سياسة الأمان

سياسة أمن معلومات PII الخاصة بSalam

الإصدار 1.0

تاريخ السريان: 10 ديسمبر 2019

بيان حقوق

حقوق النشر © 2019 لشركة Salam

جميع الحقوق محفوظة

المعلومات الواردة هنا هي معلومات مملوكة وسرية لاستخدام شركة الاتصالات المتكاملة ، للأفراد فقط. لا ينبغي إعادة إنتاج أي جزء من هذه المواد أو نشره بأي شكل من الأشكال بأي وسيلة ، إلكترونية أو ميكانيكية ، بما في ذلك النسخ أو أي نظام لتخزين المعلومات أو استردادها ، كما لا ينبغي الكشف عن المواد لأطراف ثالثة ما لم يتم التصريح بذلك كتابيًا مسبقًا من قبل شركة الاتصالات المتكاملة. أسماء المنتجات المذكورة هنا هي لأغراض التعريف فقط وقد تكون علامات تجارية و / أو علامات تجارية مسجلة لشركاتها المعنية. هذا المستند ملكية وسرية لشركة الاتصالات المتكاملة.

بيان سياسة الأمن PII

تلتزم إدارة شركة الاتصالات المتكاملة بتلبية المتطلبات ، والحفاظ على أمن معلومات التعريف الشخصية الفعالة (PII) وتحسينه باستمرار والذي يحمي أصول المعلومات وكذلك الملكية الفكرية لSalam والعملاء.

نحن سوف:

  • ضمان الامتثال لتشريعات حماية معلومات تحديد الهوية الشخصية المعمول بها والشروط التعاقدية المتفق عليها بين Salam ومعالج سحابي PII وعملائه (عملاء الخدمة السحابية).
  • وضع تدابير لجعل الموظفين المعنيين على دراية بالعواقب المحتملة على معالج معلومات تحديد الهوية الشخصية السحابية العامة ، وعلى الموظف وعلى مبدأ معلومات تحديد الهوية الشخصية لانتهاك قواعد وإجراءات الخصوصية أو الأمان ، لا سيما تلك التي تتناول معالجة معلومات تحديد الهوية الشخصية.
  • معالجة المعدات التي تحتوي على وسائط تخزين قد تحتوي على معلومات تحديد الهوية الشخصية ، لأغراض التخلص الآمن أو إعادة الاستخدام ، كما لو كانت كذلك.
  • تزويد عملاء الخدمة السحابية بالوسائل التي تمكنهم من الوفاء بالتزاماتهم لتسهيل ممارسة حقوق مديري معلومات تحديد الهوية الشخصية للوصول إلى معلومات تحديد الهوية الشخصية الخاصة بهم وتصحيحها و / أو محوها.

تحديد جميع معلومات التعريف الشخصية المقيمين في بيئة Salam

لا تستطيع المنظمة حماية معلومات تحديد الهوية الشخصية التي لا تعرف عنها بشكل صحيح. يتبع Salam هذا التعريف الواسع لمعلومات تحديد الهوية الشخصية لتحديد أكبر عدد ممكن من المصادر المحتملة لمعلومات تحديد الهوية الشخصية (على سبيل المثال ، قواعد البيانات ومحركات الشبكة المشتركة وأشرطة النسخ الاحتياطي ومواقع المقاول). معلومات التعريف الشخصية هي - أي معلومات عن الفرد يحتفظ بها Salam ، بما في ذلك

  1. أي معلومات يمكن استخدامها لتمييز أو تتبع هوية الفرد ، مثل الاسم أو رقم الضمان الاجتماعي أو تاريخ ومكان الميلاد أو اسم الأم قبل الزواج أو السجلات الحيوية ؛ و
  2. أي معلومات أخرى مرتبطة أو مرتبطة بفرد ، مثل المعلومات الطبية والتعليمية والمالية والتوظيفية.

تتضمن أمثلة معلومات تحديد الهوية الشخصية في Salam ، على سبيل المثال لا الحصر

  • الاسم ، مثل الاسم الكامل أو الاسم قبل الزواج أو اسم الأم أو الاسم المستعار
  • رقم التعريف الشخصي ، مثل رقم بطاقة الهوية الوطنية (SID) أو رقم جواز السفر أو رقم رخصة القيادة أو رقم تعريف دافع الضرائب أو رقم الحساب المالي أو بطاقة الائتمان
  • معلومات العنوان ، مثل عنوان الشارع أو عنوان البريد الإلكتروني
  • الخصائص الشخصية ، بما في ذلك الصورة الفوتوغرافية (خاصة للوجه أو أي خصائص تعريفية أخرى) ، أو بصمات الأصابع ، أو الكتابة اليدوية ، أو بيانات القياسات الحيوية الأخرى (مثل مسح شبكية العين ، والتوقيع الصوتي ، وهندسة الوجه).
  • معلومات حول فرد مرتبط أو يمكن ربطه بأي مما سبق (على سبيل المثال ، تاريخ الميلاد ، مكان الميلاد ، العرق ، الدين ، الوزن ، الأنشطة ، المؤشرات الجغرافية ، معلومات التوظيف ، المعلومات الطبية ، المعلومات التعليمية ، المعلومات المالية).

التقليل من استخدام ، وجمع ، والاحتفاظ بمعلومات التعريف الشخصية

يجب أن يقلل Salam من استخدام ، وجمع ، والاحتفاظ بمعلومات التعريف الشخصية إلى ما هو ضروري للغاية لإنجاز غرضه ومهمته التجارية. وبالتالي ، يجب على Salam أن يقلل بشكل كبير من احتمالية الضرر الناجم عن خرق يتعلق بمعلومات التعريف الشخصية.

يجب على Salam -

  • مراجعة المقتنيات الحالية لمعلومات التعريف الشخصية بانتظام والتأكد من أنها دقيقة وذات صلة وفي الوقت المناسب وكاملة ؛
  • تقليل حيازات معلومات التعريف الشخصية إلى الحد الأدنى الضروري لأداء وظائفها بشكل صحيح ؛
  • وضع جدول زمني للمراجعة الدورية لممتلكات PII ؛
  • ضع خطة للتخلص من الجمع غير الضروري واستخدام SIDs.
  • اتبع سياسة فيما يتعلق بإرجاع معلومات تحديد الهوية الشخصية ونقلها و / أو التخلص منها وستجعل هذه السياسة متاحة لعملاء الخدمة السحابية.

يجب أن يضمن Salam -

  • لا تتم معالجة معلومات تحديد الهوية الشخصية التي ستتم معالجتها بموجب عقد لأي غرض مستقل عن تعليمات عميل الخدمة السحابية
  • لا يتم استخدام معلومات تحديد الهوية الشخصية التي تتم معالجتها بموجب عقد لأغراض التسويق والإعلان دون موافقة صريحة. يجب ألا تكون هذه الموافقة شرطًا للحصول على الخدمة.
  • يتم مسح الملفات والوثائق المؤقتة أو إتلافها خلال فترة محددة وموثقة
  • يتطلب العقد المبرم بين Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، وعميل الخدمة السحابية من Salam إخطار عميل الخدمة السحابية ، وفقًا لأي إجراء وفترات زمنية متفق عليها في العقد ، بأي طلب ملزم قانونًا للإفصاح عن معلومات تحديد الهوية الشخصية بواسطة سلطة إنفاذ القانون ، ما لم يكن هذا الإفشاء محظورًا بخلاف ذلك.
  • يتم تسجيل عمليات الكشف عن معلومات تحديد الهوية الشخصية لأطراف ثالثة ، بما في ذلك معلومات تحديد الهوية الشخصية التي تم الكشف عنها ولمن وفي أي وقت.
  • يجب الإفصاح عن استخدام متعاقدين من الباطن من قبل Salam ، بصفته معالج المعلومات الشخصية السحابية العامة ، لمعالجة معلومات تحديد الهوية الشخصية لعملاء الخدمة السحابية ذات الصلة قبل استخدامها
  • يقوم Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، بإخطار عميل الخدمة السحابية ذي الصلة على الفور في حالة حدوث أي وصول غير مصرح به إلى معلومات تحديد الهوية الشخصية أو الوصول غير المصرح به إلى معدات أو مرافق المعالجة مما يؤدي إلى فقدان معلومات تحديد الهوية الشخصية أو الكشف عنها أو تغييرها.
  • يتم الاحتفاظ بنسخ من سياسات الأمان وإجراءات التشغيل لفترة محددة وموثقة عند الاستبدال (بما في ذلك التحديث).
  • يخضع الأفراد الخاضعون لسيطرتها والذين لديهم إمكانية الوصول إلى معلومات تحديد الهوية الشخصية لالتزام بالسرية
  • إنشاء مواد ورقية تعرض معلومات تحديد الهوية الشخصية محظور
  • هناك إجراء وسجل لجهود استعادة البيانات
  • معلومات التعريف الشخصية على وسائل الإعلام التي تغادر مقر Salam تخضع لإجراءات ترخيص ويجب ألا تكون في متناول أي شخص آخر غير الأفراد المصرح لهم
  • لا يتم استخدام الوسائط المادية المحمولة والأجهزة المحمولة التي لا تسمح بالتشفير إلا في الحالات التي لا يمكن تجنبها فيها ، ويجب توثيق أي استخدام لهذه الوسائط والأجهزة المحمولة
  • يتم تشفير معلومات PII التي يتم إرسالها عبر شبكات نقل البيانات العامة قبل الإرسال
  • حيث يتم إتلاف المواد المطبوعة ، يتم إتلافها بشكل آمن باستخدام آليات مثل مثل القطع العرضي ، والتقطيع ، والحرق ، واللب ، وما إلى ذلك.
  • إذا كان لدى أكثر من فرد حق الوصول إلى معلومات PII المخزنة ، فسيكون لكل منهم معرف مستخدم مميز لتحديد الهوية والمصادقة والتخويل
  • يتم الاحتفاظ بسجل محدث للمستخدمين أو ملفات تعريف المستخدمين الذين لديهم حق الوصول إلى نظام المعلومات
  • لا يتم منح معرفات المستخدم التي تم إلغاء تنشيطها أو منتهية الصلاحية لأفراد آخرين
  • تحدد العقود المبرمة بين عميل الخدمة السحابية وITC الحد الأدنى من التدابير الفنية والتنظيمية لضمان أن الترتيبات الأمنية المتعاقد عليها سارية وأن البيانات لا تتم معالجتها لأي غرض مستقل عن تعليمات وحدة التحكم. يجب ألا تخضع هذه الإجراءات للتخفيض من جانب واحد بواسطة معالج معلومات تحديد الهوية الشخصية السحابية العامة.
  • تحدد العقود المبرمة بين Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، وأي مقاولين فرعيين يعالجون معلومات تحديد الهوية الشخصية ، الحد الأدنى من التدابير الفنية والتنظيمية التي تفي بأمن المعلومات والتزامات حماية معلومات تحديد الهوية الشخصية لمعالج المعلومات السحابية العامة. لا ينبغي أن تخضع هذه التدابير للتخفيض من جانب واحد من قبل المقاول من الباطن.
  • عندما يتم تخصيص مساحة تخزين البيانات لعميل الخدمة السحابية ، فإن أي بيانات موجودة مسبقًا على مساحة التخزين هذه لا تكون مرئية لعميل الخدمة السحابية هذا.
  • يتم تحديد وتوثيق البلدان التي قد يتم تخزين معلومات تحديد الهوية الشخصية فيها.
  • تخضع معلومات تحديد الهوية الشخصية المرسلة باستخدام شبكة نقل البيانات إلى الضوابط المناسبة المصممة لضمان وصول البيانات إلى وجهتها المقصودة

تصنيف PII

يجب تقييم معلومات التعريف الشخصية في Salam لتحديد مستوى تأثير سرية معلومات تحديد الهوية الشخصية بحيث يمكن تطبيق الضمانات المناسبة على معلومات التعريف الشخصية.

يجب تصنيف مستوى تأثير سرية معلومات تحديد الهوية الشخصية على أنه منخفض أو متوسط أو مرتفع للإشارة إلى الضرر المحتمل الذي قد ينتج عن الأفراد الخاضعين و / أو المنظمة إذا تم الوصول إلى معلومات تحديد الهوية الشخصية أو استخدامها أو الكشف عنها بشكل غير لائق.

يجب أن يستخدم Salam العوامل التالية لتحديد مستوى تأثير سرية معلومات تحديد الهوية الشخصية.

تحديد الهوية

يجب على Salam تقييم مدى سهولة استخدام معلومات التعريف الشخصية لتحديد أفراد معينين. على سبيل المثال ، يحدد SID بشكل فريد ومباشر فردًا ، بينما يحدد رمز منطقة الهاتف مجموعة من الأشخاص.

كمية PII

يجب على Salam النظر في عدد الأفراد الذين يمكن التعرف عليهم من معلومات تحديد الهوية الشخصية. قد يكون لخرق 25 سجلاً و 25 مليون سجل تأثيرات مختلفة. يجب رفع مستوى تأثير سرية معلومات تحديد الهوية الشخصية فقط وليس خفضه بناءً على هذا العامل.

حساسية مجال البيانات

يجب على Salam تقييم حساسية كل حقل بيانات فردي لمعلومات تحديد الهوية الشخصية. على سبيل المثال ، يكون رقم SID أو رقم الحساب المالي للفرد أكثر حساسية بشكل عام من رقم هاتف الفرد أو الرمز البريدي.

يجب أن ينظر Salam أيضًا في عدد الأفراد الذين يمكن التعرف عليهم من معلومات تحديد الهوية الشخصية. قد يكون لخرق 25 سجلاً و 25 مليون سجل تأثيرات مختلفة. يجب رفع مستوى تأثير سرية معلومات تحديد الهوية الشخصية فقط وليس خفضه بناءً على هذا العامل.

يجب على Salam أيضًا تقييم حساسية حقول بيانات معلومات تحديد الهوية الشخصية عند دمجها.

سياق الاستخدام

يجب على Salam تقييم سياق الاستخدام - الغرض الذي من أجله يتم جمع معلومات التعريف الشخصية أو تخزينها أو استخدامها أو معالجتها أو الكشف عنها أو نشرها. قد يتسبب سياق الاستخدام في تخصيص نفس مستويات تأثير سرية معلومات تحديد الهوية الشخصية (PII) إلى نفس عناصر بيانات PII بناءً على استخدامها. على سبيل المثال ، افترض أن Salam لديه قائمتين تحتويان على نفس حقول بيانات PII (مثل الاسم والعنوان ورقم الهاتف). القائمة الأولى هي الأشخاص الذين يشتركون في نشرة إخبارية للمصالح العامة تصدرها المنظمة ، والقائمة الثانية هي الأشخاص الذين يعملون متخفيين في إنفاذ القانون. إذا تم انتهاك سرية القوائم ، فإن التأثيرات المحتملة على الأفراد المتضررين والمؤسسة تختلف اختلافًا كبيرًا لكل قائمة.

التزامات حماية السرية

إذا كان Salam خاضعًا لأية التزامات لحماية معلومات التعريف الشخصية ، فيجب عليه مراعاة هذه الالتزامات عند تحديد مستوى تأثير سرية معلومات تحديد الهوية الشخصية. تشمل التزامات الحماية بشكل عام القوانين أو اللوائح أو غيرها من التفويضات.

الوصول إلى وموقع PII

يجب على Salam أن يأخذ في الاعتبار طبيعة الوصول المصرح به إلى معلومات التعريف الشخصية وموقعها. عندما يتم الوصول إلى PII في كثير من الأحيان أو من قبل المزيد من الأشخاص والأنظمة ، أو يتم نقل PII بشكل منتظم أو نقله خارج الموقع ، فهناك المزيد من الفرص للتنازل عن سرية PII.

تطبيق الضمانات الخاصة بمعلومات التعريف الشخصية بناءً على مستوى تأثير سرية معلومات تحديد الهوية الشخصية

نظرًا لأنه لا يمكن حماية جميع معلومات تحديد الهوية الشخصية بنفس الطريقة ، فقد يطبق Salam ضمانات مناسبة لحماية سرية معلومات تحديد الهوية الشخصية استنادًا إلى مستوى تأثير سرية معلومات تحديد الهوية الشخصية.

قد يقوم Salam بالضمانات التشغيلية التالية ، والضمانات الخاصة بالخصوصية ، والضوابط الأمنية حسب الاقتضاء.

إنشاء السياسات والإجراءات

يجب على Salam تطوير سياسات وإجراءات شاملة لحماية سرية معلومات التعريف الشخصية.

إجراء التدريب

يجب أن يقلل Salam من إمكانية الوصول إلى معلومات التعريف الشخصية أو استخدامها أو الكشف عنها بشكل غير لائق من خلال المطالبة بتلقي جميع الأفراد التدريب المناسب قبل منحهم حق الوصول إلى الأنظمة التي تحتوي على معلومات تحديد الهوية الشخصية.

إلغاء تحديد PII

قد يقوم Salam بإلغاء تحديد السجلات عن طريق إزالة معلومات PII كافية بحيث لا تحدد المعلومات المتبقية أي فرد ولا يوجد أساس معقول للاعتقاد بأنه يمكن استخدام المعلومات لتحديد هوية الفرد. يمكن استخدام السجلات مجهولة الهوية عندما لا تكون السجلات الكاملة ضرورية ، مثل اختبارات الارتباطات والاتجاهات.

استخدام فرض الوصول

قد يتحكم Salam في الوصول إلى معلومات التعريف الشخصية من خلال سياسات التحكم في الوصول وآليات إنفاذ الوصول (على سبيل المثال ، قوائم التحكم في الوصول).

تنفيذ التحكم في الوصول للأجهزة المحمولة

قد يحظر Salam أو يحد بشكل صارم من الوصول إلى معلومات تحديد الهوية الشخصية من الأجهزة المحمولة والمتنقلة ، مثل أجهزة الكمبيوتر المحمولة والهواتف المحمولة والمساعدات الرقمية الشخصية (PDA) ، والتي تعد بشكل عام أكثر خطورة من الأجهزة غير المحمولة

توفير سرية الإرسال

يجوز Salam حماية سرية معلومات تحديد الهوية الشخصية المرسلة. يمكن تحقيق ذلك عن طريق تشفير الاتصالات أو تشفير المعلومات قبل إرسالها.

أحداث التدقيق

قد يقوم Salam بمراقبة الأحداث التي تؤثر على سرية معلومات التعريف الشخصية ، مثل الوصول غير المناسب إلى معلومات التعريف الشخصية.

نقل معلومات التعريف الشخصية

عندما يتم استخدام الوسائط المادية لنقل المعلومات ، يجب وضع نظام لتسجيل الوسائط المادية الواردة والصادرة التي تحتوي على معلومات تحديد الهوية الشخصية ، بما في ذلك نوع الوسائط المادية ، والمرسل / المستلمون المعتمدون ، والتاريخ والوقت ، وعدد الوسائط المادية . حيثما أمكن ، سيُطلب من عملاء الخدمة السحابية وضع تدابير إضافية (مثل التشفير) لضمان إمكانية الوصول إلى البيانات فقط في نقطة الوجهة وليس في الطريق.

دليل مستقل على أمن المعلومات

في الحالات التي تكون فيها عمليات تدقيق عملاء الخدمة السحابية الفردية غير عملية أو قد تزيد من المخاطر على الأمن ، يجب أن يتيح Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، لعملاء الخدمة السحابية المحتملين ، قبل الدخول في عقد ، وطوال مدته ، بشكل مستقل. دليل على أن أمن المعلومات يتم تنفيذه وتشغيله وفقًا لسياسات وإجراءات معالج السحاب PII العام.

خطة الاستجابة للحوادث للتعامل مع الانتهاكات التي تنطوي على معلومات تحديد الهوية الشخصية

يجب أن تؤدي حادثة أمن المعلومات إلى مراجعة بواسطة معالج معلومات تحديد الهوية الشخصية السحابية العامة ، كجزء من عملية إدارة حوادث أمن المعلومات ، لتحديد ما إذا كان قد حدث خرق للبيانات يتضمن معلومات تحديد الهوية الشخصية

تعد الانتهاكات التي تنطوي على معلومات تحديد الهوية الشخصية خطرة على كل من الأفراد والمنظمات. يمكن احتواء الضرر الذي يلحق بالأفراد والمنظمات وتقليله من خلال تطوير خطط استجابة فعالة للحوادث للانتهاكات التي تنطوي على معلومات تحديد الهوية الشخصية.

يجب أن يضع Salam خططًا تتضمن عناصر مثل تحديد متى وكيف يجب إخطار الأفراد ، وكيفية الإبلاغ عن الخرق ، وما إذا كان سيتم تقديم خدمات علاجية ، مثل مراقبة الائتمان ، للأفراد المتضررين.

التنسيق لمعلومات التعريف الشخصية

يجب على Salam إنشاء تنسيق وثيق بين جميع الموظفين المسؤولين عن معلومات التعريف الشخصية. قد يقترحون وينفذون ضوابط أمنية تقنية لفرض سرية معلومات تحديد الهوية الشخصية. يجب أن يساعد التنسيق الوثيق للخبراء المعنيين في منع الحوادث التي يمكن أن تؤدي إلى حل وسط وسوء استخدام معلومات التعريف الشخصية من خلال ضمان التفسير المناسب وتنفيذ المتطلبات.

الاتفاقيات التعاقدية لمعلومات التعريف الشخصية

يجب أن تحدد الاتفاقيات التعاقدية التي تتضمن معلومات تحديد الهوية الشخصية المسؤوليات بوضوح بين Salam باعتباره معالج المعلومات الشخصية السحابية العامة والمقاولين الفرعيين وعميل الخدمة السحابية ، مع مراعاة نوع الخدمة السحابية المعنية (على سبيل المثال خدمة فئة IaaS أو PaaS أو SaaS للبنية المرجعية للحوسبة السحابية).

يجب على Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، تعيين نقطة اتصال ليستخدمها كل عميل من عملاء الخدمة السحابية فيما يتعلق بمعالجة معلومات تحديد الهوية الشخصية بموجب العقد.

تسجيل الأحداث لمعلومات تحديد الهوية الشخصية

يجب وضع عملية لمراجعة سجلات الأحداث بتواتر محدد وموثق إلى تحديد المخالفات واقتراح جهود العلاج.

حيثما أمكن ، يجب أن تسجل سجلات الأحداث ما إذا كان قد تم تغيير معلومات تحديد الهوية الشخصية (إضافة أو تعديلها أو حذفها) نتيجة لحدث ومن قبل من.

يجب على Salam ، بصفته معالج معلومات تحديد الهوية الشخصية السحابية العامة ، تحديد المعايير المتعلقة بما إذا كانت معلومات السجل متاحة أو قابلة للاستخدام بواسطة عميل الخدمة السحابية ومتى وكيف يمكن ذلك. يجب أن تكون هذه الإجراءات متاحة لعملاء الخدمة السحابية.

عندما يُسمح لعميل الخدمة السحابية بالوصول إلى سجلات السجل التي يتحكم فيها Salam باعتباره معالج معلومات تحديد الهوية الشخصية السحابية العامة ، يجب على Salam التأكد من أن عميل الخدمة السحابية يمكنه فقط الوصول إلى السجلات المتعلقة بأنشطة عميل الخدمة السحابية المعنية ، ولا يمكنه الوصول إلى أي سجلات سجل والتي تتعلق بأنشطة عملاء الخدمة السحابية الآخرين.

يجب أن يتخذ Salam تدابير لضمان عدم استخدام المعلومات المسجلة إلا للأغراض المقصودة منها.

يجب أن يضع Salam إجراءً لضمان حذف المعلومات المسجلة خلال فترة محددة وموثقة.