законодательством или преобладающими интересами безопасности.
В обстоятельствах, когда возникают противоречивые требования между настоящей Декларацией и положениями государственных контрактов или закупочных регламентов, директивами национальной безопасности и процедурами обращения с классифицированной информацией, международными договорами или двусторонними соглашениями, мандатами разведывательного надзора или экстренными директивами для защиты критической инфраструктуры, преобладает самый защитный применимый стандарт, который удовлетворяет государственным требованиям безопасности. Все конфликты разрешаются через формальное юридическое рассмотрение с соответствующей координацией с государственными органами в случаях вовлечения классифицированной информации.
Техническая реализация и технологии отслеживания
CypSec использует cookies и сопоставимые технологии отслеживания исключительно для поддержания безопасных сеансов аутентификации и предотвращения несанкционированного доступа, выявления угроз и идентификации аномалий в средах клиентов, мониторинга производительности инфраструктуры безопасности и систем реагирования, а также верификации соответствия государственным требованиям безопасности. Существенные cookies, необходимые для эксплуатации защищенной платформы, развертываются без индивидуального согласия. Несущественные технологии отслеживания внедряются только в случаях явного уполномочивания применимым законодательством и при условии соответствующих механизмов надзора за безопасностью.
Все технические реализации используют государственно-утвержденные стандарты шифрования и осуществляются через защищенные каналы связи, соответствующие применимым требованиям классификации. Данные отслеживания сохраняются согласно установленным графикам, соответствующим требованиям национальной безопасности по хранению и государственным обязательствам аудита, при этом доступ строго ограничен персоналом, обладающим соответствующими допусками к государственной тайне и авторизацией доступа по принципу необходимости знать.
Возрастные ограничения и протоколы защиты несовершеннолетних
Сервисы CypSec спроектированы для и ограничены уполномоченным государственным персоналом, проверенными подрядчиками, валидированными коммерческими субъектами, действующими в рамках утвержденных рамок безопасности, и физическими лицами, нуждающимися в технологиях с сохранением конфиденциальности. Компания сознательно не собирает персональные данные от физических лиц младше шестнадцати лет. В случаях обнаружения случайного сбора такие данные будут немедленно удалены, если хранение не предписано текущими расследованиями угроз, требованиями реагирования на инциденты безопасности, государственными аудиторскими или обязательствами надзора, применимыми юридическими мандатами по хранению, или интересами национальной безопасности, требующими продолженной обработки.
Все процедуры верификации возраста реализуются через защищенные механизмы аутентификации, которые верифицируют авторизацию доступа к классифицированным системам и чувствительной информации. Операции по обработке, вовлекающие несовершеннолетних, подлежат усиленному надзору и немедленному рассмотрению соответствующими государственными органами и контрактующими офицерами.
Процедуры модификации и обновления политики
Настоящая Декларация может обновляться для отражения модификаций в применимом законодательстве о защите данных или государственных закупочных регламентах, улучшениях технологий безопасности и возможностей выявления угроз, изменениях в требованиях контрактов или руководствах по классификации, разработках в механизмах международной передачи данных, или операционных требованиях для усиленных возможностей кибербезопасности. Обновленные версии распространяются через защищенные каналы уведомления.
Значительные модификации, затрагивающие механизмы международной передачи данных, процедуры государственного надзора или аудита, требования обращения с классификацией безопасности, положения об ограничении ответственности или гарантии, или процедуры разрешения споров для государственных контрактов, будут доводиться через формальные процессы модификации контрактов с соответствующим предварительным уведомлением, как это требуется применимыми закупочными регламентами. Все существенные изменения требуют подтверждения уполномоченными государственными представителями до внедрения.
Структура управления и соблюдение нормативных требований
CypSec поддерживает комплексные механизмы управления, включая назначение квалифицированных офицеров по защите данных с соответствующими допусками к государственной тайне для обращения с классифицированной информацией, установление государственных лиаизонных офисов для координации с контрактующими органами, внедрение формальных процедур рассмотрения для всех модификаций политик, затрагивающих государственные контракты, поддержание комитетов надзора с представительством от юридических, безопасностных и государственных связей, а также координацию с соответствующими органами надзора и органами разведывательного надзора, как это требуется применимым законодательством.
В случаях, когда это требуется применимым законодательством, CypSec назначает представителей в рамках соответствующих юрисдикций в соответствии со Статьями 27 и 37 Общего регламента по защите данных. Все представители поддерживают соответствующие допуски к государственной тайне и уполномочены координировать с органами надзора по вопросам, вовлекающим классифицированную информацию, облегчать процедуры реализации прав при условии ограничений национальной безопасности, управлять процессами уведомления о нарушениях с соответствующей государственной координацией, а также служить точками связи для регуляторных запросов, требующих верификации допуска к государственной тайне.
Настоящая Декларация действует в качестве окончательной управляющей рамки для всех операций по обработке персональных данных, заменяющей все предыдущие политики, процедуры и неформальные практики. Все операции по обработке осуществляются с явным признанием того, что защита интересов национальной безопасности и критической инфраструктуры может требовать приоритизации коллективных целей безопасности над индивидуальными предпочтениями, когда такая приоритизация уполномочена применимыми правовыми рамками и государственными директивами.
