السياسة الأمنية

السياسة الأمنية

آخر تعديل 4 يوليو 2023

قم بتنزيل هذه السياسة كملف PDF
تلتزم شركة Electrotechnik Pty Ltd ("ELEK") بتزويد عملائنا من البرمجيات بالحماية من التهديدات السيبرانية، ومنع فقدان البيانات وتلبية متطلبات الامتثال.

لقد اعتمدنا مبادئ ISO/IEC 27001 وهو المعيار الأشهر عالمياً لأنظمة إدارة أمن المعلومات (ISMS). من خلال تطبيق هذا النهج، يمكننا إدارة المخاطر المتعلقة بأمن البيانات التي تمتلكها شركتنا وتتعامل معها، مع ضمان اعتماد أفضل الممارسات والمبادئ لتجنب الآثار السلبية المحتملة بسبب الجرائم الإلكترونية والتهديدات الجديدة التي تظهر باستمرار.

كيف نوفر أمن المعلومات

نحن ملتزمون بأمن المعلومات لضمان وجود أنظمة وضوابط صارمة للحفاظ على أمن المعلومات لأعمالنا وعملائنا. نبدأ بإعداد موظفينا الذي يتضمن عمليات وسياسات الشركة التي تحدد أهمية ضمان الحفاظ على سرية جميع بيانات المستخدمين، وأن الوصول إلى هذه البيانات يكون فقط لإتمام المهام المتعلقة بوظيفتهم بما في ذلك تقديم الخدمة لمستخدمينا. تنص سياسة أمن المعلومات لدينا أيضاً على أهمية الحفاظ على سرية أي بيانات للمستخدمين وآليات التخلص المناسبة من أي بيانات شخصية مخزنة محلياً أو مطبوعة.
ويلتزم موظفونا بالحفاظ على السرية وأمن المعلومات كجزء من عقود العمل الخاصة بهم ويتلقون تدريباً للتوعية بالأمن السيبراني، مع تدريب منتظم لتجديد المعلومات.
بالإضافة إلى عملية ELEK وسياستها وتدريبها، لدينا نقاط دخول صارمة للوصول إلى الأنظمة التي تحتوي على بيانات المستخدم الحساسة. راجع سياسة الخصوصية الخاصة بنا لمزيد من المعلومات.

إدارة الهوية والوصول

نحن نستخدم Microsoft لمزود هوية مؤسستنا ونستخدم سياسات كلمات مرور آمنة للغاية. يُطلب من جميع الموظفين استخدام المصادقة الثنائية (2FA) لتسجيل الدخول.
يُمنَح الوصول إلى خدماتنا السحابية في Amazon Web Services (AWS) من خلال إدارة الهوية والوصول (IAM) من AWS استناداً إلى الدور مع مبادئ الحاجة إلى المعرفة وأقل امتيازات.
يتم إجراء مراجعة ربع سنوية لدخول المستخدمين حيث يتم إلغاء الدخول الذي لم يعد ضرورياً. وعندما ينهي الموظفون خدمتهم يتم إلغاء جميع إمكانيات الوصول إلى الأنظمة فور انتهاء خدمتهم.

حماية البريد الإلكتروني

نحن نستخدم Microsoft 365 كمزود للبريد الإلكتروني للموظفين، وخدمة البريد الإلكتروني البسيطة من أمازون (SES) لإرسال رسائل البريد الإلكتروني من داخل تطبيقنا ونظام تذاكر البريد الإلكتروني لإرسال رسائل البريد الإلكتروني لدعم العملاء. كما نستخدم DMARC وSPF لنطاقات بريدنا الإلكتروني.
يتم توعية الموظفين باستمرار وإرشادهم بشأن أفضل ممارسات تجنب التصيد الاحتيالي.

أمن الشبكة

محطات العمل الخاصة بموظفينا موجودة على شبكة محلية افتراضية (VLAN) مخصصة ومحصورة لاستخدام موظفينا فقط.

الوصول إلى بيانات المستخدم

نحن نتعامل مع جميع البيانات التي يرسلها المستخدمون إلى أي من خدماتنا البرمجية، والتي تتم معالجتها من قبلنا فقط نيابةً عن المستخدم، على أنها "صندوق أسود". هذا يعني أنه لا يتم الوصول إلى بيانات المستخدم بشكل عام لأداء الخدمة، وأننا نتعامل مع جميع بيانات المستخدم المُرسلة بأعلى مستوى من الأمان ونتعامل معها بحساسية وسرية.
يتم تقييد وصول موظفينا إلى بيانات المستخدم وفقًا لشروط الاستخدام الخاصة بنا أو الاتفاق المعني مع المستخدم، على أساس كل حالة على حدة.

إدارة الثغرات الأمنية

نُجري بانتظام عمليات تدقيق أمني لموقعنا الإلكتروني وقاعدة التعليمات البرمجية الخاصة بنا للعثور على نقاط الضعف المعروفة في التبعيات التي قد تتسبب في فقدان البيانات أو انقطاع الخدمة أو الوصول غير المصرح به إلى معلومات حساسة أو غيرها من المشكلات الأمنية وإصلاحها. يتم تسجيل أي ثغرات أمنية يتم تحديدها في سجلات التطوير المتراكمة وتصنيفها بناءً على تقييمنا لتأثيرها على سرية الخدمة وبيانات المستخدم وسلامتها وتوافرها. يقوم مهندسونا بتنفيذ أي معالجة وفقاً لسياسة إدارة التصحيحات الداخلية الخاصة بنا.

دورة حياة تطوير البرمجيات

نحن نستخدم منتجات تتبع المشكلات مع سير عمل موثق بشكل جيد يتضمن عملية مراجعة الأقران. يتم تأمين كود المصدر الخاص بنا في مستودعات خاصة وآمنة للغاية للتحكم في الإصدار والأمان. تخضع التغييرات التي تطرأ على قاعدة التعليمات البرمجية لدينا لسلسلة من الاختبارات الآلية واليدوية (مع خطط مفصلة). يتم أولاً دفع تغييرات التعليمات البرمجية التي تتم الموافقة عليها إلى خادم مرحلي حيث يمكن لموظفينا اختبار التغييرات قبل الدفع النهائي إلى خوادم الإنتاج وقاعدة مستخدمينا. يتم تقييد عملية التكامل المستمر/النشر المستمر (CI/CD) لدينا بعملية موافقة متكاملة.

الاستجابة للحوادث

نحن نأخذ إدارة الحوادث على محمل الجد، ولدينا إجراء للاستجابة للحوادث يحدد كيفية إدارة الحوادث. يُعرّف الحادث بأنه حدث غير مخطط له مثل خرق البيانات أو انقطاع الخدمة أو انخفاض جودة الخدمة. والحادث هو أيضًا مشكلة أثيرت حيث كانت الخدمة تعمل سابقًا والآن لا تعمل كما هو متوقع. يحدد الإجراء كيفية تقييم الحوادث واحتوائها وتقييمها والإبلاغ عنها ومراجعتها ومراقبتها.
تُسجل جميع الحوادث في سجل الاستجابة للحوادث، وتُستخدم الدروس المستفادة من الحوادث لتحسين عملياتنا وإجراءاتنا وأنظمتنا وأدواتنا كجزء من التزامنا بالتحسين المستمر.

التعافي من الكوارث واستمرارية الأعمال

نحافظ على خطة استمرارية الأعمال للتعامل مع الكوارث التي تؤثر على مكتبنا الفعلي (حيث لا يتم الاحتفاظ بأي جزء من البنية التحتية للإنتاج لدينا).
بالإضافة إلى ذلك، نحافظ على خطة التعافي من الكوارث (DRP) للتعامل مع الكوارث التي تؤثر على بيئة الإنتاج لدينا، والتي تم تقييمها على أنها أحداث حرجة غير مخطط لها كجزء من عملية الاستجابة للحوادث، والتي تشمل استعادة الوظائف الأساسية للخدمة من موقع آخر. تتم استضافة مركز البيانات الأساسي لدينا على AWS في سيدني (أستراليا)، مع وجود احتياطي في منطقة AWS نفسها. في حالة فقدان مركز بيانات AWS واحد، فإن إجراءات الاستعادة ستؤدي إلى تشغيل العُقد في مركز بيانات آخر دون تدخل بشري. يتم إجراء الاختبار مرة واحدة على الأقل سنوياً. قد يكون اختبار التعافي من الكوارث في شكل اختبار تجريب أو كارثة وهمية أو اختبار مكون.

الاحتفاظ بالبيانات والتخلص منها

الاحتفاظ بالبيانات

نحتفظ بمعلومات محدودة عنك نتحكم فيها فقط للغرض والفترة اللازمة لتحقيق الأغراض الموضحة في سياسة الخصوصية الخاصة بنا. سيتم الاحتفاظ بالبيانات التي تحتفظ بها أنظمتنا نيابةً عن مستخدمينا وفقًا لسياسة الاستخدام الخاصة بنا والاتفاقيات التجارية الأخرى مع هؤلاء العملاء.
نحن نوفر كلاً من المنتجات البرمجية المستندة إلى السحابة والمنتجات البرمجية المثبتة محلياً على الكمبيوتر الشخصي. مع منتجاتنا البرمجية القائمة على السحابة يتم تخزين بيانات العميل في أنظمتنا الآمنة القائمة على السحابة (الموضحة هنا). من ناحية أخرى، مع منتجاتنا البرمجية المستندة إلى الكمبيوتر الشخصي، يتم تخزين بيانات العميل محلياً على البنية التحتية لتكنولوجيا المعلومات الخاصة بهم.

حذف البيانات

يحتفظ عملاؤنا بالتحكم الكامل في بياناتهم المرسلة، ويمكنهم تعديلها أو تصديرها أو حذفها دائمًا إما باستخدام الوسائل المتاحة من خلال برنامجنا أو من خلال الاتصال بنا.
عند إنهاء الحساب، يمكن للمستخدمين طلب حذف بياناتهم كجزء من إجراءات إغلاق الحساب. سيتم بعد ذلك حذف بيانات المستخدم في غضون 90 يومًا من تقديم الطلب، والتي تشمل فترة 30 يومًا للسماح بالتراجع و60 يومًا إضافية للمضي قدمًا في عملية الحذف.
بدلاً من ذلك، قد يختار المستخدمون الاحتفاظ ببيانات الحساب في المنصة، وفي هذه الحالة قد نستمر في الاحتفاظ بها، ولكن يجوز لنا أيضًا حذفها في أي وقت وفقًا لتقديرنا.

إتلاف البيانات

تتم استضافة خدماتنا السحابية على AWS التي تطبق استراتيجيات آمنة لتوزيع البيانات وحذفها للسماح بالتخزين الآمن للبيانات الحساسة في بيئة متعددة المستأجرين. يتم تنفيذ إيقاف تشغيل وسائط التخزين من قبل AWS وفقاً لمعيار NIST 800-88.

الرصد

نقوم بجمع سجلات الشبكة ومراقبتها باستخدام سجلات حركة المرور من مواقع الحافة وموازنات التحميل، والتسجيل على مستوى التطبيق لتتبع الأحداث وتدقيقها، والتسجيل على مستوى النظام لتدقيق الوصول والعمليات ذات الامتيازات العالية. يتم تخزين جميع السجلات بشكل آمن إما في Amazon S3 أو Amazon CloudWatch ويتم الاحتفاظ بها.
نراقب استخدام سعة موارد البنية التحتية لضمان تطابق تقديم الخدمة مع اتفاقيات مستوى الخدمة. وبالإضافة إلى ذلك:
  • تُستخدم خدمات Amazon لتشغيل الرسائل التلقائية القائمة على الأحداث لتنبيهات البنية التحتية الحيوية.
  • نحن نستخدم خدمة تسجيل الأخطاء وتتبعها المملوكة لنا مع تشغيل الرسائل التلقائية القائمة على الأحداث لتنبيهات التطبيق.

الخصوصية

راجع سياسة الخصوصية الخاصة بنا.

أمن المكتب

يتم تقييد الدخول إلى المكاتب والمصاعد عن طريق بطاقات الدخول. لدى أمن المبنى عدة إجراءات لمراقبة الدخول إلى المبنى والطوابق بشكل روتيني. يتتبع نظام الأمن المدمج في كل طابق استخدام الأبواب، ويمكن الحصول على تقرير الدخول من أمن المبنى. تخضع المساحات المكتبية لتغطية كاميرات المراقبة على مدار 24 ساعة، كما يوجد بالمبنى حراس أمن متجولون في جميع أنحاء المنطقة. يتم تخزين تسجيلات فيديو الدوائر التلفزيونية المغلقة والاحتفاظ بها لمدة 18 شهراً. ويتولى كبير الموظفين التجاريين مسؤولية إبلاغ فريق إدارة المبنى بأي تغييرات تطرأ على الموظفين للحصول على بطاقة الدخول إلى المبنى أو إلغائها.

أمن مركز البيانات

نحن نعتمد على ضوابط مركز بيانات AWS مثل اختيار الموقع، والتكرار، والتوافر، وتخطيط السعة للحفاظ على مستوى مناسب من الأمان. نحن لا نستضيف أياً من خوادمها الخاصة.

تحديثات السياسة

قد تتغير هذه السياسة من وقت لآخر وهي متاحة على موقعنا الإلكتروني www.elek.com

اتصل بنا

لمزيد من المعلومات أو للاتصال بنا، يُرجى زيارة صفحة الاتصال بنا.