- Uvod
Svrha ove sigurnosne politike je prikazati mjere i postupke koje Allamex™ usvaja kako bi osigurao povjerljivost, integritet i dostupnost naših sustava i podataka. Ova se politika odnosi na sve zaposlenike, izvođače i subjekte treće strane koji imaju pristup našim sustavima i informacijama. Pridržavanje ove politike je obavezno kako bismo zaštitili naše poslovne i korisničke podatke od neovlaštenog pristupa, otkrivanja, izmjene ili uništavanja.
- Access Control
2.1Korisnički računi:
- Izradit će se korisnički računi za sve zaposlenike i izvođače koji pristupaju veleprodajnim online poslovnim sustavima.
- Korisnički računi bit će dodijeljeni na temelju načela najmanje privilegije, osiguravajući da pojedinci imaju pristup samo onim resursima koji su potrebni za obavljanje njihovih radnih obveza.
- Nametnut će se jake lozinke koje će zahtijevati kombinaciju velikih i malih slova, brojeva i posebnih znakova.
- Višefaktorska provjera autentičnosti (MFA) bit će implementirana za sve korisničke račune kako bi se osigurao dodatni sloj sigurnosti.
2.2Pristup treće strane:
- Pristup trećih strana našim sustavima i podacima dopuštat će se samo ako je potrebno znati.
- Subjekti trećih strana morat će potpisati ugovor o povjerljivosti i pridržavati se sigurnosnih standarda i praksi koji su u skladu s našima.
- Zaštita podataka
3.1Klasifikacija podataka:
-
- Svi će podaci biti klasificirani na temelju njihove osjetljivosti i kritičnosti kako bi se odredile odgovarajuće razine zaštite.
- Zaposlenicima će biti dostavljene smjernice za klasifikaciju podataka kako bi se osiguralo pravilno rukovanje, pohranjivanje i prijenos podataka.
3.2Šifriranje podataka:
-
- Prijenos osjetljivih podataka bit će šifriran korištenjem industrijski standardiziranih protokola šifriranja, kao što je SSL/TLS.
- Implementirat će se mehanizmi šifriranja za zaštitu podataka koji miruju, posebno za osjetljive informacije pohranjene u
- baze podataka i datotečni sustavi.
3.3Sigurnosno kopiranje i oporavak podataka:
-
- Izvodit će se redovite sigurnosne kopije kritičnih podataka i sigurno pohranjivati na lokaciji izvan lokacije.
- Integritet sigurnosne kopije i procesi obnove povremeno će se testirati kako bi se osigurala oporavivost podataka u slučaju katastrofe.
4.Mrežna sigurnost
-
- Vatrozidi i sustavi za otkrivanje upada:
- Vatrozidi i sustavi za otkrivanje upada bit će postavljeni kako bi zaštitili našu mrežnu infrastrukturu od pokušaja neovlaštenog pristupa i zlonamjernih aktivnosti.
- Provodit će se redovito praćenje i analiza mrežnog prometa kako bi se identificirali i odgovorili na sve potencijalne sigurnosne incidente.
4.1Siguran daljinski pristup:
-
- Daljinski pristup našim sustavima bit će dopušten samo putem sigurnih kanala, kao što su VPN (virtualne privatne mreže).
- Računi za daljinski pristup bit će zaštićeni snažnim mehanizmima provjere autentičnosti i nadzirani zbog bilo kakvih sumnjivih aktivnosti.
5.Odgovor na incident
5.1Prijava incidenata:
-
-
- Zaposlenici i izvođači bit će obučeni da odmah prijave sve sigurnosne incidente, povrede ili sumnjive aktivnosti određenoj točki za kontakt.
- Postupci za prijavu incidenata jasno će se priopćiti i povremeno pregledavati kako bi se osigurao pravovremeni odgovor i rješenje.
-
5.2Tim za odgovor na incidente:
-
-
- Odredit će se tim za odgovor na incidente koji će rješavati sigurnosne incidente, istraživati kršenja i koordinirati odgovarajuće akcije.
- Uloge i odgovornosti članova tima bit će definirane, a njihovi kontakt podaci bit će dostupni.
-
5.3Oporavak od incidenta i naučene lekcije:
-
-
- Poduzet će se hitne mjere za ublažavanje utjecaja sigurnosnih incidenata i vraćanje pogođenih sustava i podataka.
- Nakon svakog incidenta provest će se pregled nakon incidenta kako bi se identificirale naučene lekcije i provela potrebna poboljšanja kako bi se spriječili slični incidenti u budućnosti.
-
6.Fizičko osiguranje
6.1Kontrola pristupa:
-
- Fizički pristup podatkovnim centrima, poslužiteljskim sobama i drugim kritičnim područjima bit će ograničen samo na ovlašteno osoblje.
- Mehanizmi kontrole pristupa kao što su biometrijska autentifikacija, ključne kartice i CCTV nadzor bit će implementirani prema potrebi.
6.2Zaštita opreme:
-
- Sva računalna oprema, mediji za pohranu i prijenosni uređaji bit će zaštićeni od krađe, gubitka ili neovlaštenog pristupa.
- Zaposlenici će biti obučeni za sigurno skladištenje i rukovanje opremom, posebno kada rade na daljinu ili putuju.
7.Obuka i podizanje svijesti
7.1 Obuka o svijesti o sigurnosti:
-
- Za sve zaposlenike i izvođače bit će osigurana redovita obuka za podizanje svijesti o sigurnosti kako bi se educirali o najboljim sigurnosnim praksama, politikama i postupcima.
- Sesije obuke pokrivat će teme kao što su sigurnost lozinki, svijest o krađi identiteta, rukovanje podacima i izvješćivanje o incidentima.
7.2 Potvrda pravila:
-
- Svi zaposlenici i izvođači morat će pregledati i potvrditi svoje razumijevanje i usklađenost s ovom sigurnosnom politikom.
- Zahvalnice će se redovito ažurirati i održavati kao dio kadrovske evidencije.
8.Pregled i ažuriranja pravila
Ova će se sigurnosna politika povremeno pregledavati i prema potrebi ažurirati kako bi odražavala promjene u tehnologiji, propisima ili poslovnim zahtjevima. Svi zaposlenici i izvođači bit će obaviješteni o svim ažuriranjima, a od njih će se tražiti da se pridržavaju revidirane politike.
Implementacijom i provođenjem ove sigurnosne politike, cilj nam je zaštititi naše veleprodajno internetsko poslovanje, podatke o kupcima i održati povjerenje naših partnera i klijenata.