Безопасность

Работайте с уверенностью в безопасности. Ознакомьтесь с нашими обязательствами по обеспечению безопасности ваших данных при хранении и передаче для облачных, гибридных и локальных сред.

Конфиденциальность

Сохраняйте контроль. Ознакомьтесь с нашими политиками, которые дают вам возможность решать, как получать доступ к данным и использовать их.

Соответствие нормативным требованиям

Полное соответствие нормативным требованиям в каждом регионе. Ознакомьтесь с полным списком стандартов и нормативных требований, которым мы соответствуем.

Устойчивость

Будьте в курсе статуса решений. Получите доступ к полной визуализации доступности продуктов и сервисов по всему миру.

Преимущества VMware Cloud Security

Ваша безопасность является нашим приоритетом как в облачных, так и в гибридных и локальных средах.
Расширенная безопасность

VMware имеет долгую историю надежного партнерства в самых конфиденциальных средах: от государственного сектора и оборонной промышленности до крупнейших центров обработки данных в мире. Теперь эта репутация распространяется и на облачные продукты.

 

Встроенные средства обеспечения соответствия нормативным требованиям

VMware закладывает средства безопасности в основу каждого облачного решения. Это означает, что наши продукты отвечают критериям основных сертификаций на соответствие требованиям. Таким образом мы поддерживаем стандарты, соответствующие лучшим отраслевым методикам.

 

Ускорение без компромиссов

Обеспечьте адаптивность и уверенность при любых действиях, будь то миграция в облако, создание современных приложений, масштабирование центра обработки данных или автоматизация процессов в многооблачной среде.

 

Возможности VMware Cloud Security

Безопасность программного обеспечения

Благодаря партнерству с поставщиками решений для безопасности мирового уровня и лучшему в отрасли жизненному циклу разработки безопасного ПО VMware гарантирует, что наши средства управления процессами и безопасностью облака соответствуют отраслевым стандартам и лучшим методикам.

Безопасность данных

VMware придерживается строгих стандартов защиты данных, чтобы гарантировать надлежащее обращение с ними на всех уровнях классификации: от обработки и хранения до передачи и уничтожения. Данные в облаке — это коллективная ответственность, и мы определяем элементы управления, чтобы гарантировать, что право собственности и право на управление данными организации остаются за заказчиком.



Безопасность сети

Решения VMware Cloud основаны на базовой сетевой безопасности, обеспечиваемой нашими партнерами по IaaS. Сетевые среды логически разделены и защищены брандмауэрами для соблюдения требований к безопасности бизнеса, а также обеспечения надлежащей защиты и изоляции.

Управление учетными данными и доступом

На основе принципа минимальных привилегий в облачных решениях VMware используются средства управления учетными данными и доступом. Это обеспечивает соответствующий уровень доступа для всего персонала, чтобы ваши данные и системы оставались в безопасности.

 

Управление уязвимостями и исправлениями

Компания VMware разработала комплексную программу управления уязвимостями. Эта программа предусматривает сторонние проверки на наличие уязвимостей и тестирование на проникновение на уровне сети, приложений и локальной операционной системы. Это помогает действовать на опережение в случае возникновения новых пробелов в системе безопасности.

Управление процессами

Решения VMware Cloud непрерывно собирают и отслеживают журналы сред, связанные как с публичными, так и с частными потоками угроз, для выявления подозрительных и необычных действий. Эта возможность поддерживается постоянно обновляемыми контактами с отраслевыми и регулирующими органами, организациями по управлению рисками и соответствием нормативным требованиям, а также местными властями, чтобы обеспечить быстрое обнаружение новых угроз.

Связанные ресурсы

Блог VMware, посвященный безопасности

Убедитесь, что ваша организация в безопасности, с помощью сведений о последних тенденциях, а также советов и технологий, предоставляемых руководителями и экспертами VMware по безопасности.

Обзор системы безопасности сервисов VMware Cloud

Получите подробное представление о подходе VMware к защите облака из нашей тематической статьи о средствах управления безопасностью, реализованных в сервисах VMware Cloud.

Защита данных, обрабатываемых нашей организацией

Прозрачность способов сбора, использования, раскрытия, передачи и хранения персональной информации.

Уведомление для продуктов и сервисов

Применяется к персональной информации, которую VMware собирает и использует в связи с вашей работой с продуктами и сервисами VMware. Это касается, в частности, следующего:

 

  • Файлы cookie и аналогичные технологии отслеживания, которые мы можем использовать при предоставлении продуктов и сервисов.
  • Данные, которые мы собираем для усовершенствования продуктов и сервисов, а также для улучшения качества обслуживания заказчиков.

Подробная информация о программах VMware по улучшению качества обслуживания заказчиков и аналитических программах, связанных с продуктами и сервисами VMware, доступна по этой ссылке.

Уведомление о конфиденциальности

Применяется к персональной информации, которую мы собираем, когда вы выполняете приведенные ниже действия.

 

  • Посещаете или используете наши веб-сайты, страницы в социальных сетях, мобильные приложения (там, где имеются ссылки на Уведомление о конфиденциальности), интернет-рекламу, маркетинговые сообщения, а также взаимодействуете с ними.
  • Участвуете в любых наших мероприятиях, связанных с продажами или маркетингом, а также мероприятиях иного рода, проводимых вне Интернета.
  • Приобретаете продукты и сервисы VMware и предоставляете персональную информацию, связанную с учетной записью.

Уведомление о файлах cookie

Указывает, как VMware использует файлы cookie и аналогичные технологии отслеживания при посещении вами наших веб-сайтов и онлайн-ресурсов, а также при взаимодействии с ними.

Дополнительные уведомления

VMware может иметь дополнительные уведомления о конфиденциальности для определенных веб-сайтов, мероприятий и мобильных приложений, в том числе сообщения о раскрытии информации по требованию и уведомления о конфиденциальности данных в продуктах. Эти уведомления могут дополнять или разъяснять методы обеспечения конфиденциальности VMware или предлагать дополнительные варианты обработки данных компанией VMware.

Защита данных нашей компанией в качестве поставщика услуг

Обеспечение соблюдения требований к защите данных и конфиденциальности.

Обработка Контента заказчика

VMware обрабатывает, хранит и размещает материалы, которые вы или ваши конечные пользователи загрузили в сервисы VMware как «Контент заказчика» (как определено в Условиях обслуживания VMware или другом соответствующем соглашении). VMware обрабатывает персональные данные в составе Контента заказчика как «поставщик услуг» или «обработчик данных», действуя по вашему указанию. Дополнительную информацию см. в разделе вопросов и ответов.

Дополнение об обработке данных компанией

Обязательства VMware как обработчика данных, изложены в Дополнении об обработке данных компанией VMware (DPA). VMware обрабатывает персональные данные в составе Контента заказчика в соответствии с этим соглашением DPA и другими применимыми соглашениями. Стандартные соглашения для каждого продукта и сервиса содержатся в наших Условиях обслуживания конечных пользователей.

Обязательные правила компании

VMware соблюдает Обязательные правила компании (BCR) как обработчик данных, подтверждая, что мы придерживаемся стандартов Общего регламента ЕС по защите данных в отношении международной передачи персональных данных в составе Контента заказчика.

Субоператоры

VMware может прибегать к услугам сторонних компаний для предоставления определенных сервисов от своего имени. Сторонние поставщики услуг, которые обрабатывают персональные данные в составе Контента заказчика (Субоператоры), должны иметь письменные соглашения и механизмы передачи данных для защиты персональных данных в порядке, изложенном в Дополнении об обработке данных компанией.

 

VMware Cloud Security

У VMware есть программы, политики и методы, обеспечивающие надлежащую защиту персональных данных в составе Контента заказчика (в том числе соглашения о регулярном обучении и конфиденциальности для сотрудников, выполняющих обработку данных), а также помогающие выявлять, предотвращать и устранять уязвимости системы безопасности наших продуктов и сервисов. Эти программы постоянно пересматриваются и обновляются.

 

 

Централизованное управление конечными устройствами

VMware предоставляет решения, позволяющие защитить информацию и системы организации, доступ к которым осуществляется с корпоративных или личных устройств с использованием средств управления. Ознакомьтесь с информацией о программе обеспечения конфиденциальности и безопасности Workspace ONE и раскрытии данных, собираемых и используемых этим сервисом.

 

Связанные ресурсы

Конфиденциальность решения CloudHealth by VMware

Узнайте, как VMware обрабатывает и защищает персональные данные на надежной платформе для оптимизации многооблачных сред.

Конфиденциальность решения VMware Carbon Black Cloud

Узнайте о типах персональных данных, собираемых этим облачным решением для обеспечения безопасности, а также о том, как VMware обрабатывает и защищает эти данные.

Конфиденциальность решения VMware SD-WAN by VeloCloud

Узнайте о типах персональных данных, собираемых этим решением для наложенной сети, и о роли VMware в обеспечении их безопасности.

 

Конфиденциальность решения VMware Workspace ONE

Узнайте о типах персональных данных, собираемых этой цифровой платформой рабочей области, а также о том, как VMware обрабатывает и защищает эти данные.

Конфиденциальность решения VMware Cloud on AWS

Узнайте, кто отвечает за персональные данные в программно-определяемых ЦОД VMware Cloud on AWS и как VMware обеспечивает безопасность любых данных в своем домене.

Совместное соблюдение нормативных требований

Компания VMware постоянно отслеживает существующие и новые стандарты и требования в области безопасности и интегрирует применимые нормативы с соответствующими программами для облачных сервисов. Поскольку VMware сотрудничает с вами в рамках обеспечения соответствия нормативным требованиям, вы как заказчик должны гарантировать соответствие Сервисов вашим обязательствам в отношении стандартов и нормативных требований.

Если у вас есть вопросы о соответствии требованиям, рекомендуем вам обсудить свои бизнес-цели и задачи с торговым представителем VMware.

Существующие программы обеспечения соответствия нормативным требованиям для облачных сред

Постоянно обновляемая информация о наиболее актуальных для вас программах соответствия нормативным требованиям.
Чтобы получить информацию о соответствии требованиям к продуктам VMware, нажмите здесь.
Filter by
Filter by

 

 

Дополнительная информация о соответствии нормативным требованиям

Благодарим вас за интерес к тому, как VMware обеспечивает соответствие нормативным требованиям.

Если вам требуется дополнительная информация о наших программах соответствия нормативным требованиям, обратитесь к торговому представителю VMware. Ваш торговый представитель также поможет получить доступ к отчетам о соответствии нормативным требованиям, недоступным для немедленного скачивания.

Service Status

Service Location

Service Status

Вопросы и ответы

Центр сертификации

Чтобы получить дополнительные сведения о Центре сертификации VMware Cloud, рекомендуем обратиться к вашему торговому представителю VMware. Ваш представитель сможет получить информацию, максимально соответствующую вашему запросу.

Конфиденциальность

«Ваш контент» или «Контент заказчика» — это любой контент, который вы как заказчик передаете в Сервисы, как определено в соглашении с VMware (например, в Условиях обслуживания VMware). Это предусматривает все текстовые, звуковые, видео- или графические файлы и программное обеспечение (в том числе образы машин), а также другую информацию, которую вы или любой из ваших конечных пользователей передаете в Сервисы для обработки, хранения или размещения в связи с вашей учетной записью. Например, Контент заказчика включает в себя данные, которые вы или ваши конечные пользователи храните в Workspace ONE. Важно отметить, что данные вашей учетной записи, в том числе личные имена, имена пользователей, номера телефонов и платежная информация, связанная с вашей учетной записью, не входят в определение «Контент заказчика», как и сведения, которые мы собираем в связи с использованием вами наших Сервисов. VMware будет обрабатывать эту информацию в соответствии с Уведомлением о конфиденциальности.

Вы всегда сохраняете за собой право на владение своим Контентом заказчика. Вы определяете, какие Сервисы VMware вы хотели бы использовать при обработке, хранении и размещении Контента заказчика, а также какую информацию вы передаете в Сервисы как Контент заказчика. Кроме того, мы не будем получать доступ к вашему Контенту заказчика или использовать его для каких-либо целей, за исключением случаев, когда это необходимо для предоставления вам Сервисов, как указано и разрешено вами в рамках Условий обслуживания VMware. Наконец, мы не используем Контент заказчика в целях маркетинга или рекламы.

 

VMware берет на себя приведенные ниже договорные обязательства в отношении того, как будут обрабатываться повестки в суд, судебные постановления, действия агентств или другие юридические и нормативные требования для раскрытия любого Контента заказчика, как указано в разделе «Обязательное раскрытие информации» в Условиях обслуживания.

Если уведомление заказчиков не запрещено законом, VMware выполняет приведенные ниже действия.

— Уведомление заказчика. Уведомление заказчиков о любых требованиях к раскрытию их контента.

— Направление государственного учреждения к заказчику. Информирование соответствующего государственного органа о том, что VMware является поставщиком услуг, действующим от имени заказчика, и все запросы на доступ к Контенту заказчика следует направлять в письменной форме контактному лицу заказчика, нам или в юридический отдел заказчика. 

— Ограничение доступа. Предоставление доступа к Контенту заказчика только с его разрешения. По запросу заказчика мы за его счет примем разумные меры для оспаривания любого требования. 

Если компании VMware юридически запрещено уведомлять заказчика, VMware обязуется выполнять приведенные ниже действия.

— Оценка юридической силы. VMware оценит потребность в раскрытии информации, чтобы определить, является ли она юридически действительной и обязательной. 

— Оспаривание незаконных запросов. Компания VMware будет оспаривать постановление о раскрытии информации, если у нее есть объективные основания полагать, что оно не соответствует действующему законодательству. 

— Ограничение объема раскрытия информации. VMware ограничит объем раскрытия только той информацией, которую мы обязаны раскрывать, и будет делать это в соответствии с действующим законодательством.

VMware стремится защищать Контент своих заказчиков, соблюдая при этом действующее законодательство. В связи с этим в Условиях обслуживания VMware (раздел «Обязательное раскрытие информации») и «Политике обработчика» в рамках Обязательных правил компании (BCR) компания VMware приняла на себя обязательства в отношении того, как она будет отвечать на запросы государственных учреждений на доступ к данным. Эти обязательства подробно описаны ниже. Компания VMware подготовила Принципы VMware в отношении обработки запросов государственных учреждений на доступ к Контенту заказчиков, чтобы помочь заказчикам лучше понять обязательства и процессы VMware по обработке запросов государственных учреждений на доступ к данным, в том числе обязательства, изложенные в Обязательных правилах компании VMware

В частности, VMware берет на себя такие договорные обязательства в отношении того, как будут обрабатываться запросы государственных учреждений на доступ к данным, как указано в разделе «Обязательное раскрытие информации» в Условиях обслуживания VMware.

Если уведомление заказчиков не запрещено законом, VMware выполняет приведенные ниже действия.

— Уведомление заказчика. Уведомление заказчиков о любых требованиях к раскрытию их контента.

— Направление государственного учреждения к заказчику. Информирование соответствующего государственного органа о том, что VMware является поставщиком услуг, действующим от имени заказчика, и все запросы на доступ к Контенту заказчика следует направлять в письменной форме контактному лицу заказчика, нам или в юридический отдел заказчика. 

— Ограничение доступа. Предоставление доступа к Контенту заказчика только с его разрешения. По запросу заказчика мы за его счет примем разумные меры для оспаривания любого требования.

Если компании VMware юридически запрещено уведомлять заказчика, VMware обязуется выполнять приведенные ниже действия.

— Оценка юридической силы. VMware оценит потребность в раскрытии информации, чтобы определить, является ли она юридически действительной и обязательной.

— Оспаривание незаконных запросов. Компания VMware будет оспаривать постановление о раскрытии информации, если у нее есть объективные основания полагать, что оно не соответствует действующему законодательству.

— Ограничение объема раскрытия информации. VMware ограничит объем раскрытия только той информацией, которую мы обязаны раскрывать, и будет делать это в соответствии с действующим законодательством.

Ни при каких обстоятельствах VMware не будет раскрывать какие-либо Персональные данные в больших объемах, непропорционально и неизбирательно, выходя за рамки необходимого в демократическом обществе.

Кроме того, после решения Суда Европейского союза (ECJ) по делу «Комиссар по защите данных против компании Facebook в Ирландии и Максимилиана Шремса», дело C-311/18 (Schrems II), компания VMware подготовила Заявление VMware в отношении применения FISA, раздел 702, и Исполнительный приказ № 12333 с учетом Schrems II для устранения опасений по поводу доступа спецслужб США к данным, передаваемым из ЕС в США, и для помощи заказчикам в понимании вероятного применения двух постановлений органов власти США: Исполнительного приказа № 12333 и раздела 702 Акта о негласном наблюдении в целях внешней разведки (FISA). Компания VMware твердо убеждена в низкой вероятности того, что к ней будет применяться раздел 702 или исполнительный приказ № 12333 в отношении предоставления сервисов, учитывая характер этих сервисов.

VMware — глобальная компания, на которую распространяется международное законодательство. Список стран, в которых Персональные данные в составе Контента заказчика обрабатываются в связи с конкретными Сервисами, изложены в соответствующих списках Субоператоров, приведенном здесь. Компании VMware не известно о каких-либо применяемых законах, которые могли бы повлиять на ее способность выполнять свои обязательства в отношении запросов государственных органов на доступ к данным и обязательного раскрытия информации, как указано в Условиях обслуживания VMware.

В связи с предоставлением услуг VMware заказчику компания VMware в качестве обработчика данных может передавать Персональные данные в составе Контента заказчика (их определение приведено в Дополнении об обработке данных компанией VMware) из Европейской экономической зоны («ЕЭЗ»), Швейцарии и Великобритании в третьи страны. Общий регламент по защите данных («GDPR») был включен во внутреннее законодательство Великобритании, поэтому разрешенный в рамках GDPR механизм передачи персональных данных за пределы ЕЭЗ также будет применяться к передаче данных из Великобритании. Что касается Швейцарии, то ее Федеральный закон о защите данных («FADP») следует той же структуре, что и GDPR, поэтому те же механизмы действуют для передачи данных из Швейцарии (с необходимыми поправками для учета любых различий).

К получателям и импортерам Персональных данных заказчиков относятся организации, входящие в Группу VMware, и избранные сторонние поставщики, с которыми мы работаем, обрабатывающие Персональные данные от нашего имени с целью предоставления услуг («Субоператоры»). Список организаций в Группе VMware и Субоператоров, которые привлекаются к обработке Персональных данных наших заказчиков в связи с сервисами и поддержкой заказчиков, а также подробная информация об их местонахождении, доступны по этой ссылке.

Передача данных внутри группы. Компания VMware, действующая как обработчик данных, передает персональные данные, полученные в ЕЭЗ, в соответствии с обязательными правилами компании, утвержденными уполномоченным по защите персональных данных в Ирландии. Эти правила, называемые Обязательными правилами компании VMware в ЕЭЗ, определяют адекватные меры защиты таких Персональных данных и являются юридически обязывающими для Группы компаний VMware.

Обязательные правила компании VMware были утверждены Европейским органом по надзору за соблюдением законодательства о защите персональных данных 23 мая 2018 г. Подтверждение завершения проверки см. здесь. Дополнительные сведения об Обязательных правилах компании VMware и доступ к политике обработчиков данных VMware BCR в ЕЭЗ см. в Обязательных правилах компании VMware для обработчиков данных. Для просмотра списка дочерних компаний VMware, которые подписали внутригрупповое соглашение об Обязательных правилах компании VMware в ЕЭЗ, щелкните здесь. Для получения дополнительных сведений щелкните здесь.

Заявка VMware на применение Обязательных правил компании в Великобритании («Обязательные правила компании VMware в Великобритании») в настоящее время находится на рассмотрении, и Дополнение об обработке данных компанией VMware будет обновлено, когда Обязательные правила компании в Великобритании вступят в силу. Для получения дополнительных сведений см. раздел вопросов и ответов «Какова стратегия передачи данных VMware в свете выхода Великобритании из ЕС?»

Передача данных сторонним Субоператорам. Компания VMware заключила Соглашения об обработке данных (DPA) со своими Субоператорами, которые предусматривают текущую версию стандартных договорных положений (SCC) в Соглашениях об обработке для обеспечения безопасной, надежной и законной передачи данных из ЕЭЗ, Швейцарии и Великобритании, а также для защиты любых последующих процессов передачи информации. Европейская комиссия опубликовала новую версию положений SCC, которая доступна здесь. Как только новые положения SCC будут утверждены и вступят в силу, VMware предпримет необходимые действия для включения их в соглашения со своими Субоператорами в соответствии с любыми новыми требованиями, установленными Европейской комиссией.

Компания VMware подготовила ответы на вопросы по теме «Выход Великобритании из ЕС и международная передача данных», которые доступны здесь. Таким образом VMware разъяснила стратегию передачи своих данных в свете выхода Великобритании из ЕС, в частности вопросы об использовании обязательных правил компании (BCR) и стандартных договорных положений (SCC).

Дополнительную информацию о механизмах, реализованных VMware для принятия соответствующих мер безопасности при передаче персональных данных, см. в разделе вопросов и ответов «Какой механизм компания VMware внедрила для обеспечения надлежащих мер безопасности при передаче персональных данных за пределы ЕЭЗ, Швейцарии и Великобритании в случаях, когда VMware выступает в качестве обработчика?»

Безопасность наших Сервисов имеет первостепенное значение для VMware. Список мер безопасности, применяемых в связи с нашими Сервисами, см. на странице Центра сертификации, посвященной вопросам безопасности.

При использовании Сервисов вы несете ответственность за настройку и внедрение необходимых технических, организационных и административных элементов управления, позволяющих соблюдать любые законы, применимые к использованию вами этих Сервисов. Эти законы могут зависеть от типов данных, выбранных для обработки с помощью Сервисов. Ваши обязанности, связанные с безопасностью вашего Контента заказчика, изложены в применимом соглашении и предусматривают следующее: (а) контроль доступа, который вы предоставляете вашим пользователям; (б) соответствующую настройку Сервисов; (в) обеспечение безопасности Контента заказчика во время передачи в Сервисы и обратно; (г) использование технологии шифрования для защиты Контента заказчика, если вы сочтете это необходимым; и (д) выполнение резервного копирования Контента заказчика.

VMware поддерживает программу управления информационной безопасностью, соответствующую стандарту ISO 27001 (в применимых случаях), которая пересматривается не реже одного раза в год, чтобы гарантировать наличие необходимых элементов управления, практик и процедур. Список мер безопасности, применяемых в связи с нашими Сервисами, см. на странице Центра сертификации, посвященной вопросам безопасности.

VMware привлекает третьи стороны для оказания услуг от своего имени в связи с предоставлением Сервисов или Услуг по поддержке и подписке VMware. Дополнительные сведения см. здесь. В связи с привлечением третьих сторон, которые обрабатывают Персональные данные в качестве Субоператоров (определения соответствующих терминов приведены в Дополнении об обработке данных компанией), компания VMware внедрила приведенные ниже процессы и процедуры.

1. Договорные обязательства и международная передача данных. VMware заключает со всеми своими Субоператорами соглашения об обработке данных, требующие от Субоператоров обеспечения надлежащей конфиденциальности и безопасности Персональных данных на условиях, которые в значительной степени аналогичны договорным обязательствам VMware перед заказчиками, указанным в Дополнении об обработке данных компанией. VMware полагается на Стандартные договорные положения ЕС, если не существует другого законного механизма передачи данных и Субоператор не принимает на себя соответствующих договорных обязательств.

2. Процесс проверки конфиденциальности и разработка продуктов в соответствии с принципами конфиденциальности. Компания VMware создала централизованный комплексный процесс управления сторонними поставщиками для начала работы с ними. Этот процесс предусматривает инициирование, проведение и отслеживание сторонних проверок конфиденциальности и безопасности посредством централизованных инструментов, чтобы помочь в соблюдении нормативных требований. Команда специалистов VMware по обеспечению конфиденциальности проводит подробные проверки конфиденциальности сервисов, предоставляемых Субоператорами, в том числе определяет категории обрабатываемых Персональных данных и цели обработки. Эти проверки предусматривают внедрение элементов управления конфиденциальностью для снижения рисков, связанных с доступом Субоператоров к Персональным данным и их обработкой, а также для обеспечения соответствия законодательству.

3. Процесс проверки безопасности. VMware придерживается политики и процесса проверки безопасности Субоператоров. Команда специалистов VMware по безопасности проводит первоначальную проверку безопасности любого нового Субоператора и осуществляет постоянный мониторинг на основе выявленного уровня риска.

4. Список Субоператоров и уведомление о новых Субоператорах. VMware ведет список Субоператоров, услуги которых используются в рамках отдельных Сервисов и в отношении Услуг по поддержке и подписке. Со списком для всех Сервисов можно ознакомиться здесь. VMware предварительно уведомляет Заказчика о любом новом привлечении Субоператора, если Заказчик подписался на получение уведомлений о конкретном Сервисе с помощью механизмов, предоставляемых VMware. Если вы хотите получать уведомления о новых Субоператорах, перейдите по этой ссылке и включите рассылку уведомлений для соответствующих списков Субоператоров.

Компания VMware внедрила структуру встроенных средств обеспечения конфиденциальности, чтобы гарантировать, что ее Продукты и Сервисы для локальных сред будут разрабатываться в соответствии с применимыми принципами конфиденциальности и требованиями законодательства. Процесс проверки конфиденциальности реализован в жизненном цикле разработки Продуктов и Сервисов VMware для локальных сред, который предусматривает задокументированные инструкции по отправке продукта или сервиса на проверку конфиденциальности, назначенного юрисконсульта для проведения проверок конфиденциальности, оценки воздействия обработки данных (если потребуется), а также общие требования к конфиденциальности для разработки продуктов и сервисов в соответствии с применимыми законами о защите данных и конфиденциальности.

Кроме того, компания VMware установила централизованный процесс непрерывного управления сторонними поставщиками для привлечения новых поставщиков, включая инициирование, проведение и отслеживание сторонних проверок конфиденциальности и безопасности с использованием централизованных инструментов для содействия соблюдению нормативных требований. Команда специалистов VMware по обеспечению конфиденциальности проводит подробные проверки конфиденциальности сервисов, предоставляемых Субоператорами, в том числе определяет категории обрабатываемых Персональных данных и цели обработки. Эти проверки предусматривают внедрение элементов управления конфиденциальностью для снижения рисков, связанных с доступом Субоператоров к Персональным данным и их обработкой, а также для обеспечения соответствия законодательству.

В компании VMware есть Специалист по защите данных, который является юристом и директором внешней консалтинговой компании по защите данных. Роль Специалиста по защите данных описана в статьях 38 и 39 регламента GDPR. Специалист по защите данных должен принимать участие в решении всех вопросов, связанных с защитой персональных данных, консультировать организацию в отношении ее обязательств в соответствии с GDPR и контролировать их соблюдение, давать рекомендации по любой оценке воздействия на защиту данных и быть контактным лицом для органов, осуществляющих надзор. Команда VMware по обеспечению конфиденциальности при необходимости привлекает Специалиста VMware по защите данных. Чтобы связаться со Специалистом VMware по защите данных, напишите на адрес dpo@vmware.com. Команда VMware по обеспечению конфиденциальности рассмотрит запрос и при необходимости привлечет своего Специалиста по защите данных.

В соответствии с Общим регламентом ЕС по защите данных (GDPR) VMware является «обработчиком» Контента заказчика. Обязательства компании VMware как обработчика в соответствии с GDPR изложены в нашем Дополнении об обработке данных компанией. Компания VMware будет обрабатывать персональные данные в составе Контента заказчика в соответствии с применимым соглашением и Дополнением об обработке данных компанией. Кроме того, компания VMware получила утверждение Обязательных правил компании (BCR) в отношении персональных данных, с которыми она работает в качестве обработчика. Копия правил BCR компании VMware доступна здесь, а подтверждение того, что они утверждены, доступно на веб-сайте Европейской комиссии.

Компания VMware предоставляет корпоративные решения, которые позволяют заказчикам создавать, администрировать, защищать и использовать приложения в разных системах и средах. Компания VMware считает, что характер Сервисов, которые она предоставляет заказчикам, как правило, не дает государственным учреждениям оснований для прямого запроса доступа к Контенту заказчика. Однако компания VMware предприняла приведенные ниже действия, чтобы выполнить постановление Schrems II и помочь заказчикам реализовать их собственные инициативы по соблюдению нормативных требований в отношении данных, обрабатываемых ими в качестве контролеров.

Усиленные договорные обязательства в отношении запросов государственных учреждений на доступ к данным

Компания VMware обновила раздел «Обязательное раскрытие информации» в Условиях обслуживания, чтобы разъяснить, как VMware обрабатывает запросы государственных учреждений на доступ к данным, добавив приведенные ниже обязательства.

Если уведомление заказчиков не запрещено законом, VMware выполняет приведенные ниже действия.

— Уведомление заказчика. Уведомление заказчиков о любых требованиях к раскрытию их контента.

— Направление государственного учреждения к заказчику. Информирование соответствующего государственного органа о том, что VMware является поставщиком услуг, действующим от имени заказчика, и все запросы на доступ к Контенту заказчика следует направлять в письменной форме контактному лицу заказчика, нам или в юридический отдел заказчика.

— Ограничение доступа. Предоставление доступа к Контенту заказчика только с его разрешения. По запросу заказчика мы за его счет примем разумные меры для оспаривания любого требования.

Если компании VMware юридически запрещено уведомлять заказчика, VMware обязуется выполнять приведенные ниже действия.

— Оценка юридической силы. VMware оценит потребность в раскрытии информации, чтобы определить, является ли она юридически действительной и обязательной.

— Оспаривание незаконных запросов. Компания VMware будет оспаривать постановление о раскрытии информации, если у нее есть объективные основания полагать, что оно не соответствует действующему законодательству.

— Ограничение объема раскрытия информации. VMware ограничит объем раскрытия только той информацией, которую мы обязаны раскрывать, и будет делать это в соответствии с действующим законодательством.

Прозрачность в отношении процесса обработки запросов государственных учреждений и властей США на доступ к данным

Чтобы помочь заказчикам лучше понять обязательства VMware и процесс обработки запросов государственных учреждений на доступ к данным, в том числе обязательства, изложенные в правилах BCR компании VMware, мы подготовили документ Принципы VMware по обработке запросов государственных учреждений на доступ к Контенту заказчиков.

Кроме того, компания VMware подготовила Заявление VMware относительно применения FISA, раздел 702, и Исполнительного приказа № 12333 с учетом Schrems II для устранения опасений по поводу доступа спецслужб США к данным, передаваемым из ЕС в США, и для помощи заказчикам в понимании вероятного применения двух постановлений органов власти США: Исполнительного приказа № 12333 и раздела 702 Акта о негласном наблюдении в целях внешней разведки (FISA). Компания VMware твердо убеждена в низкой вероятности того, что к ней будет применяться раздел 702 или исполнительный приказ № 12333 в отношении предоставления сервисов, учитывая характер этих сервисов.

Обновленные контракты с Субоператорами, обеспечивающие правовую основу для передачи Персональных данных

С момента признания программы ЕС и США Privacy Shield недействительной, компания VMware внедрила стандартные договорные положения для всех Субоператоров, которые ранее использовали Privacy Shield ЕС и США в качестве механизма передачи данных. В качестве обработчика данных VMware полагается на Обязательные правила компании для передачи Персональных данных за пределы ЕС в связи с предоставлением соответствующих Сервисов VMware, как указано в Дополнении об обработке данных компанией VMware. Дополнительные сведения об Обязательных правилах компании VMware доступны по этой ссылке и в Центре сертификации VMware

Технические и организационные меры

VMware подтверждает свое обязательство внедрять и поддерживать соответствующие технические и организационные меры, изложенные в Дополнении об обработке данных компанией VMware. Веб-сайт Центра сертификации VMware содержит информацию о сертификации и аудите сторонних организаций, которые VMware проводит в отношении своих Сервисов. Учитывая характер Сервисов VMware, заказчики также могут контролировать настройку этих Сервисов и внедрять любые необходимые административные и технические элементы управления, которые требуются для защиты данных, обрабатываемых в связи с использованием ими соответствующих Сервисов. Во многих случаях VMware предоставляет заказчикам как локальные, так и размещенные решения на выбор при управлении системами и инфраструктурой.

Прозрачность в отношении типов данных, обрабатываемых в рамках Сервиса VMware, — технические проспекты

Европейский совет по защите данных (EDPB) в своих ответах на вопросы о Schrems II указал, что необходимо рассматривать типы передаваемых данных как один из факторов при определении наличия адекватного уровня защиты в случае передачи персональных данных за пределы ЕС, а также что контролеры должны проводить индивидуальный анализ для определения рисков, связанных с такой передачей. Чтобы помочь заказчикам понять, какие типы данных обрабатываются в связи с использованием Сервисов VMware, компания VMware предоставляет Описания сервисов для каждого предложения, доступные здесь, а также технические проспекты для определенных Сервисов в разделе «Конфиденциальность» Центра сертификации VMware. Для Сервисов Workspace ONE компания VMware также предоставляет документ Workspace ONE: заявление о конфиденциальности.

Закон штата Калифорния о защите персональных данных пользователей («CCPA») применяется к компаниям, которые предоставляют услуги пользователям в Калифорнии. Это дает людям определенные права в отношении обработки их персональных данных. В соответствии с CCPA компания VMware выступает в качестве «поставщика услуг» для заказчика в связи с обработкой персональных данных в составе Контента заказчика. VMware не будет осуществлять доступ к таким персональным данным или использовать их для каких-либо целей, кроме случаев, когда это необходимо для предоставления услуг заказчику, как указано в применимом соглашении, и будет помогать заказчику отвечать на запросы доступа субъектов данных в соответствии с CCPA, как указано в нашем Дополнении об обработке данных компанией. Для тех случаев, когда VMware действует как «компания» согласно определению CCPA, Уведомление о конфиденциальности VMware для штата Калифорния и другие Уведомления о конфиденциальности содержат подробную информацию о том, как VMware обрабатывает такие персональные данные в качестве компании, в том числе о любом обязательном раскрытии информации, имеющем отношение к категории собираемых и используемых данных, а также продаже персональных данных. Чтобы получить более подробные сведения о применимости CCPA к предоставлению услуг VMware, нажмите здесь.

Готовы начать?