مركز الثقة

الوعي الظرفي للحوادث

تحتفظ الجهة بسجل لحوادث أمن المعلومات، وتحقيقاتها، وخطة الاستجابة التي تم تنفيذها وفقًا للسياسة والإجراءات المحددة للإبلاغ عن الحوادث وإدارتها.

التحقق من الهوية

يضمن الكيان أن توفير الوصول المنطقي إلى الأنظمة الحيوية يتطلب موافقة من الموظفين المخولين بناءً على حاجة فردية أو لدور محدد مسبقًا.

إنهاء التوظيف

يضمن الكيان أن الوصول المنطقي الذي لم يعد مطلوبًا في حالة إنهاء الخدمة يصبح غير متاح في الوقت المناسب.

تشفير البيانات في حالة السكون

وضع الكيان آليات تشفير لجميع قواعد بيانات الإنتاج التي تخزن بيانات العملاء في حالة السكون.

النسخ الاحتياطية للبيانات

يقوم الكيان بعمل نسخ احتياطية منتظمة لبيانات المستخدم والنظام ذات الصلة لتحقيق أهداف وقت الاسترداد ونقطة الاسترداد، ويتحقق من سلامة هذه النسخ الاحتياطية.

اختبار الموثوقية والسلامة

يقوم الكيان باختبار معلومات النسخ الاحتياطي بشكل دوري للتحقق من موثوقية الوسائط وسلامة المعلومات.

نقل معلومات التعريف الشخصية (PII)

يضمن الكيان وجود إجراءات مناسبة لضمان الامتثال للمتطلبات التنظيمية المتعلقة بنقل البيانات الشخصية خارج المنطقة التي تم جمعها منها.

تقييد اتصالات الشبكة

يضمن الكيان حماية الوصول إلى قواعد بيانات الإنتاج والوصول الآمن عبر Shell إلى كيانات البنية التحتية من الوصول العام عبر الإنترنت.

اتصالات الأنظمة الخارجية

كل مضيف إنتاجي محمي بجدار حماية بقاعدة الرفض الافتراضي. مجموعة قواعد الرفض الافتراضي هي إعداد افتراضي لدى مزود السحابة الخاص بالكيان.

سرية الإرسال

وضع الكيان إجراءات لاستخدام طرق التشفير القياسية، بما في ذلك HTTPS مع خوارزمية TLS، للحفاظ على سرية البيانات المنقولة.

سلوك شاذ

تم تكوين البنية التحتية للكيان لمراجعة وتحليل أحداث التدقيق للكشف عن الأنشطة والتهديدات الشاذة أو المشبوهة.

التجميع المركزي لسجلات الأحداث الأمنية

البنية التحتية للجهة مهيأة لإنشاء أحداث التدقيق للإجراءات الهامة المتعلقة بالأمن لجميع الأنظمة الحساسة.

رابط بارز لإشعار الخصوصية

تعرض الجهة أحدث المعلومات حول خدماتها على موقعها الإلكتروني، والمتاح لعملائها.

الحماية من التعليمات البرمجية الضارة (مكافحة البرامج الضارة)

عند الاقتضاء، تضمن الجهة أن نقاط النهاية التي تصل إلى الخوادم أو البيانات الحساسة يجب أن تكون محمية ببرامج مكافحة البرامج الضارة.

مدونة قواعد السلوك التجاري

لدى الجهة سياسة موثقة لتحديد معايير السلوك والسلوك التجاري المقبول.

فحص الكفاءة

لدى الجهة إجراءات لضمان أن جميع الوظائف المتعلقة بالأمن يشغلها أفراد مؤهلون يمتلكون مجموعة المهارات اللازمة.

فحص الموظفين

وضعت الجهة إجراءات لإجراء فحص للمخاطر الأمنية للأفراد قبل منح صلاحية الوصول.

التوعية بالأمن والخصوصية

توفر الجهة تدريبًا على أمن المعلومات والخصوصية للموظفين يتناسب مع مهامهم الوظيفية.

تقييم الأداء

تشترط الجهة أن يتم تقييم جميع الموظفين في أدوار خدمة العملاء وتكنولوجيا المعلومات والهندسة وأمن المعلومات بشكل دوري فيما يتعلق بمسؤولياتهم الوظيفية.

التقارير الآلية

قدم الكيان معلومات للموظفين، عبر سياسات/إجراءات أمن المعلومات المختلفة، حول كيفية الإبلاغ عن الأعطال أو الحوادث أو المخاوف أو الشكاوى الأخرى المتعلقة بالخدمات أو الأنظمة التي يقدمها الكيان في حال وجود مشاكل.

المساعدة في الإبلاغ عن الحوادث

قدم الكيان معلومات للعملاء حول كيفية الإبلاغ عن الأعطال أو الحوادث أو المخاوف أو الشكاوى الأخرى المتعلقة بالخدمات أو الأنظمة التي يقدمها الكيان في حال وجود مشاكل.

تأطير المخاطر

يجري الكيان عملية تقييم رسمي للمخاطر سنويًا، وفقًا للإرشادات والإجراءات الموثقة، لتحديد التهديدات التي قد تضر بالتزامات ومتطلبات أمن الأنظمة.

تقييم المخاطر

يتم تقييم كل خطر ومنحه درجة مخاطر فيما يتعلق باحتمالية حدوثه والتأثير المحتمل على أمن منصة الشركة وتوافرها وسريتها. يتم ربط المخاطر بعوامل التخفيف التي تعالج جزءًا من الخطر أو كله.

الاحتيال

يأخذ الكيان في الاعتبار احتمال الاحتيال عند تقييم المخاطر. هذا إدخال في مصفوفة المخاطر.

تقييمات أهمية الأطراف الخارجية

يجري الكيان عملية تقييم رسمي لمخاطر الموردين سنويًا لتحديد الموردين الذين يعتبرون حاسمين لالتزامات ومتطلبات أمن الأنظمة.

مسؤوليات الأمن السيبراني والخصوصية الموكلة

تعين الإدارة العليا للكيان دور مسؤول أمن المعلومات الذي يُفوض بإدارة وتنسيق وتطوير وتنفيذ وصيانة برنامج للأمن السيبراني والخصوصية على مستوى المؤسسة بشكل مركزي.

التدقيق الداخلي باستخدام سبرينتو

يستخدم الكيان سبرينتو، وهو نظام مراقبة مستمر، لتتبع حالة برنامج أمن المعلومات والإبلاغ عنها إلى مسؤول أمن المعلومات وأصحاب المصلحة الآخرين.

مراجعة وتحديث دوري لبرنامج الأمن السيبراني والخصوصية

تراجع الإدارة العليا للكيان وتعتمد حالة برنامج أمن المعلومات، بما في ذلك السياسات والمعايير والإجراءات، على فترات زمنية مجدولة أو في حال حدوث تغييرات جوهرية لضمان استمرار ملاءمتها وكفايتها وفعاليتها.

مراجعة الإدارة للهيكل التنظيمي

تراجع الإدارة العليا للكيان وتعتمد الهيكل التنظيمي لجميع الموظفين سنويًا.

مراجعة الإدارة للمخاطر

تراجع الإدارة العليا للجهة وتوافق على "تقرير تقييم المخاطر" سنوياً.

مراجعة الإدارة لمخاطر الأطراف الثالثة

تراجع الإدارة العليا للجهة وتوافق على "تقرير تقييم مخاطر البائعين" سنوياً.

تقييم المنظمات الفرعية للخدمات

تراجع الجهة وتقيم جميع المنظمات الفرعية للخدمات بشكل دوري، لضمان الوفاء بالالتزامات تجاه عملاء الجهة.

متطلبات المعالجين الفرعيين

تضمن الجهة وجود تدابير علاجية مناسبة عند مشاركة البيانات الشخصية مع البائعين كجزء من أنشطة المعالجة الخاصة بها.

تقييم تأثير حماية البيانات (DPIA)

تجري الجهة تقييمات تأثير حماية البيانات بشكل دوري لتقييم المخاطر التنظيمية المرتبطة بمعالجة البيانات الشخصية.

الاختبار

لدى الجهة إجراءات لإجراء اختبارات وتمارين منتظمة تحدد الفعالية والجاهزية لتنفيذ خطة الطوارئ.

التزامات العملاء

تحتفظ الجهة بقائمة بجميع الالتزامات التعاقدية بناءً على عقود العملاء.

الاحتفاظ بالسياسات

تضمن الجهة الاحتفاظ بجميع وثائق السياسات لمدة لا تقل عن (6) سنوات من تاريخ إنشائها.

كبير مسؤولي الخصوصية (CPO)

تعين الجهة مسؤول خصوصية لتقييم وتسهيل امتثالها للمتطلبات التنظيمية ذات الصلة.

بيانات قانون الخصوصية

تضمن الجهة بيانات قانون الخصوصية في النماذج التي تجمع معلومات سيتم الاحتفاظ بها في نظام سجلات قانون الخصوصية، أو توفر بيانات قانون الخصوصية في نماذج منفصلة يمكن للأفراد الاحتفاظ بها.

تعيين ملكية الأصول

وضعت الجهة آليات لتحديد وإدارة مسؤوليات ملكية الأصول وترسيخ فهم مشترك لمتطلبات حماية الأصول.

حوكمة البيانات

تحتفظ الجهة بقائمة بالمتطلبات القانونية والتشريعية والتنظيمية ذات الصلة بأمن المعلومات.

التحديثات أثناء عمليات التثبيت / الإزالة

تقوم الجهة بتحديث ومراجعة قائمة جرد الأنظمة بشكل دوري كجزء من عمليات التثبيت والإزالة وتحديثات الأنظمة.