Політика конфіденційності

1. Вступ

У RansomLeak ми серйозно ставимось до вашої конфіденційності. Ця Політика конфіденційності пояснює, як ми збираємо, використовуємо, розкриваємо та захищаємо вашу інформацію, коли ви відвідуєте наш вебсайт або використовуєте нашу платформу для навчання з кібербезпеки. Ця політика відповідає Закону України «Про захист персональних даних», Загальному регламенту захисту даних ЄС (GDPR), Каліфорнійському закону про конфіденційність споживачів (CCPA) та іншим застосовним законам про захист даних. Будь ласка, уважно прочитайте цю політику конфіденційності.

2. Правові підстави для обробки

Ми обробляємо ваші персональні дані на таких правових підставах:

• Законний інтерес: Для надання послуг з навчання кібербезпеці та покращення нашої платформи
• Договірна необхідність: Для надання послуг, на які ви підписалися, та виконання наших зобов’язань згідно з нашими Умовами надання послуг
• Згода: Для маркетингових комунікацій та додаткових функцій, де ви надали явну згоду
• Юридичне зобов’язання: Для дотримання застосовних законів, нормативних актів та юридичних процесів

3. Інформація, яку ми збираємо

Ми можемо збирати інформацію про вас різними способами. Інформація, яку ми можемо збирати, включає:

• Персональні дані: Імʼя, електронна адреса, назва компанії, посада та організаційна роль
• Дані навчання: Прогрес проходження курсів, показники завершення, результати тестів та час, витрачений на модулі
• Технічні дані: IP-адреса, тип браузера, операційна система та інформація про пристрій
• Дані використання: Відвідані сторінки, використані функції та шаблони взаємодії в межах нашої платформи

4. Як ми використовуємо вашу інформацію

Ми використовуємо зібрану інформацію такими способами:

• Для надання та підтримки наших послуг з навчання кібербезпеці
• Для персоналізації навчального контенту та покращення користувацького досвіду
• Для відстеження прогресу та формування звітів про навчання для вашої організації
• Для комунікації з вами щодо вашого облікового запису та наших послуг
• Для дотримання юридичних зобов’язань та захисту наших прав

5. Безпека даних

Ми впроваджуємо комплексні технічні та організаційні заходи безпеки для захисту вашої персональної інформації від несанкціонованого доступу, зміни, розкриття або знищення.

• Шифрування у стані спокою: Усі дані, що зберігаються в наших системах, зашифровані за допомогою AES-256
• Шифрування при передачі: Усі передані дані захищені шифруванням TLS 1.3 з обов’язковим використанням HTTPS
• Мережева безпека: Наша інфраструктура використовує ізоляцію VPC, групи безпеки та AWS GuardDuty для виявлення загроз
• Контроль доступу: Ми впроваджуємо управління доступом на основі ролей (RBAC) з принципом мінімальних привілеїв
• Моніторинг та аудит: Безперервний моніторинг безпеки через логування CloudWatch та аудит API через CloudTrail

Для детальних технічних заходів безпеки див. нашу сторінку Безпека та відповідність .

6. Збереження даних

Ми зберігаємо вашу персональну інформацію лише стільки, скільки необхідно для виконання цілей, описаних у цій Політиці конфіденційності, якщо тільки більш тривалий період зберігання не вимагається або не дозволяється законом.

Конкретні періоди зберігання:

• Записи навчання: Зберігаються протягом дії підписки плюс розумний період після неї
• Логи застосунків: 1 рік (CloudWatch)
• Логи аудиту API: 5 років (CloudTrail, Glacier після 90 днів)
• Резервні копії баз даних: Зашифровані резервні копії зберігаються 30 днів для відновлення після збоїв

Видалення облікового запису:

Коли ви запитуєте видалення облікового запису, ми негайно видаляємо вашу персональну інформацію з робочої бази даних. Проте ваші дані можуть залишатися в зашифрованих резервних копіях до 30 днів для відновлення після збоїв, після чого вони автоматично видаляються.

Ви можете запросити видалення ваших персональних даних у будь-який час, зв’язавшись за адресою privacy@ransomleak.com.

7. Ваші права на захист даних

Залежно від вашого місцезнаходження, ви можете мати такі права щодо вашої персональної інформації:

• Право на доступ: Ви маєте право запросити копію вашої персональної інформації.
• Право на виправлення: Ви можете оновити неточну персональну інформацію через налаштування облікового запису.
• Право на видалення: Ви можете запросити видалення вашої персональної інформації.
• Право на обмеження обробки: Ви можете запросити обмеження обробки ваших персональних даних.
• Право на портативність даних: Ви можете завантажити свої дані навчання через панель облікового запису.
• Право на заперечення: Ви можете заперечувати проти обробки ваших персональних даних на підставі законних інтересів.
• Право на відкликання згоди: Якщо ми покладаємося на згоду, ви можете відкликати її в будь-який час.

Усі запити суб’єктів даних обробляються протягом 30 днів, відповідно до вимог GDPR.

8. Міжнародна передача даних

Ваші персональні дані можуть передаватися та оброблятися в країнах, відмінних від вашої. Ми забезпечуємо відповідні гарантії для таких передач:

• Рамкова угода про конфіденційність даних між ЄС та США: Ми дотримуємося Рамкової угоди про конфіденційність даних між ЄС та США для передач з Європейського Союзу
• Стандартні договірні положення: Де це застосовно, ми використовуємо SCC, схвалені Європейською комісією
• Місця обробки даних: Наші сервіси розміщені на інфраструктурі AWS у США (us-east-1, Північна Вірджинія) у безпечних центрах обробки даних, що відповідають SOC 2

9. Повідомлення про порушення безпеки даних

У малоймовірному випадку порушення безпеки персональних даних, що становить ризик для ваших прав і свобод, ми:

• Повідомимо відповідний наглядовий орган протягом 72 годин після виявлення порушення (Стаття 33 GDPR)
• Повідомимо постраждалих осіб без невиправданої затримки, якщо порушення може призвести до високого ризику
• Надамо чітку інформацію про характер порушення, можливі наслідки та вжиті заходи
• Впровадимо негайні заходи для захисту постраждалих систем

10. Наглядовий орган та скарги

Обробка персональних даних користувачів з України регулюється Законом України «Про захист персональних даних». Якщо ви вважаєте, що ваші права на захист персональних даних порушено, ви маєте право звернутися зі скаргою до наглядового органу:

• Україна: Уповноважений Верховної Ради України з прав людини (Омбудсмен) — ombudsman.gov.ua
• Європейський Союз: Якщо ви перебуваєте в ЄС, ви також можете звернутися до місцевого органу із захисту даних (DPA) у вашій державі-члені, оскільки наша інфраструктура та субпроцесори обробляють дані відповідно до GDPR.

Будь ласка, зв’яжіться з нами за адресою privacy@ransomleak.com перш ніж звертатися до наглядового органу.

11. Права на конфіденційність у Каліфорнії (CCPA)

Якщо ви є резидентом Каліфорнії, у вас є особливі права згідно з Каліфорнійським законом про конфіденційність споживачів (CCPA):

• Право знати: Ви маєте право знати, яку персональну інформацію ми збираємо, використовуємо, розкриваємо та продаємо
• Право на видалення: Ви маєте право запросити видалення вашої персональної інформації
• Право на відмову: Ви маєте право відмовитися від продажу вашої персональної інформації. Ми не продаємо вашу персональну інформацію
• Право на недискримінацію: Ви маєте право не зазнавати дискримінаційного ставлення за реалізацію ваших прав CCPA

Для реалізації цих прав, надішліть листа на privacy@ransomleak.com. Ми підтвердимо вашу особу та відповімо протягом 45 днів.

12. Файли cookie та технології відстеження

Ми використовуємо файли cookie та подібні технології відстеження для покращення вашого досвіду на нашій платформі.

Типи файлів cookie, які ми використовуємо:

• Необхідні файли cookie: Потрібні для належного функціонування платформи. Їх не можна відключити.
• Аналітичні файли cookie: Допомагають нам зрозуміти, як відвідувачі взаємодіють з нашим вебсайтом.
• Функціональні файли cookie: Забезпечують розширену функціональність та персоналізацію.

Ви можете керувати налаштуваннями файлів cookie через наш банер згоди на cookie або налаштування браузера.

13. Зміни до цієї Політики конфіденційності

Ми можемо час від часу оновлювати нашу Політику конфіденційності. Ми повідомимо вас про будь-які зміни, опублікувавши нову Політику конфіденційності на цій сторінці та оновивши дату "Останнє оновлення" вгорі цієї Політики. Рекомендуємо періодично переглядати цю Політику конфіденційності на предмет змін.

14. Дані користувачів Google та обмежене використання

RansomLeak Reporter, наше доповнення для Google Workspace™, запитує обмежений доступ до вашого облікового запису Gmail™, щоб ви могли повідомляти службу безпеки про підозрілі фішингові листи. Коли ви повідомляєте про лист, доповнення зчитує лише ідентифікатор цього листа (Message-ID за стандартом RFC 5322) разом із вашою електронною адресою та часом повідомлення і надсилає їх до RansomLeak. Воно ніколи не читає вміст листів, вкладення чи списки одержувачів.

Використання та передавання компанією RansomLeak інформації, отриманої через Google API, будь-якому іншому застосунку відповідатиме Google API Services User Data Policy, зокрема вимогам щодо обмеженого використання (Limited Use).

Докладніше див. Google API Services User Data Policy.

Ми не використовуємо дані користувачів Google для реклами та не продаємо їх і не передаємо третім сторонам, окрім випадків, коли це потрібно для надання запитаної вами функції звітування, для дотримання законодавства або в межах злиття чи поглинання. Ми не дозволяємо людям читати ці дані, окрім випадків, коли ви надали згоду щодо конкретних листів, це потрібно з міркувань безпеки або для дотримання законодавства.

Google Workspace та Gmail є торговельними марками Google LLC. RansomLeak є незалежним продуктом, не афілійований з Google LLC та не схвалений нею.

15. Застосунок для Microsoft Teams

Застосунок RansomLeak Security Awareness Training для Microsoft Teams доставляє призначене вам навчання у вигляді приватного повідомлення в Teams. Коли ваш адміністратор підключає застосунок — одноразове налаштування зі згодою адміністратора — RansomLeak використовує вашу ідентифікацію Microsoft (вашу обліковку Azure AD / Microsoft Entra та ідентифікатор клієнта (tenant ID) вашої організації) виключно для того, щоб надсилати вам персональні (1:1) сповіщення через Microsoft Bot Framework.

Застосунок працює лише на надсилання сповіщень. Він ніколи не читає ваші повідомлення, вкладення, поштову скриньку чи розмови в каналах і групах і ніколи не публікує дописи в каналах. Сповіщення надсилаються лише вам (1:1), стосуються виключно навчання, яке ваша організація вже призначила, і ніколи не просять вводити інформацію в чаті.

Ми не використовуємо дані ідентифікації Microsoft для реклами та не продаємо їх і не передаємо третім сторонам, окрім випадків, коли це потрібно для доставлення призначених вам сповіщень, для дотримання законодавства або в межах злиття чи поглинання. Саме навчання проходить у вебзастосунку RansomLeak; цей застосунок лише доставляє нагадування. Ви або ваш адміністратор можете відключити застосунок будь-коли, щоб припинити всі сповіщення.

Microsoft, Microsoft Teams та Microsoft Entra є торговельними марками групи компаній Microsoft. RansomLeak є незалежним продуктом, не афілійований з Microsoft та не схвалений нею.

16. Зв’яжіться з нами

Якщо у вас є запитання чи коментарі щодо цієї Політики конфіденційності або ви бажаєте реалізувати свої права на захист даних, зв’яжіться з нами: