ГОСТ Р ИСО 10008—2014
- иметь процедуры, устанавливающие порядок действий в случав всех нарушений, связанных с
безопасностью;
- сотрудничать с конечными потребителями в случае возникновения проблем, таких как несанкцио
нированные или мошеннические операции.
7.2.3 Конфиденциальность
Конфиденциальность относится к тому способу, посредством которого организация собирает или
использует персональные сведения о конечном потребителе. Эти собранные данные могут быть исполь
зованы только для обработки в процессе исполнения заказа или для других целей, очевидно одобренных
конечным потребителем.
Организация должна:
- указывать конечным потребителям обязательную информацию, необходимую для совершения за
купки. и то. каким образом эта информация будет сохранена и использована в дальнейшем;
- информировать конечных потребителей в том случае, когда персональные данные собираются
для дальнейших возможных использований этих данных, приглашать их к участию в рассмотрении каж
дого такого случая:
- информировать конечных потребителей о третьих сторонах, которые могли бы получить доступ к
собранным данным, и стараться заручиться согласием потребителей в отношении использования этих
данных;
- предоставлять конечным потребителям возможность анализировать сохраненные персональные
данные:
- сообщать конечным потребителям о каждом последующем контакте, при котором использовались
их персональные данные, предоставляя возможность не принимать участие в любом будущем контак-
те/связи и удалить их данные из соответствующего файла;
- учредить ясную политику для своего персонала, которая определяет лиц. имеющих доступ к компь
ютерным данным в соответствии с определенными целями и ограничениями, включая шифрование, ис
пользование данных вне стен организации и четкие указания в отношении санкций за нарушение политики;
- соблюдать все применимые к деятельности организации законы и правила по обеспечению кон
фиденциальности данных.
8 Содержание в надлежащем состоянии и улучшение
8.1 Сбор информации
Организация должна регулярно и систематически собирать информацию, необходимую для прове
дения результативной и эффективной оценки показателей работы системы В2С ЕСТ. включая сведения,
исходные данные и записи, описанные в разделах 6 и 7.
8.2 Оценка показателей функционирования системы В2С ЕСТ
Организация должна на регулярной и систематической основе оценивать свою систему В2С ЕСТ.
включая проведение внутренних аудитов/проверок системы В2С ЕСТ.
П р и ме ч а ние - Руководство по организации работы, связанной с проведением внутренних аудитов сис
темы менеджмента, представлено в ИСО 19011.
Все сведения, полученные от обратной связи, жалобы и разногласия необходимо классифицировать и
анализировать в целях идентификации систематических, повторяющихся и разовых проблем и тенденций,
связанных с инцидентами, а такжедля того, чтобы устранить причины этих жалоб или претензий.
Для оценки влияния системы В2С ЕСТ организации нужно иметь сведения о состоянии дел перед
началом ее функционирования и затем по прошествии определенных интервалов времени. Эта инфор
мация может быть использована не только для определения уязвимых мест в построении и внедрении
системы, но также для демонстрации достигнутых результатов (если они есть) и прогресса, достигнутого
при использовании этой системы.
8.3 Удовлетворенность, связанная с системой В2С ЕСТ
Необходимо предпринимать регулярные и систематические действия для определения степени
удовлетворенности конечных потребителей, связанной с системой В2С ЕСТ и ее внедрением. Это может
принимать форму обследований конечных потребителей случайным методом и другие технические
приемы. Одним из методов оценивания удовлетворенности конечных потребителей является вос-
16