سياسة أمن المعلومات
مقدمة
!تأمين بياناتك هو أولوية قصوى!!
Empuls تلتزم بضمان نزاهة وسرية وتوافر وأمن أصولها المادية والمعلوماتية والحفاظ على خصوصيتها لخدمة احتياجات العملاء والمؤسسة مع تلبية المتطلبات القانونية والتشريعية والتنظيمية المناسبة.
ولتوفير الحماية الكافية لأصول المعلومات، قامت Empuls ببناء نظام إدارة أمن المعلومات (ISMS) الذي يتضمن السياسات ذات الصلة التي يجب اتباعها بطريقة دؤوبة ومتسقة ونزيهة. Empuls ستنفذ الشركة إجراءات وضوابط على جميع المستويات لحماية سرية وسلامة المعلومات المخزنة والمعالجة على أنظمتها وضمان إتاحة المعلومات للأشخاص المصرح لهم فقط عند الحاجة.
الوعد Empuls
Empuls تلتزم بالامتثال لجميع اللوائح والقوانين المعمول بها في جميع المواقع والبلدان المتعلقة بعملياتها ومعالجة المعلومات.
Empuls تأخذ سلامة البيانات وأمنها على محمل الجد. يثق بنا أكثر من مليوني عميل في جميع أنحاء العالم في أمن بياناتهم. ونظراً لطبيعة المنتج والخدمة التي نقدمها، فمن المهم أن نقر بمسؤولياتنا كمراقب للبيانات وكذلك كمعالج للبيانات.
يُعد أمن بيانات العملاء جزءاً أساسياً من منتجاتنا وعملياتنا وثقافة فريق العمل لدينا. تتسم منشآتنا وعملياتنا وأنظمتنا بالموثوقية والقوة والاختبار من قِبل مؤسسات مراقبة الجودة وأمن البيانات ذات السمعة الطيبة. نحن نبحث باستمرار عن فرص لإدخال تحسينات في المشهد التكنولوجي الديناميكي ومنحك نظاماً آمناً للغاية وقابلاً للتطوير لتوفير تجربة رائعة. Empuls يتيح لك تقديم تجربة اشتراك آمنة على مستويات مختلفة من خلال -
- تأمين بياناتك مع الامتثال للائحة العامة لحماية البيانات (GDPR).
- ضمان أمن البيانات الداخلية لبياناتك التي تقع على عاتقك Empuls مع الالتزام بمتطلبات ISO 27001، ومتطلبات الامتثال لـ SOC 2.
- أمن الشبكة ضمن Empuls: سياسات أمن الشبكة والتطبيقات والمستوى التشغيلي التي نتبعها على مستوى الشبكة والتطبيقات والمستوى التشغيلي.
- فريق الحوكمة والمخاطر والامتثال لضمان أفضل الممارسات والمعايير عبر الموظفين والفرق.
شهادة ISO 27001
ISO/IEC 27001:2013 مكرر مواصفات نظام إدارة أمن المعلومات (ISMS). نظام إدارة أمن المعلومات هو إطار عمل من السياسات والإجراءات التي تشمل جميع الضوابط القانونية والمادية والتقنية التي تنطوي عليها عمليات إدارة مخاطر المعلومات في المؤسسة بهدف الحفاظ على أمن المعلومات. مع وجود نظام إدارة أمن المعلومات القوي (ISMS) الخاص بالأيزو (ISMS)، ستحصل على طمأنينة إضافية بأن مجموعة كاملة من أفضل الممارسات الأمنية يتم تنفيذها في جميع أنحاء المؤسسة. Empuls حاصل على شهادة الأيزو 27001:2013 ونحن ملتزمون بتحديد المخاطر وتقييم الآثار المترتبة عليها ووضع ضوابط منهجية توحي بالثقة في كل ما نقوم به - بدءاً من قاعدة رموزنا إلى البنية التحتية المادية إلى ممارسات الأفراد.
الهدف الأساسي لمعيار ISO 27001 هو حماية ثلاثة جوانب من المعلومات:
- السرية: يحق للأشخاص المصرح لهم فقط الوصول إلى المعلومات.
- النزاهة: يمكن للأشخاص المصرح لهم فقط تغيير المعلومات.
- الإتاحية: يجب أن تكون المعلومات متاحة للأشخاص المصرح لهم كلما دعت الحاجة إليها.
درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة
Empuls يتوافق مع درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة من خلال الالتزام بالمبادئ وحماية حقوق أي شخص في الاتحاد الأوروبي يتم نقل بياناته الشخصية إلى الولايات المتحدة بالإضافة إلى توفير الوضوح القانوني للشركات التي تعتمد على عمليات نقل البيانات عبر المحيط الأطلسي.
اللائحة العامة لحماية البيانات (GDPR)
اللائحة العامة لحماية البيانات إنها واحدة من أهم التغييرات التي أُدخلت على لوائح خصوصية البيانات في العقدين الأخيرين. فهي تضع إطارًا جديدًا للتعامل مع البيانات الشخصية للمقيمين في الاتحاد الأوروبي وحمايتها، وهي سارية المفعول منذ 25 مايو 2018. وهي توفر لمواطني الاتحاد الأوروبي تحكمًا أكبر في بياناتهم الشخصية وتضمن لهم حماية معلوماتهم.
نحن في Empuls ، نساعد مستخدمينا على فهم اللائحة العامة لحماية البيانات (GDPR) والامتثال لها عند الاقتضاء. تم تقديم اللائحة العامة لحماية البيانات (GDPR) لربط كل دولة عضو في الاتحاد الأوروبي بقانون واحد ومتناسق لحماية البيانات. وهو القانون الأوروبي الأكثر شمولاً لخصوصية البيانات منذ عقود.
Empulsالتزامها باللائحة العامة لحماية البيانات (GDPR)
Empuls تلتزم التزامًا تامًا بالتمسك بالحقوق الممنوحة لأصحاب البيانات بموجب قوانين حماية البيانات المعمول بها وتولي عناية فائقة ببياناتهم الشخصية. يثق بنا أكثر من مليوني عميل في جميع أنحاء العالم في أمن بياناتهم. ونظراً لطبيعة المنتج والخدمة التي نقدمها، فمن المهم أن نقر بمسؤولياتنا كمراقب للبيانات وكذلك كمعالج للبيانات.
يُعد أمن بيانات العملاء جزءاً أساسياً من منتجاتنا وعملياتنا وثقافة فريق العمل لدينا. تتسم منشآتنا وعملياتنا وأنظمتنا بالموثوقية والقوة والاختبار من قِبل مؤسسات مراقبة الجودة وأمن البيانات المشهورة. نحن نبحث باستمرار عن فرص لإدخال تحسينات على المشهد التكنولوجي الديناميكي ومنحك نظاماً آمناً للغاية وقابلاً للتطوير لتوفير تجربة رائعة.
الأمن المادي وأمن الشبكة
Empuls يتم استضافتها على منصة أمازون - AWS وبنيتها التحتية. Empuls لا يتمتع الموظفون بأي وصول مادي إلى بيئة الإنتاج لدينا. وبصفتنا أحد عملاء Amazon - AWS، فإننا نستفيد من مركز بيانات وبنية شبكة مصممة لتلبية متطلبات المؤسسات الأكثر حساسية من الناحية الأمنية.
توجد مراكز بيانات AWS في منشآت غير موصوفة، مع سواتر مراقبة محيطية من الدرجة العسكرية مع موظفي أمن محترفين يستخدمون المراقبة بالفيديو، وأحدث أنظمة كشف التسلل والوسائل الإلكترونية الأخرى.
بالإضافة إلى ذلك وبصرف النظر عن الأمان المادي، توفر منصة AWS أيضًا حماية كبيرة ضد مشكلات أمان الشبكة التقليدية بما في ذلك -
- الحرمان من الخدمة الموزعة (DDoS).
- هجمات الرجل في الوسط (MITM).
- الهجماتالمسح الضوئي للمنافذ
- استنشاق الحزم من قبل مستأجرين آخرين.
العمليات الإدارية
Empuls نستخدم المصادقة الثنائية لمنح حق الوصول لعملياتنا الإدارية - البنية التحتية والخدمات على حد سواء. نضمن منح الامتيازات الإدارية لعدد قليل من الموظفين فقط. بالإضافة إلى ذلك، يتم استخدام الوصول المستند إلى الأدوار لضمان حصول مستخدمين محددين على العمليات المطلوبة فقط والمسموح بها لمستخدمين محددين وفقاً لسياسة التحكم في الوصول.
يتم تسجيل جميع عمليات الوصول الإداري ومراقبتها تلقائيًا من قبل فريق الأمن الداخلي لدينا. يتم توثيق معلومات مفصلة عن وقت/سبب تنفيذ العمليات وإبلاغ فريق الأمن بها قبل إجراء أي تغييرات في بيئة الإنتاج.
Empuls قامت بنشر شبكة تكنولوجيا المعلومات لتسهيل أعمالها وجعلها أكثر كفاءة لمختلف المخاطر. ووضع توجيهات الإدارة ومبادئها ومتطلباتها القياسية لضمان الحفاظ على الحماية المناسبة للمعلومات على شبكاتها واستدامتها. وهناك بعض الضوابط التي تم وضعها لتحقيق حماية المعلومات المتبادلة من الاعتراض والنسخ والتعديل والتحويل الخاطئ والتدمير على النحو التالي
أمن المضيف
مفاتيح SSH مطلوبة للوصول إلى وحدة التحكم في خوادمنا ويتم تحديد كل تسجيل دخول بواسطة مستخدم. يتم تسجيل جميع العمليات الحرجة على خادم سجل مركزي ولا يمكن الوصول إلى خوادمنا إلا من عناوين IP المقيدة والآمنة.
يتم تجزئة المضيفين، ويتم تقييد عمليات الوصول بناءً على الوظائف. أي أن طلبات التطبيقات مسموح بها فقط من خوادم AWS ELB ويمكن الوصول إلى خوادم قواعد البيانات فقط من خوادم التطبيقات.
أمان التطبيق
الوصول الآمن - Empuls جميع خوادم التطبيقات الخاصة بـ كلها آمنة HTTPS. نحن نستخدم التشفير المتوافق مع معايير الصناعة لعبور البيانات من خوادم التطبيقات وإليها.
البرمجة النصية عبر المواقع (المعروفة أيضًا باسم XSS) - يتم ترميز جميع مدخلات المستخدم بشكل جيد عند عرضها لضمان تخفيف ثغرات XSS.
تزوير الطلبات عبر المواقع (CSRF) - يتم التحقق من جميع طلبات POST بحثًا عن رمز CSRF المميز قبل معالجة الطلب.
حقن SQL - نستخدم العبارات المعدة مسبقًا للوصول إلى قاعدة البيانات لتجنب هجمات حقن SQL.
تخزين البيانات المشفرة - Empuls لا يخزن أي معلومات حساسة للمستخدم. مفاتيح خدمات الجهات الخارجية المختلفة (مثل بوابة الدفع) - إذا تم تخزينها، تكون جميعها في شكل مشفر في قاعدة البيانات.
فحص الثغرات الأمنية وتصحيحها - نقومبشكل دوري بفحص وتطبيق التصحيحات لبرامج/خدمات الطرف الثالث. وعندما يتم اكتشاف الثغرات الأمنية نقوم بتطبيق الإصلاحات. نقوم بإجراء تقييم دوري للثغرات الأمنية واختبار الاختراق باستخدام خدمات بائع معتمد.
تخزين البيانات وتكرارها
نحن نستخدم RDS من أمازون لقاعدة بياناتنا. تم تكوين ميزة النسخ الاحتياطي التلقائي لـ RDS. نقوم بنسخ البيانات احتياطيًا لمدة تصل إلى 30 يومًا. لقد قمنا بتكوين Amazon RDS في Multi-AZ الذي يوفر توافرًا ومتانة محسّنة. تعمل كل منطقة AZ على بنية تحتية مستقلة ومتميزة ماديًا خاصة بها، وهي مصممة لتكون موثوقة للغاية. اعرف المزيد.
الرصد
Empuls يستخدم كلاً من خدمات المراقبة الداخلية والخارجية المتعددة للتأكد من أن البيئة آمنة. سيقوم نظام المراقبة الخاص بنا بتنبيه الفرق المعنية من خلال رسائل البريد الإلكتروني والمكالمات الهاتفية في حال وجود أي أخطاء أو خلل في نمط الطلب.
الإفصاح
في Empuls ، نعمل باستمرار على جعل نظامنا آمنًا. إذا وجدت أي مشاكل أو كانت لديك أي استفسارات تتعلق بأمننا، يرجى مراسلتنا على الدعم علىempuls.io
