1. परिचय

इस सुरक्षा नीति का उद्देश्य उन उपायों और प्रथाओं की रूपरेखा तैयार करना है जो Allamex™ हमारे सिस्टम और डेटा की गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए अपनाता है। यह नीति उन सभी कर्मचारियों, ठेकेदारों और तृतीय-पक्ष संस्थाओं पर लागू होती है जिनकी हमारे सिस्टम और जानकारी तक पहुंच है। हमारे व्यवसाय और ग्राहक जानकारी को अनधिकृत पहुंच, प्रकटीकरण, परिवर्तन या विनाश से बचाने के लिए इस नीति का पालन अनिवार्य है।

  1. प्रवेश नियंत्रण

2.1उपयोगकर्ता खाते:

  • थोक ऑनलाइन व्यापार प्रणालियों तक पहुंचने वाले सभी कर्मचारियों और ठेकेदारों के लिए उपयोगकर्ता खाते बनाए जाएंगे।
  • उपयोगकर्ता खाते कम से कम विशेषाधिकार के सिद्धांत के आधार पर दिए जाएंगे, जिससे यह सुनिश्चित होगा कि व्यक्तियों को केवल अपनी नौकरी की जिम्मेदारियों को पूरा करने के लिए आवश्यक संसाधनों तक पहुंच प्राप्त हो।
  • मजबूत पासवर्ड लागू किए जाएंगे, जिनमें अपरकेस और लोअरकेस अक्षरों, संख्याओं और विशेष वर्णों के संयोजन की आवश्यकता होगी।
  • सुरक्षा की एक अतिरिक्त परत प्रदान करने के लिए सभी उपयोगकर्ता खातों के लिए बहु-कारक प्रमाणीकरण (एमएफए) लागू किया जाएगा।

 2.2तृतीय-पक्ष पहुंच:

  • हमारे सिस्टम और डेटा तक तीसरे पक्ष की पहुंच केवल जानने की आवश्यकता के आधार पर दी जाएगी।
  • तृतीय-पक्ष संस्थाओं को एक गोपनीयता समझौते पर हस्ताक्षर करने और हमारे मानकों के अनुरूप सुरक्षा मानकों और प्रथाओं का पालन करने की आवश्यकता होगी।

 

  1. डेटा संरक्षण

3.1डेटा वर्गीकरण:

    • सुरक्षा के उचित स्तर निर्धारित करने के लिए सभी डेटा को उसकी संवेदनशीलता और गंभीरता के आधार पर वर्गीकृत किया जाएगा।
    • डेटा के उचित प्रबंधन, भंडारण और प्रसारण को सुनिश्चित करने के लिए कर्मचारियों को डेटा वर्गीकरण दिशानिर्देश प्रदान किए जाएंगे।

3.2डेटा एन्क्रिप्शन:

    • संवेदनशील डेटा का प्रसारण एसएसएल/टीएलएस जैसे उद्योग-मानक एन्क्रिप्शन प्रोटोकॉल का उपयोग करके एन्क्रिप्ट किया जाएगा।
    • आराम से डेटा की सुरक्षा के लिए एन्क्रिप्शन तंत्र लागू किया जाएगा, विशेष रूप से संग्रहीत संवेदनशील जानकारी के लिए
    • डेटाबेस और फ़ाइल सिस्टम।

3.3डेटा बैकअप और रिकवरी:

    • महत्वपूर्ण डेटा का नियमित बैकअप किया जाएगा और एक ऑफ-साइट स्थान पर सुरक्षित रूप से संग्रहीत किया जाएगा।
    • किसी आपदा की स्थिति में डेटा पुनर्प्राप्ति सुनिश्चित करने के लिए बैकअप अखंडता और पुनर्स्थापना प्रक्रियाओं का समय-समय पर परीक्षण किया जाएगा।

 

4.नेटवर्क सुरक्षा

    • फ़ायरवॉल और घुसपैठ का पता लगाने वाली प्रणालियाँ:
    • हमारे नेटवर्क बुनियादी ढांचे को अनधिकृत पहुंच प्रयासों और दुर्भावनापूर्ण गतिविधियों से बचाने के लिए फ़ायरवॉल और घुसपैठ का पता लगाने वाली प्रणालियाँ तैनात की जाएंगी।
    • किसी भी संभावित सुरक्षा घटना की पहचान करने और उस पर प्रतिक्रिया देने के लिए नेटवर्क ट्रैफ़िक की नियमित निगरानी और विश्लेषण किया जाएगा।

4.1सुरक्षित रिमोट एक्सेस:

    • हमारे सिस्टम तक रिमोट एक्सेस की अनुमति केवल वीपीएन (वर्चुअल प्राइवेट नेटवर्क) जैसे सुरक्षित चैनलों के माध्यम से ही दी जाएगी।
    • रिमोट एक्सेस खातों को मजबूत प्रमाणीकरण तंत्र द्वारा संरक्षित किया जाएगा और किसी भी संदिग्ध गतिविधियों पर नजर रखी जाएगी।

5.घटना की प्रतिक्रिया

5.1घटना की रिपोर्टिंग:

      • कर्मचारियों और ठेकेदारों को किसी भी सुरक्षा घटना, उल्लंघन या संदिग्ध गतिविधियों की तुरंत संपर्क के निर्दिष्ट बिंदु पर रिपोर्ट करने के लिए प्रशिक्षित किया जाएगा।
      • समय पर प्रतिक्रिया और समाधान सुनिश्चित करने के लिए घटना रिपोर्टिंग प्रक्रियाओं को स्पष्ट रूप से सूचित किया जाएगा और समय-समय पर समीक्षा की जाएगी।

5.2घटना प्रतिक्रिया टीम:

      • सुरक्षा घटनाओं को संभालने, उल्लंघनों की जांच करने और उचित कार्रवाइयों के समन्वय के लिए एक घटना प्रतिक्रिया टीम नामित की जाएगी।
      • टीम के सदस्यों की भूमिकाएँ और जिम्मेदारियाँ परिभाषित की जाएंगी, और उनकी संपर्क जानकारी आसानी से उपलब्ध होगी।

5.3घटना से उबरना और सीखे गए सबक:

      • सुरक्षा घटनाओं के प्रभाव को कम करने और प्रभावित सिस्टम और डेटा को पुनर्स्थापित करने के लिए त्वरित कार्रवाई की जाएगी।
      • प्रत्येक घटना के बाद, सीखे गए सबक की पहचान करने और भविष्य में इसी तरह की घटनाओं को रोकने के लिए आवश्यक सुधार लागू करने के लिए घटना के बाद की समीक्षा की जाएगी।

6.शारीरिक सुरक्षा

6.1पहुँच नियंत्रण:

    • डेटा केंद्रों, सर्वर रूम और अन्य महत्वपूर्ण क्षेत्रों तक भौतिक पहुंच केवल अधिकृत कर्मियों तक ही सीमित रहेगी।
    • बायोमेट्रिक प्रमाणीकरण, कुंजी कार्ड और सीसीटीवी निगरानी जैसे पहुंच नियंत्रण तंत्र को उचित रूप से लागू किया जाएगा।

6.2उपकरण सुरक्षा:

    • सभी कंप्यूटर उपकरण, स्टोरेज मीडिया और पोर्टेबल डिवाइस को चोरी, हानि या अनधिकृत पहुंच से सुरक्षित रखा जाएगा।
    • कर्मचारियों को उपकरण सुरक्षित रूप से संग्रहीत करने और संभालने के लिए प्रशिक्षित किया जाएगा, खासकर जब दूर से काम कर रहे हों या यात्रा कर रहे हों।

7.प्रशिक्षण एवं जागरूकता

7.1 सुरक्षा जागरूकता प्रशिक्षण:

    • सभी कर्मचारियों और ठेकेदारों को सुरक्षा सर्वोत्तम प्रथाओं, नीतियों और प्रक्रियाओं के बारे में शिक्षित करने के लिए नियमित सुरक्षा जागरूकता प्रशिक्षण प्रदान किया जाएगा।
    • प्रशिक्षण सत्र में पासवर्ड सुरक्षा, फ़िशिंग जागरूकता, डेटा प्रबंधन और घटना रिपोर्टिंग जैसे विषय शामिल होंगे।

7.2 नीति स्वीकृति:

    • सभी कर्मचारियों और ठेकेदारों को इस सुरक्षा नीति के साथ अपनी समझ और अनुपालन की समीक्षा और स्वीकार करना आवश्यक होगा।
    • कार्मिक रिकॉर्ड के हिस्से के रूप में स्वीकृतियों को नियमित रूप से अद्यतन और बनाए रखा जाएगा।

8.नीति समीक्षा और अद्यतन

इस सुरक्षा नीति की समय-समय पर समीक्षा की जाएगी और प्रौद्योगिकी, विनियमों या व्यावसायिक आवश्यकताओं में परिवर्तन को प्रतिबिंबित करने के लिए आवश्यकतानुसार अद्यतन किया जाएगा। सभी कर्मचारियों और ठेकेदारों को किसी भी अपडेट के बारे में सूचित किया जाएगा, और संशोधित नीति का पालन करना आवश्यक होगा।

इस सुरक्षा नीति को क्रियान्वित और लागू करके, हमारा लक्ष्य अपने थोक ऑनलाइन व्यवसाय, ग्राहक डेटा की सुरक्षा करना और अपने भागीदारों और ग्राहकों का विश्वास बनाए रखना है।