- Wprowadzenie
Celem niniejszej polityki bezpieczeństwa jest przedstawienie środków i praktyk stosowanych przez firmę Allamex™ w celu zapewnienia poufności, integralności i dostępności naszych systemów i danych. Niniejsza polityka dotyczy wszystkich pracowników, kontrahentów i podmiotów zewnętrznych, które mają dostęp do naszych systemów i informacji. Przestrzeganie tej polityki jest obowiązkowe w celu ochrony informacji o naszej firmie i klientach przed nieautoryzowanym dostępem, ujawnieniem, zmianą lub zniszczeniem.
- Kontrola dostępu
2.1Konta użytkowników:
- Konta użytkowników zostaną utworzone dla wszystkich pracowników i kontrahentów uzyskujących dostęp do hurtowych internetowych systemów biznesowych.
- Konta użytkowników będą przyznawane w oparciu o zasadę najniższych uprawnień, co gwarantuje, że poszczególne osoby mają dostęp tylko do zasobów niezbędnych do wykonywania swoich obowiązków służbowych.
- Silne hasła będą wymuszane, wymagające kombinacji wielkich i małych liter, cyfr i znaków specjalnych.
- Uwierzytelnianie wieloskładnikowe (MFA) zostanie wdrożone dla wszystkich kont użytkowników, aby zapewnić dodatkową warstwę bezpieczeństwa.
2.2Dostęp stron trzecich:
- Dostęp osób trzecich do naszych systemów i danych będzie udzielany wyłącznie na zasadzie ograniczonego dostępu.
- Podmioty zewnętrzne będą zobowiązane do podpisania umowy o zachowaniu poufności oraz przestrzegania standardów i praktyk bezpieczeństwa zgodnych z naszymi własnymi.
- Ochrona danych
3.1Klasyfikacja danych:
-
- Wszystkie dane zostaną sklasyfikowane na podstawie ich wrażliwości i krytyczności w celu określenia odpowiednich poziomów ochrony.
- Wytyczne dotyczące klasyfikacji danych zostaną przekazane pracownikom w celu zapewnienia właściwej obsługi, przechowywania i przesyłania danych.
3.2Szyfrowanie danych:
-
- Transmisja poufnych danych będzie szyfrowana przy użyciu standardowych protokołów szyfrowania, takich jak SSL/TLS.
- Zostaną wdrożone mechanizmy szyfrowania w celu ochrony danych w stanie spoczynku, w szczególności przechowywanych w nich wrażliwych informacji
- baz danych i systemów plików.
3.3Tworzenie kopii zapasowych i odzyskiwanie danych:
-
- Regularne kopie zapasowe krytycznych danych będą wykonywane i bezpiecznie przechowywane poza siedzibą firmy.
- Integralność kopii zapasowych i procesy przywracania będą okresowo testowane, aby zapewnić możliwość odzyskania danych w przypadku awarii.
4.Bezpieczeństwo sieci
-
- Zapory ogniowe i systemy wykrywania włamań:
- Zapory ogniowe i systemy wykrywania włamań zostaną wdrożone w celu ochrony naszej infrastruktury sieciowej przed nieautoryzowanymi próbami dostępu i złośliwymi działaniami.
- Prowadzony będzie regularny monitoring i analiza ruchu sieciowego w celu identyfikacji i reagowania na wszelkie potencjalne incydenty bezpieczeństwa.
4.1Bezpieczny dostęp zdalny:
-
- Zdalny dostęp do naszych systemów będzie dozwolony tylko za pośrednictwem bezpiecznych kanałów, takich jak VPN (Virtual Private Networks).
- Konta zdalnego dostępu będą chronione silnymi mechanizmami uwierzytelniania i monitorowane pod kątem wszelkich podejrzanych działań.
5.Reagowania na incydenty
5.1Zgłaszanie incydentu:
-
-
- Pracownicy i kontrahenci zostaną przeszkoleni w zakresie niezwłocznego zgłaszania wszelkich incydentów bezpieczeństwa, naruszeń lub podejrzanych działań do wyznaczonego punktu kontaktowego.
- Procedury zgłaszania incydentów będą jasno komunikowane i okresowo weryfikowane, aby zapewnić szybką reakcję i rozwiązanie.
-
5.2Zespół reagowania na incydenty:
-
-
- Zostanie wyznaczony zespół reagowania na incydenty do obsługi incydentów związanych z bezpieczeństwem, badania naruszeń i koordynowania odpowiednich działań.
- Role i obowiązki członków zespołu zostaną określone, a ich dane kontaktowe będą łatwo dostępne.
-
5.3Odzyskiwanie po incydencie i wyciągnięte wnioski:
-
-
- Zostaną podjęte natychmiastowe działania w celu złagodzenia skutków incydentów związanych z bezpieczeństwem i przywrócenia systemów i danych, których dotyczy problem.
- Po każdym incydencie zostanie przeprowadzony przegląd po incydencie w celu zidentyfikowania wyciągniętych wniosków i wdrożenia niezbędnych ulepszeń, aby zapobiec podobnym incydentom w przyszłości.
-
6.Bezpieczeństwo fizyczne
6.1Kontrola dostępu:
-
- Fizyczny dostęp do centrów danych, serwerowni i innych obszarów krytycznych będzie ograniczony wyłącznie do upoważnionego personelu.
- W stosownych przypadkach zostaną wdrożone mechanizmy kontroli dostępu, takie jak uwierzytelnianie biometryczne, karty dostępu i monitoring CCTV.
6.2Ochrona sprzętu:
-
- Cały sprzęt komputerowy, nośniki danych i urządzenia przenośne będą chronione przed kradzieżą, utratą lub nieautoryzowanym dostępem.
- Pracownicy zostaną przeszkoleni w zakresie bezpiecznego przechowywania i obsługi sprzętu, zwłaszcza podczas pracy zdalnej lub w podróży.
7.Szkolenie i świadomość
7.1 Szkolenie w zakresie świadomości bezpieczeństwa:
-
- Wszyscy pracownicy i kontrahenci będą mieli zapewnione regularne szkolenia w zakresie świadomości bezpieczeństwa, aby zapoznać ich z najlepszymi praktykami, zasadami i procedurami w zakresie bezpieczeństwa.
- Sesje szkoleniowe obejmą takie tematy, jak bezpieczeństwo haseł, świadomość phishingu, obsługa danych i raportowanie incydentów.
7.2 Potwierdzenie zasad:
-
- Wszyscy pracownicy i kontrahenci będą zobowiązani do zapoznania się i potwierdzenia, że rozumieją i przestrzegają niniejszej polityki bezpieczeństwa.
- Podziękowania będą regularnie aktualizowane i utrzymywane jako część dokumentacji personelu.
8.Przegląd i aktualizacje zasad
Niniejsza polityka bezpieczeństwa będzie okresowo przeglądana i aktualizowana w razie potrzeby, aby odzwierciedlić zmiany w technologii, przepisach lub wymaganiach biznesowych. Wszyscy pracownicy i kontrahenci zostaną poinformowani o wszelkich aktualizacjach, a ich przestrzeganie zmienionej polityki będzie wymagane.
Wdrażając i egzekwując niniejszą politykę bezpieczeństwa, dążymy do ochrony naszej hurtowej działalności online, danych klientów oraz utrzymania zaufania naszych partnerów i klientów.