Приложение № 4

1.1. Настоящая Политика определяет основные принципы и меры обеспечения кибербезопасности при работе пользователей с Сервисом «modme.uz» (далее — Сервис) и применяется ко всем клиентам, сотрудникам и партнёрам ООО «MODME» (ИНН 307442900) (далее — MODME).

1.2. Цель документа — обеспечение целостности, доступности и конфиденциальности данных, а также предотвращение инцидентов, связанных с утратой, изменением или несанкционированным раскрытием информации, обрабатываемой в Сервисе.

1.3. Настоящая Политика является приложением к Публичной оферте и Договору, размещается в открытом доступе на сайте https://modme.uz.

1.4. Политика составлена в соответствии с:

• Законом Республики Узбекистан «О кибербезопасности»;
• Законом Республики Узбекистан «О персональных данных»;
• другими нормативными актами и внутренними регламентами MODME.

При обеспечении безопасности данных MODME руководствуется следующими принципами:

• Непрерывность защиты: безопасность встроена во все этапы жизненного цикла Сервиса — от проектирования до сопровождения.
• Конфиденциальность: доступ к данным предоставляется только уполномоченным лицам.
• Целостность: предотвращение несанкционированных изменений данных и программного кода.
• Доступность: обеспечение бесперебойной работы Сервиса с минимальными простоями.
• Прозрачность: пользователи информируются о мерах защиты и инцидентах, которые могут затронуть их данные.
• Ответственность: каждое лицо, имеющее доступ к системам MODME, несёт персональную ответственность за соблюдение правил безопасности.

3.1. Технические меры:

• использование защищённых протоколов связи (HTTPS, SSL/TLS);
• резервное копирование данных не реже одного раза в сутки;
• хранение данных на серверах, расположенных на территории Республики Узбекистан;
• использование межсетевых экранов, антивирусной и анти-DDoS-защиты;
• регулярное обновление программного обеспечения и операционных систем.

3.2. Организационные меры:

• ограничение доступа к административным панелям по IP-фильтрации;
• обязательная двухфакторная аутентификация для сотрудников и партнёров;
• ротация паролей и управление ключами доступа;
• ведение журналов событий (логов) и их хранение не менее 12 месяцев;
• ежегодное тестирование и аудит безопасности с привлечением независимых специалистов.

4.1. При выявлении факта или признаков инцидента безопасности (утечка, взлом, вирусная атака, отказ оборудования) MODME незамедлительно:

• фиксирует событие в журнале инцидентов;
• блокирует источники угрозы;
• уведомляет затронутых клиентов (если затронуты их данные);
• инициирует внутреннее расследование и устраняет последствия.

4.2. Ответственный за кибербезопасность подготавливает отчёт об инциденте и предпринимает меры по предотвращению аналогичных случаев.

4.3. В случае инцидентов, затрагивающих персональные данные или угрожающих информационной инфраструктуре, MODME уведомляет Государственный центр по кибербезопасности и иные компетентные органы в порядке, предусмотренном законодательством Республики Узбекистан.

5.1. Пользователи обязаны:

• обеспечивать конфиденциальность своих логинов и паролей;
• не передавать доступ третьим лицам;
• использовать современные и защищённые устройства и браузеры;
• при обнаружении подозрительной активности незамедлительно уведомлять службу поддержки MODME ([email protected]).

5.2. Пользователь несёт ответственность за действия, совершённые под его учётной записью, до момента уведомления MODME о компрометации доступа.

6.1. MODME привлекает только сертифицированных поставщиков услуг хостинга, связи, SMS-уведомлений и платёжных систем, обеспечивающих надлежащий уровень киберзащиты.

6.2. Передача данных третьим лицам осуществляется исключительно по договору и в соответствии с внутренними процедурами согласования и аудита безопасности.

7.1. Все сотрудники MODME проходят инструктаж по вопросам кибербезопасности при приёме на работу и ежегодное повторное обучение.

7.2. Сотрудники подписывают обязательство о неразглашении конфиденциальной информации и персональных данных.

7.3. MODME проводит внутренние тесты и учения по реагированию на инциденты не реже одного раза в год.

8.1. Ответственным за организацию и контроль мер кибербезопасности является назначенное приказом лицо.

8.2. MODME осуществляет внутренний аудит кибербезопасности и передаёт отчёт директору компании не реже одного раза в год.

8.3. За нарушение требований настоящей Политики сотрудники и подрядчики несут дисциплинарную и иную ответственность в соответствии с законодательством Республики Узбекистан и внутренними актами компании.

9.1. Настоящая Политика размещается в открытом доступе на сайте https://modme.uz в разделе «Документы».