1. מבוא

מטרת מדיניות אבטחה זו היא לשרטט את האמצעים והנהלים ש-Allamex™ נוקטת כדי להבטיח את הסודיות, השלמות והזמינות של המערכות והנתונים שלנו. מדיניות זו חלה על כל העובדים, הקבלנים וגופי צד שלישי שיש להם גישה למערכות ולמידע שלנו. הקפדה על מדיניות זו היא חובה כדי להגן על המידע העסקי והלקוח שלנו מפני גישה לא מורשית, חשיפה, שינוי או הרס.

  1. בקרת גישה

2.1חשבונות משתמשים:

  • חשבונות משתמש ייווצרו עבור כל העובדים והקבלנים הנגישים למערכות העסקיות המקוונות הסיטונאי.
  • חשבונות משתמש יוענקו על בסיס העיקרון של הרשאות הקטנות ביותר, מה שמבטיח שלפרטים תהיה גישה רק למשאבים הנדרשים לביצוע תפקידם.
  • סיסמאות חזקות ייאכפו, הדורשות שילוב של אותיות רישיות וקטנות, מספרים ותווים מיוחדים.
  • אימות רב-גורמי (MFA) יושם עבור כל חשבונות המשתמש כדי לספק שכבת אבטחה נוספת.

 2.2גישה של צד שלישי:

  • גישה של צד שלישי למערכות ולנתונים שלנו תינתן רק על בסיס צורך לדעת.
  • ישויות צד שלישי יידרשו לחתום על הסכם סודיות ולעמוד בתקני אבטחה ובנוהלי האבטחה התואמים את שלנו.

 

  1. הגנה על נתונים

3.1סיווג נתונים:

    • כל הנתונים יסווגו על סמך רגישותם וקריטיותם כדי לקבוע רמות הגנה מתאימות.
    • הנחיות לסיווג נתונים יסופקו לעובדים כדי להבטיח טיפול, אחסון והעברת נתונים נאותים.

3.2הצפנת מידע:

    • העברת נתונים רגישים תוצפן באמצעות פרוטוקולי הצפנה סטנדרטיים בתעשייה, כגון SSL/TLS.
    • מנגנוני הצפנה יושמו כדי להגן על נתונים במצב מנוחה, במיוחד עבור מידע רגיש המאוחסן ב
    • מסדי נתונים ומערכות קבצים.

3.3גיבוי ושחזור נתונים:

    • גיבויים קבועים של נתונים קריטיים יבוצעו ויישמרו בצורה מאובטחת במיקום מחוץ לאתר.
    • שלמות הגיבוי ושחזור תהליכים ייבדקו מעת לעת כדי להבטיח יכולת שחזור נתונים במקרה של אסון.

 

4.אבטחת רשת

    • חומות אש ומערכות זיהוי פריצות:
    • חומות אש ומערכות זיהוי פריצות ייפרסו כדי להגן על תשתית הרשת שלנו מפני ניסיונות גישה לא מורשית ופעילויות זדוניות.
    • ניטור וניתוח שוטפים של תעבורת הרשת יתבצעו כדי לזהות ולהגיב לכל אירועי אבטחה פוטנציאליים.

4.1גישה מרחוק מאובטחת:

    • גישה מרחוק למערכות שלנו תותר רק דרך ערוצים מאובטחים, כגון VPNs (רשתות וירטואליות פרטיות).
    • חשבונות גישה מרחוק יהיו מוגנים על ידי מנגנוני אימות חזקים וינוטרו עבור כל פעילות חשודה.

5.תגובה לאירועי אבטחה

5.1דיווח על תקריות:

      • עובדים וקבלנים יוכשרו לדווח מיידית על כל אירועי אבטחה, הפרות או פעילויות חשודות לנקודת המגע המיועדת.
      • נהלי הדיווח על תקריות יעברו בבירור ויסקרו מעת לעת כדי להבטיח תגובה ופתרון בזמן.

5.2צוות תגובה לאירועים:

      • צוות תגובה לאירועים יוקצה לטיפול באירועי אבטחה, חקירת הפרות ותיאום פעולות מתאימות.
      • התפקידים והאחריות של חברי הצוות יוגדרו, ופרטי הקשר שלהם יהיו זמינים.

5.3שחזור תקריות והפקת לקחים:

      • יינקטו פעולה מיידית כדי לצמצם את ההשפעה של אירועי אבטחה ולשחזר מערכות ונתונים מושפעים.
      • לאחר כל אירוע, תיערך סקירה לאחר תקרית כדי לזהות לקחים ולהטמיע שיפורים נדרשים כדי למנוע תקריות דומות בעתיד.

6.ביטחון פיזי

6.1בקרת גישה:

    • גישה פיזית למרכזי נתונים, חדרי שרתים ואזורים קריטיים אחרים תוגבל לאנשי רשות מורשים בלבד.
    • מנגנוני בקרת גישה כגון אימות ביומטרי, כרטיסי מפתח ומעקב במעגל סגור יושמו בהתאם.

6.2הגנה על ציוד:

    • כל ציוד המחשב, מדיית האחסון וההתקנים הניידים יהיו מוגנים מפני גניבה, אובדן או גישה לא מורשית.
    • העובדים יוכשרו לאחסן ולטפל בציוד בצורה מאובטחת, במיוחד כאשר עובדים מרחוק או בנסיעות.

7.הדרכה ומודעות

7.1 הדרכה בנושא מודעות לאבטחה:

    • הדרכה רגילה למודעות אבטחה תינתן לכל העובדים והקבלנים כדי ללמד אותם לגבי שיטות עבודה מומלצות, מדיניות ונהלים אבטחה.
    • מפגשי ההדרכה יכסו נושאים כמו אבטחת סיסמאות, מודעות דיוג, טיפול בנתונים ודיווח על אירועים.

7.2 אישור מדיניות:

    • כל העובדים והקבלנים יידרשו לבדוק ולהכיר בהבנתם ובעמידתם במדיניות אבטחה זו.
    • תודות יתעדכנו באופן שוטף ויישמרו כחלק מרישומי כוח האדם.

8.סקירת מדיניות ועדכונים

מדיניות אבטחה זו תיבדק מעת לעת ותעודכן לפי הצורך כדי לשקף שינויים בטכנולוגיה, בתקנות או בדרישות העסקיות. כל העובדים והקבלנים יקבלו עדכונים כלשהם, ותידרש עמידתם במדיניות המתוקנת.

על ידי יישום ואכיפת מדיניות אבטחה זו, אנו שואפים להגן על העסק המקוון הסיטונאי שלנו, נתוני הלקוחות, ולשמור על אמון השותפים והלקוחות שלנו.