- Cyflwyniad
Pwrpas y polisi diogelwch hwn yw amlinellu'r mesurau a'r arferion y mae Allamex™ yn eu mabwysiadu i sicrhau cyfrinachedd, cywirdeb ac argaeledd ein systemau a'n data. Mae’r polisi hwn yn berthnasol i bob gweithiwr, contractwr, ac endid trydydd parti sydd â mynediad i’n systemau a’n gwybodaeth. Mae cadw at y polisi hwn yn orfodol i ddiogelu ein busnes a gwybodaeth cwsmeriaid rhag mynediad heb awdurdod, datgelu, newid neu ddinistrio.
- Mynediad Rheoli
2.1Cyfrifon Defnyddiwr:
- Bydd cyfrifon defnyddwyr yn cael eu creu ar gyfer yr holl weithwyr a chontractwyr sy'n defnyddio'r systemau busnes cyfanwerthu ar-lein.
- Rhoddir cyfrifon defnyddwyr ar sail egwyddor y fraint leiaf, gan sicrhau mai dim ond yr adnoddau sydd eu hangen i gyflawni eu cyfrifoldebau swydd y mae unigolion yn cael mynediad iddynt.
- Bydd cyfrineiriau cryf yn cael eu gorfodi, sy'n gofyn am gyfuniad o lythrennau mawr a llythrennau bach, rhifau, a nodau arbennig.
- Bydd dilysu aml-ffactor (MFA) yn cael ei weithredu ar gyfer pob cyfrif defnyddiwr i ddarparu haen ychwanegol o ddiogelwch.
2.2Mynediad Trydydd Parti:
- Bydd mynediad trydydd parti i’n systemau a’n data yn cael ei ganiatáu ar sail angen gwybod yn unig.
- Bydd yn ofynnol i endidau trydydd parti lofnodi cytundeb cyfrinachedd a chadw at safonau ac arferion diogelwch sy'n gyson â'n rhai ni.
- Diogelu Data
3.1Dosbarthiad Data:
-
- Bydd yr holl ddata yn cael ei ddosbarthu ar sail ei sensitifrwydd a'i gritigolrwydd i bennu lefelau priodol o amddiffyniad.
- Bydd canllawiau dosbarthu data yn cael eu darparu i weithwyr er mwyn sicrhau bod data’n cael ei drin, ei storio a’i drosglwyddo’n briodol.
3.2Amgryptio Data:
-
- Bydd trosglwyddo data sensitif yn cael ei amgryptio gan ddefnyddio protocolau amgryptio o safon diwydiant, megis SSL/TLS.
- Bydd mecanweithiau amgryptio yn cael eu gweithredu i ddiogelu data wrth orffwys, yn enwedig ar gyfer gwybodaeth sensitif sy'n cael ei storio ynddo
- cronfeydd data a systemau ffeiliau.
3.3Gwneud copi wrth gefn ac adfer data:
-
- Bydd copïau wrth gefn rheolaidd o ddata hanfodol yn cael eu perfformio a'u storio'n ddiogel mewn lleoliad oddi ar y safle.
- Bydd cywirdeb wrth gefn a phrosesau adfer yn cael eu profi o bryd i'w gilydd i sicrhau y gellir adennill data pe bai trychineb.
4.Diogelwch rhwydwaith
-
- Waliau Tân a Systemau Canfod Ymyrraeth:
- Bydd waliau tân a systemau canfod ymyrraeth yn cael eu defnyddio i amddiffyn ein seilwaith rhwydwaith rhag ymdrechion mynediad heb awdurdod a gweithgareddau maleisus.
- Bydd traffig rhwydwaith yn cael ei fonitro a'i ddadansoddi'n rheolaidd er mwyn nodi ac ymateb i unrhyw ddigwyddiadau diogelwch posibl.
4.1Mynediad diogel o bell:
-
- Dim ond trwy sianeli diogel y caniateir mynediad o bell i'n systemau, fel VPNs (Rhwydweithiau Preifat Rhithwir).
- Bydd cyfrifon mynediad o bell yn cael eu diogelu gan fecanweithiau dilysu cryf a'u monitro ar gyfer unrhyw weithgareddau amheus.
5.Ymateb i Ddigwyddiad
5.1Adrodd am Ddigwyddiad:
-
-
- Bydd gweithwyr a chontractwyr yn cael eu hyfforddi i roi gwybod yn brydlon am unrhyw ddigwyddiadau diogelwch, achosion o dorri amodau, neu weithgareddau amheus i'r pwynt cyswllt dynodedig.
- Bydd gweithdrefnau adrodd am ddigwyddiadau yn cael eu cyfathrebu'n glir a'u hadolygu o bryd i'w gilydd i sicrhau ymateb a datrysiad amserol.
-
5.2Tîm Ymateb i Ddigwyddiad:
-
-
- Bydd tîm ymateb i ddigwyddiad yn cael ei ddynodi i ymdrin â digwyddiadau diogelwch, ymchwilio i doriadau, a chydlynu camau gweithredu priodol.
- Bydd rolau a chyfrifoldebau aelodau'r tîm yn cael eu diffinio, a bydd eu gwybodaeth gyswllt ar gael yn rhwydd.
-
5.3Adfer Digwyddiad a Gwersi a Ddysgwyd:
-
-
- Cymerir camau prydlon i liniaru effaith digwyddiadau diogelwch ac adfer systemau a data yr effeithir arnynt.
- Ar ôl pob digwyddiad, cynhelir adolygiad ôl-ddigwyddiad i nodi gwersi a ddysgwyd a gweithredu gwelliannau angenrheidiol i atal digwyddiadau tebyg yn y dyfodol.
-
6.Diogelwch corfforol
6.1Rheoli Mynediad:
-
- Bydd mynediad corfforol i ganolfannau data, ystafelloedd gweinyddwyr, a mannau critigol eraill yn cael ei gyfyngu i bersonél awdurdodedig yn unig.
- Bydd mecanweithiau rheoli mynediad megis dilysu biometrig, cardiau allwedd, a gwyliadwriaeth teledu cylch cyfyng yn cael eu gweithredu fel y bo'n briodol.
6.2Diogelu Offer:
-
- Bydd yr holl offer cyfrifiadurol, cyfrwng storio a dyfeisiau cludadwy yn cael eu diogelu rhag lladrad, colled, neu fynediad heb awdurdod.
- Bydd gweithwyr yn cael eu hyfforddi i storio a thrin offer yn ddiogel, yn enwedig wrth weithio o bell neu wrth deithio.
7.Hyfforddiant ac Ymwybyddiaeth
7.1 Hyfforddiant Ymwybyddiaeth o Ddiogelwch:
-
- Darperir hyfforddiant ymwybyddiaeth diogelwch rheolaidd i'r holl weithwyr a chontractwyr i'w haddysgu am arferion gorau, polisïau a gweithdrefnau diogelwch.
- Bydd sesiynau hyfforddi yn ymdrin â phynciau fel diogelwch cyfrinair, ymwybyddiaeth gwe-rwydo, trin data, ac adrodd am ddigwyddiadau.
7.2 Cydnabyddiaeth Polisi:
-
- Bydd yn ofynnol i bob gweithiwr a chontractwr adolygu a chydnabod eu dealltwriaeth a’u cydymffurfiaeth â’r polisi diogelwch hwn.
- Bydd cydnabyddiaeth yn cael ei diweddaru'n rheolaidd a'i chynnal fel rhan o'r cofnodion personél.
8.Adolygu Polisi a Diweddariadau
Bydd y polisi diogelwch hwn yn cael ei adolygu o bryd i'w gilydd a'i ddiweddaru yn ôl yr angen i adlewyrchu newidiadau mewn technoleg, rheoliadau, neu ofynion busnes. Bydd yr holl weithwyr a chontractwyr yn cael gwybod am unrhyw ddiweddariadau, a bydd yn ofynnol iddynt gadw at y polisi diwygiedig.
Trwy weithredu a gorfodi'r polisi diogelwch hwn, ein nod yw diogelu ein busnes cyfanwerthol ar-lein, data cwsmeriaid, a chynnal ymddiriedaeth ein partneriaid a'n cleientiaid.