|
1. الهندسة المعمارية وفصل البيانات |
يجب أن تتواجد الخدمات التي يتم تشغيلها وعرضها في السحاب في بنية متعددة المسارات بحيث لا يمكن الاطلاع على إمكانية الوصول إلى بيانات العميل إلا بناء على إذن من الشركة. فإنه يوفر فصل البيانات المنطقية فعالة من خلال فريدة من نوعها تحديد الموظف الذي يسمح بالوصول إلى المعلومات على أساس امتيازات الدور. ويجب أن يتم الفصل بين البيانات بتوفير بيئات منفصلة لوظائف مختلفة، أي للاختبار والإنتاج.
وهذا يعطي السلطة مرة أخرى إلى العميل، وضمان أن تتم معالجة البيانات فقط عند تعليمات من العميل، في جميع أنحاء سلسلة كاملة من أنشطة التجهيز والامتثال للتدابير المنفذة يجب أن تخضع لعمليات التدقيق.
وعلى أساس سنوي على األقل، سيتعين على جميع الخدمات المقدمة أن تمر بتقييمات أمنية يقوم بها موظفون داخليون يشمل تقييم هشاشة البنية التحتية وتقييمات أمن التطبيقات.
وسوف يتم الاحتفاظ بجميع الأنظمة المستخدمة في نقل الخدمات المقدمة بما في ذلك أنظمة التشغيل ومعلومات السجل إلى مرفق سجل نظام التطبيق الخاص بها أو خادم سجل نظام مركزي (لأنظمة الشبكات) من أجل تمكين عمليات الاستعراض والتحليل الأمنية، وسجلات النظام والتطبيق (60) يوما.
الخدمات المقدمة المقدمة من خلال متصفح الإنترنت أو التطبيق المحمول يجب أن يكون مجموعة متنوعة من ميزات الأمان التي هي شكلي. وتشمل عناصر التحكم هذه، على سبيل المثال لا الحصر، ما يلي: |
|
• |
معرفات المستخدم كمعرفات فريدة للمستخدم للتأكد من أن الأنشطة يمكن أن تعزى إلى الفرد. |
• |
استخدام عناصر التحكم ريكابتشا لتحدي الوصول بعد عدة محاولات تسجيل الدخول الفاشلة متتالية. |
• |
إنهاء جلسة مستخدم بعد فترة من عدم النشاط. |
• |
للسيطرة على طول كلمة السر. |
• |
لمطابقة متطلبات تعقيد كلمة المرور. |
|
6. السياسات واإلجراءات األمنية |
يجب تشغيل الخدمات المقدمة وفقا للسياسات والإجراءات التالية لتعزيز الأمن: |
|
• |
يتم الاحتفاظ كلمات السر المستخدم باستخدام شكل تجزئة المملحة ولا تنتقل غير مشفرة. |
• |
سيتم الاحتفاظ إدخالات سجل الدخول المستخدم، التي تحتوي على التاريخ والوقت، ورل تنفيذها أو معرف الكيان تعمل على وتشغيلها (ينظر إليها، تحريرها، وما إلى ذلك) وعنوان إب المصدر. لاحظ أن عنوان إب المصدر قد لا يكون متاحا إذا تم استخدام نات (ترجمة عنوان الشبكة) أو بات (ترجمة عنوان المنفذ) من قبل العميل أو مزود خدمة الإنترنت. |
• |
سيتم تخزين السجلات في مضيف مركزي آمن لمنع العبث. |
• |
لا يتم تسجيل كلمات المرور. |
يجب مراقبة الخدمات المعروضة لعمليات الاقتحام غير المصرح بها باستخدام آليات الكشف عن التسلل عبر الشبكة من قبل المطور أو الطرف الثالث المخصص لهذه المهمة. قد يتم تحليل البيانات التي تم جمعها من قبل متصفحات الويب للمستخدمين (مثل نوع الجهاز ودقة الشاشة والمنطقة الزمنية وإصدار نظام التشغيل ونوع المتصفح والإصدار وخطوط النظام والمكونات الإضافية المثبتة للمتصفح وتمكين أنواع مايم وما إلى ذلك) لأغراض منع المصادقة الاحتيالية، ولضمان أن الخدمات المقدمة وظيفة بشكل صحيح.
يحتاج مقدم الخدمة إلى الحفاظ على سياسات وإجراءات إدارة الحوادث الأمنية، وإعلام العملاء المتأثرين دون تأخير لا داعي له من أي إفشاء غير مصرح به لبيانات العملاء الخاصة بهم من قبل المطور أو وكلائه والتي يصبح المطور على علم إلى الحد الذي يسمح به القانون.
جميع الوصول إلى الخدمات المعروضة من خلال متصفح الإنترنت، موبايل التطبيق أو عن طريق أبي، يتطلب مجموعة من هوية المستخدم صالحة وكلمة المرور التي يتم تشفيرها عبر هتبس أثناء نقلها. بعد نجاح المصادقة، يتم إنشاء معرف جلسة عمل عشوائي وتخزينه في متصفح المستخدم للحفاظ على حالة الجلسة وتتبعها.
إذا كانت مراكز بيانات الإنتاج المستخدمة لتوفير الخدمات المغطاة يتم التعامل معها من قبل خدمات خارجية، الحصول على تفاصيل عملية الأمن المعروفة مثل هذا: أوس سيكوريتي whitepaper.pdf
|
11. الموثوقية والنسخ الاحتياطي |
يتم تكوين جميع مكونات الشبكات، موازنات التحميل وخوادم الويب وخوادم التطبيقات في تكوين زائدة عن الحاجة. يتم تخزين كافة بيانات العملاء المقدمة إلى الخدمات المغطاة على خادم قاعدة بيانات أساسي مع النسخ الاحتياطي التلقائي باستخدام ميزات الاسترداد نقطة في الوقت. سيتم الاحتفاظ بجميع النسخ الاحتياطية اليومية أمي لمدة لا تقل عن 2 أيام وسيتم الاحتفاظ النسخ الاحتياطي أمي أسبوعيا على الأقل شهر واحد.
يجب حماية أنظمة إنتاج الخدمات المقدمة من خلال خطة متعددة المستويات لاستعادة القدرة على العمل بعد الكوارث والتي توفر النسخ الاحتياطي للبيانات والخدمات الهامة. ويوجد نظام شامل لعمليات الانتعاش لإعادة النظم الحاسمة للأعمال التجارية عبر الإنترنت خلال فترة زمنية قصيرة. عمليات الاسترداد لقاعدة البيانات والأمن وإدارة النظم، وتكوين الشبكة والبيانات توفر خارطة طريق للموظفين لجعل العمليات المتاحة بعد انقطاع الخدمة.
لن تفحص الخدمات المعروضة بحثا عن الفيروسات التي يمكن تضمينها في المرفقات أو غيرها من البيانات التي يتم تحميلها في الخدمات المقدمة من قبل العملاء. لا يتم تنفيذ المرفقات المحملة في الخدمات المعروضة وبالتالي لن تضر أو تضر الخدمات عبر الإنترنت المقدمة بحكم تحتوي على فيروس.
يجب على الخدمات المعروضة استخدام منتجات التشفير المقبولة في الصناعة لحماية بيانات العملاء والاتصالات أثناء الإرسال بين شبكة العميل والخدمات المغطاة، بما في ذلك شهادات تلس 128 بت والمفاتيح العمومية رسا 2048 بت كحد أدنى.
تعاد بيانات العميل المقدمة إلى الخدمات المقدمة للعميل عند الطلب.
بعد إنهاء الخدمات المعروضة، يمكن للعملاء طلب حذف بيانات العميل المقدمة إلى الخدمات المعروضة، وتخضع هذه العملية للمتطلبات القانونية المعمول بها. سيتم حذف بيانات العميل المخزنة على البنية التحتية للخدمات المعروضة وفقا لذلك.
هام: قد لا يتم تقديم الأنواع التالية من البيانات الشخصية الحساسة إلى "الخدمات المقدمة": المعلومات المالية (مثل أرقام بطاقات الائتمان أو الخصم، أو أي رموز أمان أو كلمات مرور ذات صلة، وأرقام الحسابات المصرفية)؛ المعلومات المتعلقة بصحة الفرد البدنية أو العقلية؛ والمعلومات المتعلقة بتوفير أو دفع الرعاية الصحية. وللوضوح، لا تنطبق القيود السابقة على المعلومات المالية المقدمة للمطور لأغراض التحقق من المؤهلات المالية، وجمع المدفوعات من عملائها.
يمكن لمطور البرامج تتبع وتحليل استخدام الخدمات المعروضة لأغراض الأمان ومساعدة المطور على تحسين الخدمات المقدمة وتجربة المستخدم في استخدام الخدمات المعروضة.
يجوز لمطور البرامج مشاركة بيانات الاستخدام المجهولة مع مزودي الخدمة بغرض مساعدة المطور في التتبع والتحليل والتحسينات. بالإضافة إلى ذلك، يجوز لمطور البرامج مشاركة بيانات الاستخدام هذه المجهولة على أساس إجمالي في المسار الطبيعي لتشغيل أعمالنا؛ على سبيل المثال، قد نشارك المعلومات بشكل عام لعرض الاتجاهات حول الاستخدام العام لخدماتنا.
|
19 - التكامل أو التشغيل البيني مع الخدمات الأخرى |
قد تتكامل الخدمات المقدمة للمطور أو تتكامل مع الخدمات الأخرى التي يقدمها المطور أو أطراف ثالثة. المطور أيضا يمكن أن توفر على العديد من المنصات والميزات التي تسمح للمستخدمين لمعرفة المزيد عن المنتجات، والمشاركة في المجتمعات، وربط تطبيقات الطرف الثالث، والمشاركة في الطيارين والاختبار والتقييم، والتي هي خارج نطاق هذه الوثائق. التواصل مع المستخدمين الذين يشاركون في هذه المنصات والميزات بطريقة يجب أن تكون متسقة مع بيان الخصوصية. بالإضافة إلى ذلك، يمكن لمطور البرامج الاتصال بالمستخدمين لتقديم معلومات المعاملات حول الخدمات المقدمة؛ على سبيل المثال، من خلال مدير الحساب أو من خلال رسائل البريد الإلكتروني التي ينشئها النظام. يجب أن يوفر المطور للعملاء والمستخدمين القدرة على إلغاء تنشيط هذه الرسائل أو تعطيلها.