- معرفی
هدف از این خطمشی امنیتی، تشریح اقدامات و اقداماتی است که Allamex™ برای اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن سیستمها و دادههای ما اتخاذ میکند. این خطمشی برای همه کارمندان، پیمانکاران و نهادهای شخص ثالثی که به سیستمها و اطلاعات ما دسترسی دارند اعمال میشود. پیروی از این سیاست برای محافظت از اطلاعات کسب و کار و مشتریان خود در برابر دسترسی، افشا، تغییر یا تخریب غیرمجاز، الزامی است.
- کنترل دسترسی
2.1حساب های کاربری:
- حساب های کاربری برای همه کارمندان و پیمانکارانی که به سیستم های تجارت آنلاین عمده فروشی دسترسی دارند ایجاد می شود.
- حسابهای کاربری بر اساس اصل حداقل امتیاز اعطا میشود و تضمین میکند که افراد فقط به منابع مورد نیاز برای انجام مسئولیتهای شغلی خود دسترسی دارند.
- گذرواژههای قوی اعمال میشوند که به ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص نیاز دارند.
- احراز هویت چند عاملی (MFA) برای همه حسابهای کاربری پیادهسازی میشود تا یک لایه امنیتی اضافی فراهم کند.
2.2دسترسی شخص ثالث:
- دسترسی شخص ثالث به سیستم ها و داده های ما فقط بر اساس نیاز به دانستن اعطا خواهد شد.
- نهادهای شخص ثالث ملزم به امضای توافقنامه محرمانه بودن و رعایت استانداردها و شیوه های امنیتی مطابق با استانداردهای ما خواهند بود.
- حفاظت از داده ها
3.1طبقه بندی داده ها:
-
- همه داده ها بر اساس حساسیت و بحرانی بودن آن طبقه بندی می شوند تا سطوح مناسب حفاظت را تعیین کنند.
- دستورالعملهای طبقهبندی دادهها برای اطمینان از مدیریت، ذخیرهسازی و انتقال صحیح دادهها به کارکنان ارائه خواهد شد.
3.2رمزگذاری داده ها:
-
- انتقال داده های حساس با استفاده از پروتکل های رمزگذاری استاندارد صنعتی مانند SSL/TLS رمزگذاری می شود.
- مکانیسمهای رمزگذاری برای محافظت از دادهها در حالت استراحت، بهویژه برای اطلاعات حساس ذخیرهشده در آن، پیادهسازی خواهند شد
- پایگاه های داده و فایل سیستم ها
3.3پشتیبان گیری و بازیابی اطلاعات:
-
- پشتیبان گیری منظم از داده های حیاتی به صورت ایمن در مکانی خارج از سایت ذخیره می شود.
- یکپارچگی پشتیبان گیری و فرآیندهای بازیابی به صورت دوره ای آزمایش می شوند تا از قابلیت بازیابی داده ها در صورت بروز فاجعه اطمینان حاصل شود.
4.امنیت شبکه
-
- فایروال ها و سیستم های تشخیص نفوذ:
- فایروال ها و سیستم های تشخیص نفوذ برای محافظت از زیرساخت شبکه ما در برابر تلاش های دسترسی غیرمجاز و فعالیت های مخرب مستقر خواهند شد.
- نظارت و تجزیه و تحلیل منظم ترافیک شبکه برای شناسایی و پاسخگویی به هرگونه رویداد امنیتی احتمالی انجام خواهد شد.
4.1دسترسی ایمن از راه دور:
-
- دسترسی از راه دور به سیستم های ما فقط از طریق کانال های امن مانند VPN (شبکه های خصوصی مجازی) مجاز خواهد بود.
- حساب های دسترسی از راه دور توسط مکانیزم های احراز هویت قوی محافظت می شوند و برای هرگونه فعالیت مشکوک نظارت می شوند.
5.پاسخ حادثه
5.1گزارش حوادث:
-
-
- به کارمندان و پیمانکاران آموزش داده می شود تا هر گونه حادثه امنیتی، نقض یا فعالیت مشکوک را به سرعت به نقطه تماس تعیین شده گزارش دهند.
- رویههای گزارشدهی رویداد بهطور واضح اطلاعرسانی میشود و بهطور دورهای بازبینی میشود تا از پاسخ و حل به موقع اطمینان حاصل شود.
-
5.2تیم واکنش به حوادث:
-
-
- یک تیم واکنش به حادثه برای رسیدگی به حوادث امنیتی، بررسی نقضها و هماهنگی اقدامات مناسب تعیین خواهد شد.
- نقش ها و مسئولیت های اعضای تیم تعریف می شود و اطلاعات تماس آنها به راحتی در دسترس خواهد بود.
-
5.3بازیابی حادثه و درس های آموخته شده:
-
-
- اقدامات فوری برای کاهش تأثیر حوادث امنیتی و بازیابی سیستم ها و داده های آسیب دیده انجام خواهد شد.
- پس از هر حادثه، یک بررسی پس از حادثه برای شناسایی درس های آموخته شده و اعمال بهبودهای لازم برای جلوگیری از حوادث مشابه در آینده انجام می شود.
-
6.امنیت فیزیکی
6.1کنترل دسترسی:
-
- دسترسی فیزیکی به مراکز داده، اتاق سرور و سایر مناطق حیاتی فقط به پرسنل مجاز محدود خواهد شد.
- مکانیسمهای کنترل دسترسی مانند احراز هویت بیومتریک، کارتهای کلیدی و نظارت دوربینهای مداربسته در صورت لزوم اجرا خواهند شد.
6.2حفاظت از تجهیزات:
-
- تمام تجهیزات کامپیوتری، رسانه های ذخیره سازی و دستگاه های قابل حمل در برابر سرقت، گم شدن یا دسترسی غیرمجاز محافظت می شوند.
- به کارمندان آموزش داده خواهد شد که به طور ایمن تجهیزات را ذخیره و جابجا کنند، به ویژه هنگام کار از راه دور یا مسافرت.
7.آموزش و آگاهی
7.1 آموزش آگاهی از امنیت:
-
- آموزش های منظم آگاهی از امنیت به همه کارکنان و پیمانکاران ارائه خواهد شد تا آنها را در مورد بهترین شیوه ها، سیاست ها و رویه های امنیتی آموزش دهند.
- جلسات آموزشی موضوعاتی مانند امنیت رمز عبور، آگاهی از فیشینگ، مدیریت داده ها و گزارش حوادث را پوشش خواهند داد.
7.2 تصدیق سیاست:
-
- همه کارکنان و پیمانکاران ملزم به بررسی و تایید درک و انطباق خود با این سیاست امنیتی خواهند بود.
- قدردانی ها به طور مرتب به روز می شوند و به عنوان بخشی از سوابق پرسنل نگهداری می شوند.
8.بررسی خط مشی و به روز رسانی
این خط مشی امنیتی به صورت دوره ای بازبینی می شود و در صورت نیاز به روز می شود تا تغییرات در فناوری، مقررات یا الزامات تجاری را منعکس کند. تمامی کارکنان و پیمانکاران از هرگونه به روز رسانی مطلع خواهند شد و رعایت خط مشی بازنگری شده الزامی خواهد بود.
با اجرای و اجرای این سیاست امنیتی، هدف ما محافظت از تجارت آنلاین عمده فروشی، داده های مشتریان و حفظ اعتماد شرکا و مشتریان خود است.