- Въведение
Целта на тази политика за сигурност е да очертае мерките и практиките, които Allamex™ приема, за да гарантира поверителността, целостта и наличността на нашите системи и данни. Тази политика се прилага за всички служители, изпълнители и трети лица, които имат достъп до нашите системи и информация. Спазването на тази политика е задължително, за да защитим нашата бизнес и клиентска информация от неоторизиран достъп, разкриване, промяна или унищожаване.
- Контрол на достъп
2.1Потребителски акаунти:
- Ще бъдат създадени потребителски акаунти за всички служители и изпълнители, които имат достъп до онлайн бизнес системите за търговия на едро.
- Потребителските акаунти ще бъдат предоставени въз основа на принципа на най-малките привилегии, като се гарантира, че лицата имат достъп само до ресурсите, необходими за изпълнение на служебните им задължения.
- Ще се прилагат силни пароли, които изискват комбинация от главни и малки букви, цифри и специални знаци.
- Многофакторното удостоверяване (MFA) ще бъде внедрено за всички потребителски акаунти, за да се осигури допълнителен слой сигурност.
2.2Достъп на трети страни:
- Достъпът на трети страни до нашите системи и данни ще бъде предоставен само при необходимост да се знае.
- Субектите на трети страни ще трябва да подпишат споразумение за поверителност и да се придържат към стандартите и практиките за сигурност, съответстващи на нашите собствени.
- Защита на данните
3.1Класификация на данните:
-
- Всички данни ще бъдат класифицирани въз основа на тяхната чувствителност и критичност, за да се определят подходящите нива на защита.
- Указанията за класифициране на данни ще бъдат предоставени на служителите, за да се гарантира правилното боравене, съхранение и предаване на данни.
3.2Шифроване на данни:
-
- Предаването на чувствителни данни ще бъде криптирано с помощта на стандартни протоколи за криптиране, като SSL/TLS.
- Ще бъдат внедрени механизми за криптиране за защита на данните в покой, особено за чувствителна информация, съхранявана в
- бази данни и файлови системи.
3.3Архивиране и възстановяване на данни:
-
- Редовно архивиране на критични данни ще се извършва и съхранява сигурно на място извън сайта.
- Целостта на архивирането и процесите на възстановяване ще бъдат периодично тествани, за да се гарантира възможността за възстановяване на данните в случай на бедствие.
4.Network Security
-
- Защитни стени и системи за откриване на проникване:
- Ще бъдат внедрени защитни стени и системи за откриване на проникване, за да се защити нашата мрежова инфраструктура от опити за неоторизиран достъп и злонамерени дейности.
- Ще се извършва редовно наблюдение и анализ на мрежовия трафик, за да се идентифицират и реагират на потенциални инциденти със сигурността.
4.1Сигурен отдалечен достъп:
-
- Отдалеченият достъп до нашите системи ще бъде разрешен само през защитени канали, като VPN (виртуални частни мрежи).
- Акаунтите за отдалечен достъп ще бъдат защитени от силни механизми за удостоверяване и ще бъдат наблюдавани за подозрителни дейности.
5.Реакция на инцидентите
5.1Докладване на инциденти:
-
-
- Служителите и изпълнителите ще бъдат обучени да докладват незабавно за всякакви инциденти със сигурността, пробиви или подозрителни дейности на определеното звено за контакт.
- Процедурите за докладване на инциденти ще бъдат ясно съобщавани и периодично преразглеждани, за да се осигури навременен отговор и разрешаване.
-
5.2Екип за реагиране при инциденти:
-
-
- Ще бъде определен екип за реагиране при инциденти, който да обработва инциденти със сигурността, да разследва нарушения и да координира подходящи действия.
- Ролите и отговорностите на членовете на екипа ще бъдат определени и тяхната информация за контакт ще бъде лесно достъпна.
-
5.3Възстановяване при инцидент и извлечени уроци:
-
-
- Ще бъдат предприети бързи действия за смекчаване на въздействието на инциденти със сигурността и възстановяване на засегнатите системи и данни.
- След всеки инцидент ще бъде извършен преглед след инцидента, за да се идентифицират извлечените поуки и да се внедрят необходимите подобрения за предотвратяване на подобни инциденти в бъдеще.
-
6.Физическа охрана
6.1Контрол на достъпа:
-
- Физическият достъп до центрове за данни, сървърни стаи и други критични зони ще бъде ограничен само до оторизиран персонал.
- Механизми за контрол на достъпа, като биометрично удостоверяване, ключови карти и видеонаблюдение, ще бъдат внедрени според случая.
6.2Защита на оборудването:
-
- Цялото компютърно оборудване, носители за съхранение и преносими устройства ще бъдат защитени срещу кражба, загуба или неоторизиран достъп.
- Служителите ще бъдат обучени да съхраняват и боравят безопасно с оборудването, особено когато работят от разстояние или пътуват.
7.Обучение и осведоменост
7.1 Обучение за сигурност:
-
- На всички служители и изпълнители ще бъде осигурено редовно обучение за осведоменост относно сигурността, за да бъдат запознати с най-добрите практики, политики и процедури за сигурност.
- Обучителните сесии ще обхващат теми като сигурност на паролата, информираност за фишинг, обработка на данни и докладване на инциденти.
7.2 Признаване на правилата:
-
- Всички служители и изпълнители ще бъдат задължени да прегледат и да потвърдят, че разбират и спазват тази политика за сигурност.
- Благодарностите ще бъдат редовно актуализирани и поддържани като част от досиетата на персонала.
8.Преглед на правилата и актуализации
Тази политика за сигурност ще бъде преразглеждана периодично и актуализирана, ако е необходимо, за да отрази промените в технологиите, разпоредбите или бизнес изискванията. Всички служители и изпълнители ще бъдат информирани за всички актуализации и ще се изисква тяхното придържане към ревизираната политика.
Като прилагаме и прилагаме тази политика за сигурност, ние се стремим да защитим нашия онлайн бизнес на едро, клиентските данни и да поддържаме доверието на нашите партньори и клиенти.