सुरक्षा नीति
अंतिम बार संशोधित: 4 जुलाई, 2023
इलेक्ट्रोटेक्निक प्राइवेट लिमिटेड ("ईएलईके") अपने सॉफ्टवेयर ग्राहकों को साइबर खतरों से सुरक्षा प्रदान करने, डेटा हानि को रोकने और अनुपालन आवश्यकताओं को पूरा करने के लिए प्रतिबद्ध है।
हमने ISO/IEC 27001 सिद्धांतों को अपनाया है जो सूचना सुरक्षा प्रबंधन प्रणालियों (ISMS) के लिए दुनिया का सबसे प्रसिद्ध मानक है। इस दृष्टिकोण को अपनाकर, हम अपनी कंपनी के स्वामित्व वाले और उसके द्वारा संभाले जाने वाले डेटा की सुरक्षा से संबंधित जोखिमों का प्रबंधन कर सकते हैं, साथ ही यह सुनिश्चित कर सकते हैं कि हम साइबर अपराध और लगातार उभर रहे नए खतरों के कारण संभावित नकारात्मक प्रभावों से बचने के लिए सर्वोत्तम प्रथाओं और सिद्धांतों को अपनाएँ।
हम सूचना सुरक्षा कैसे प्रदान करते हैं
हम सूचना सुरक्षा के लिए प्रतिबद्ध हैं ताकि यह सुनिश्चित किया जा सके कि हमारे व्यवसाय और ग्राहकों के लिए सूचना सुरक्षा बनाए रखने के लिए कड़े सिस्टम और नियंत्रण मौजूद हैं। हम अपने कर्मचारियों को शामिल करने से शुरू करते हैं जिसमें प्रक्रियाएँ और कंपनी की नीतियाँ शामिल हैं जो यह सुनिश्चित करने के महत्व को रेखांकित करती हैं कि सभी उपयोगकर्ता डेटा गोपनीय रहें और ऐसे डेटा तक पहुँच केवल हमारे उपयोगकर्ताओं को सेवा प्रदान करने सहित उनकी नौकरी से संबंधित कार्यों को पूरा करने के लिए हो। हमारी सूचना सुरक्षा नीति किसी भी उपयोगकर्ता डेटा की गोपनीयता बनाए रखने और किसी भी स्थानीय रूप से संग्रहीत या मुद्रित व्यक्तिगत डेटा के उचित निपटान तंत्र के महत्व को भी बताती है।
हमारे कर्मचारी अपने रोजगार अनुबंध के भाग के रूप में गोपनीयता और सूचना सुरक्षा बनाए रखने के लिए प्रतिबद्ध हैं और नियमित पुनश्चर्या प्रशिक्षण के साथ साइबर सुरक्षा जागरूकता प्रशिक्षण भी लेते हैं।
ELEK की प्रक्रिया, नीति और प्रशिक्षण के अलावा, हमारे पास संवेदनशील उपयोगकर्ता डेटा वाले सिस्टम तक पहुँचने के लिए सख्त प्रवेश बिंदु हैं। अधिक जानकारी के लिए हमारी गोपनीयता नीति देखें ।
पहचान और पहुँच प्रबंधन
हम अपने एंटरप्राइज़ पहचान प्रदाता के लिए Microsoft का उपयोग करते हैं और अत्यधिक सुरक्षित पासवर्ड नीतियों का उपयोग करते हैं। सभी कर्मचारियों को लॉग इन करने के लिए 2-कारक प्रमाणीकरण (2FA) का उपयोग करना आवश्यक है।
अमेज़न वेब सर्विसेज (AWS) में हमारी क्लाउड सेवाओं तक पहुंच, AWS पहचान और पहुंच प्रबंधन (IAM) के साथ, आवश्यकता-से-जानने और न्यूनतम विशेषाधिकार सिद्धांतों के साथ भूमिका के आधार पर प्रदान की जाती है।
तिमाही आधार पर उपयोगकर्ता पहुँच समीक्षा की जाती है, जहाँ अब आवश्यक नहीं रह गई पहुँच को हटा दिया जाता है। जब कर्मचारी अपनी नौकरी छोड़ देते हैं, तो बाहर निकलने पर सिस्टम तक सभी पहुँच तुरंत रद्द कर दी जाती है।
ईमेल सुरक्षा
हम अपने स्टाफ़ ईमेल प्रदाता के रूप में Microsoft 365, अपने एप्लिकेशन के भीतर से ईमेल भेजने के लिए Amazon Simple Email Service (SES) और ग्राहक सहायता ईमेल भेजने के लिए ईमेल टिकटिंग सिस्टम का उपयोग करते हैं। हमारे ईमेल डोमेन के लिए DMARC और SPF मौजूद हैं।
कर्मचारियों को फ़िशिंग से बचने के सर्वोत्तम तरीकों के बारे में लगातार जागरूक किया जाता है और निर्देश दिए जाते हैं।
नेटवर्क सुरक्षा
हमारे कर्मचारियों के कार्यस्थान एक समर्पित वर्चुअल लोकल एरिया नेटवर्क (वीएलएएन) पर हैं जो केवल हमारे कर्मचारियों के उपयोग के लिए प्रतिबंधित है।
उपयोगकर्ता डेटा तक पहुंच
हम उन सभी डेटा को "ब्लैक बॉक्स" के रूप में मानते हैं जो उपयोगकर्ता हमारी किसी भी सॉफ़्टवेयर सेवा में सबमिट करते हैं, जिसे हम केवल उपयोगकर्ता की ओर से संसाधित करते हैं। इसका मतलब है कि उपयोगकर्ता डेटा को आम तौर पर सेवा के प्रदर्शन के लिए एक्सेस नहीं किया जाता है, और हम सभी सबमिट किए गए उपयोगकर्ता डेटा को उच्चतम स्तर की सुरक्षा के साथ संभालते हैं और इसे संवेदनशीलता और गोपनीयता के साथ संभालते हैं।
हमारे कर्मचारियों द्वारा उपयोगकर्ता डेटा तक पहुंच, हमारी उपयोग की शर्तों या उपयोगकर्ता के साथ संबंधित समझौते के अनुसार, मामला-दर-मामला आधार पर सीमित है।
भेद्यता प्रबंधन
हम नियमित रूप से अपनी वेबसाइट और सॉफ़्टवेयर कोड बेस का सुरक्षा ऑडिट करते हैं ताकि निर्भरता में ज्ञात कमज़ोरियों का पता लगाया जा सके और उन्हें ठीक किया जा सके जो डेटा हानि, सेवा में रुकावट, संवेदनशील जानकारी तक अनधिकृत पहुँच या अन्य सुरक्षा समस्याओं का कारण बन सकती हैं। पहचानी गई किसी भी कमज़ोरी को विकास बैकलॉग में दर्ज किया जाता है और सेवा और उपयोगकर्ता डेटा की गोपनीयता, अखंडता और उपलब्धता पर उनके प्रभाव के हमारे मूल्यांकन के आधार पर वर्गीकृत किया जाता है। हमारे इंजीनियर हमारी आंतरिक पैच प्रबंधन नीति के अनुसार कोई भी सुधार करते हैं।
सॉफ्टवेयर विकास जीवनचक्र
हम सहकर्मी समीक्षा प्रक्रिया को शामिल करते हुए एक अच्छी तरह से प्रलेखित वर्कफ़्लो के साथ समस्या ट्रैकिंग उत्पादों का उपयोग करते हैं। हमारा स्रोत कोड संस्करण नियंत्रण और सुरक्षा के लिए निजी, अत्यधिक सुरक्षित रिपॉजिटरी में सुरक्षित है। हमारे कोड बेस में परिवर्तन स्वचालित और मैन्युअल परीक्षणों (विस्तृत योजनाओं के साथ) की एक श्रृंखला से गुजरते हैं। स्वीकृत किए गए कोड परिवर्तनों को पहले एक स्टेजिंग सर्वर पर धकेल दिया जाता है, जहाँ हमारे कर्मचारी उत्पादन सर्वर और हमारे उपयोगकर्ता आधार पर अंतिम पुश से पहले परिवर्तनों का परीक्षण कर सकते हैं। हमारी निरंतर एकीकरण / निरंतर परिनियोजन (CI/CD) प्रक्रिया एक एकीकृत अनुमोदन प्रक्रिया के साथ प्रतिबंधित है।
घटना प्रतिक्रिया
हम घटना प्रबंधन को गंभीरता से लेते हैं और हमारे पास एक घटना प्रतिक्रिया प्रक्रिया है जो बताती है कि घटनाओं का प्रबंधन कैसे किया जाता है। एक घटना को एक अनियोजित घटना के रूप में परिभाषित किया जाता है जैसे कि डेटा उल्लंघन, सेवा में रुकावट या सेवा की गुणवत्ता में कमी। एक घटना भी एक मुद्दा है जो उठाया गया है जहां सेवा पहले काम करती थी और अब उम्मीद के मुताबिक काम नहीं करती है। प्रक्रिया बताती है कि हम घटनाओं का आकलन, रोकथाम, मूल्यांकन, अधिसूचना, समीक्षा और निगरानी कैसे करते हैं।
सभी घटनाओं को घटना प्रतिक्रिया रजिस्टर में दर्ज किया जाता है और घटनाओं से प्राप्त सीखों का उपयोग निरंतर सुधार के प्रति हमारी प्रतिबद्धता के तहत हमारी प्रक्रिया, कार्यप्रणाली, प्रणालियों और उपकरणों को बेहतर बनाने के लिए किया जाता है।
आपदा पुनर्प्राप्ति और व्यवसाय निरंतरता
हम अपने भौतिक कार्यालय (जहां हमारे उत्पादन बुनियादी ढांचे का कोई भी हिस्सा बरकरार नहीं रखा जाता है) को प्रभावित करने वाली आपदाओं से निपटने के लिए एक व्यवसाय निरंतरता योजना बनाए रखते हैं।
इसके अलावा, हम अपने उत्पादन वातावरण को प्रभावित करने वाली आपदाओं से निपटने के लिए एक आपदा रिकवरी योजना (DRP) बनाए रखते हैं, जिन्हें घटना प्रतिक्रिया प्रक्रिया के हिस्से के रूप में महत्वपूर्ण अनियोजित घटनाओं के रूप में आंका गया था, जिसमें किसी अन्य स्थान से सेवा की मुख्य कार्यक्षमता की बहाली शामिल है। हमारा प्राथमिक डेटा केंद्र सिडनी (ऑस्ट्रेलिया) में AWS पर होस्ट किया गया है, जिसमें उसी AWS क्षेत्र में अतिरेक है। एक भी AWS डेटा सेंटर के नुकसान की स्थिति में, रिकवरी प्रक्रियाएँ मानवीय हस्तक्षेप के बिना दूसरे डेटा सेंटर में नोड्स लाएँगी। परीक्षण कम से कम एक वर्ष में एक बार किया जाता है। हमारा DR परीक्षण वॉक-थ्रू, मॉक डिजास्टर या घटक परीक्षण के रूप में हो सकता है।
डेटा प्रतिधारण और निपटान
डेटा प्रतिधारण
हम आपके बारे में सीमित जानकारी रखते हैं जिसे हम केवल उस उद्देश्य और अवधि के लिए नियंत्रित करते हैं जो हमारी गोपनीयता नीति में उल्लिखित उद्देश्यों को पूरा करने के लिए आवश्यक है। हमारे सिस्टम द्वारा हमारे उपयोगकर्ताओं की ओर से रखे गए डेटा को हमारी उपयोग नीति की शर्तों और ऐसे ग्राहकों के साथ अन्य वाणिज्यिक समझौतों के अनुसार बनाए रखा जाएगा।
हम क्लाउड-आधारित और मूल रूप से स्थापित पीसी-आधारित दोनों सॉफ़्टवेयर उत्पाद प्रदान करते हैं। हमारे क्लाउड-आधारित सॉफ़्टवेयर उत्पादों के साथ ग्राहक डेटा हमारे सुरक्षित क्लाउड-आधारित सिस्टम (यहाँ वर्णित) में संग्रहीत किया जाता है। दूसरी ओर, हमारे पीसी-आधारित सॉफ़्टवेयर उत्पादों के साथ ग्राहक डेटा स्थानीय रूप से उनके आईटी इंफ्रास्ट्रक्चर पर संग्रहीत किया जाता है।
डेटा हटाना
हमारे ग्राहक अपने द्वारा प्रस्तुत किए गए डेटा पर पूर्ण नियंत्रण रखते हैं, तथा हमारे सॉफ्टवेयर के माध्यम से या हमसे संपर्क करके उपलब्ध साधनों का उपयोग करके उसे संशोधित, निर्यात या हमेशा के लिए हटा सकते हैं।
किसी खाते की समाप्ति पर, उपयोगकर्ता खाता बंद करने की प्रक्रिया के भाग के रूप में अपने डेटा को हटाने का अनुरोध कर सकते हैं। फिर उपयोगकर्ता डेटा अनुरोध के 90 दिनों के भीतर हटा दिया जाएगा, जिसमें रोलबैक के लिए 30-दिन की अवधि और हटाने की प्रक्रिया को आगे बढ़ाने के लिए अतिरिक्त 60 दिन शामिल हैं।
वैकल्पिक रूप से, उपयोगकर्ता खाते के डेटा को प्लेटफ़ॉर्म पर रखने का विकल्प चुन सकते हैं, ऐसी स्थिति में हम इसे बनाए रख सकते हैं, लेकिन अपने विवेक से इसे किसी भी समय हटा भी सकते हैं।
डेटा विनाश
हमारी क्लाउड सेवाएँ AWS पर होस्ट की जाती हैं जो बहु-किरायेदार वातावरण में संवेदनशील डेटा के सुरक्षित भंडारण की अनुमति देने के लिए सुरक्षित डेटा वितरण और विलोपन रणनीतियों को लागू करती हैं। स्टोरेज मीडिया डिकमीशनिंग NIST 800-88 के अनुसार AWS द्वारा की जाती है।
निगरानी
हम एज लोकेशन और लोड बैलेंसर से ट्रैफ़िक लॉग, ट्रेसिंग और ऑडिटिंग इवेंट के लिए एप्लिकेशन-लेवल लॉगिंग और एक्सेस और हाई-प्रिविलेज ऑपरेशन के ऑडिटिंग के लिए सिस्टम-लेवल लॉगिंग का उपयोग करके नेटवर्क लॉग एकत्र करते हैं और उनकी निगरानी करते हैं। सभी लॉग Amazon S3 या Amazon CloudWatch में सुरक्षित रूप से संग्रहीत किए जाते हैं और उन्हें बनाए रखा जाता है।
हम यह सुनिश्चित करने के लिए कि सेवा वितरण सेवा स्तर समझौतों से मेल खाता है, बुनियादी ढांचे के संसाधनों के क्षमता उपयोग की निगरानी करते हैं। इसके अतिरिक्त:
- अमेज़न सेवाओं का उपयोग महत्वपूर्ण बुनियादी ढांचे के अलर्ट के लिए स्वचालित घटना-आधारित संदेश को सक्रिय करने के लिए किया जाता है।
- हम अनुप्रयोग अलर्ट के लिए स्वचालित ईवेंट-आधारित संदेश ट्रिगर के साथ स्वामित्व त्रुटि लॉगिंग और ट्रैकिंग सेवा का उपयोग करते हैं।
गोपनीयता
हमारी गोपनीयता नीति देखें.
कार्यालय सुरक्षा
हमारे कार्यालय स्थान और लिफ्टों तक पहुँच एक्सेस कार्ड के माध्यम से प्रतिबंधित है। बिल्डिंग सुरक्षा के पास बिल्डिंग और फ़्लोर एक्सेस की नियमित निगरानी के लिए कई प्रक्रियाएँ हैं। प्रत्येक फ़्लोर पर एम्बेडेड सुरक्षा प्रणाली दरवाज़े के उपयोग को ट्रैक करती है, और बिल्डिंग सुरक्षा से एक्सेस रिपोर्ट प्राप्त की जा सकती है। डेस्क स्पेस 24 घंटे CCTV कवरेज के अंतर्गत हैं और परिसर में पूरे परिसर में घूमते सुरक्षा गार्ड भी हैं। CCTV वीडियो रिकॉर्ड 18 महीने तक संग्रहीत और रखे जाते हैं। मुख्य वाणिज्यिक अधिकारी बिल्डिंग एक्सेस कार्ड प्राप्त करने या उस तक पहुँच रद्द करने के लिए कर्मचारियों में किसी भी बदलाव के बारे में बिल्डिंग प्रबंधन टीम को अपडेट करने के लिए जिम्मेदार है।
डेटा सेंटर सुरक्षा
हम उचित स्तर की सुरक्षा बनाए रखने के लिए साइट चयन, अतिरेक, उपलब्धता और क्षमता नियोजन जैसे AWS डेटा सेंटर नियंत्रणों पर भरोसा करते हैं। हम अपने किसी भी सर्वर को होस्ट नहीं करते हैं।
नीति अपडेट
यह नीति समय-समय पर बदल सकती है और हमारी वेबसाइट www.elek.com पर उपलब्ध है
हमसे संपर्क करें
अधिक जानकारी या हमसे संपर्क करने के लिए कृपया हमारे संपर्क पृष्ठ पर जाएं।
