|
1. Архитектура и сегрегация на данни |
Услугите, които се експлоатират и се предлагат в облак, трябва да се намират в многонационална архитектура, при която достъпът до данни за клиентите може да се разглежда само въз основа на разрешение, възложено от компанията. Тя осигурява ефективно отделяне на логически данни чрез уникална идентификация на служителите, която позволява достъп до информацията въз основа на привилегии за ролеви игри. Сегрегацията на данните трябва да се извършва, като се предоставят отделни среди за различни функции, т.е. за тестване и производство.
|
2. Контрол на обработката |
Това връща енергията на клиента, като гарантира, че данните се обработват само по указание на клиента, по време на цялата верига на обработващите дейности и съответствието на изпълнените мерки трябва да бъде обект на одит.
Най-малко на годишна база всички предлагани услуги ще трябва да преминат през оценки на сигурността от вътрешен персонал, които включват оценки на уязвимостта на инфраструктурата и оценки на сигурността на приложенията.
Всички системи, използвани за предаване на предлаганите услуги, включително операционни системи, регистрационна информация за съответната регистрационна система за приложения или централизиран сървър за силожни услуги (за мрежови системи), ще бъдат запазени, за да могат да се извършват прегледи и анализи на сигурността. да се съхранява за минимален период от шестдесет (60) дни.
|
5. Контрол на сигурността |
Предлаганите услуги, достъпни чрез интернет браузър или мобилно приложение, трябва да имат разнообразни функции за сигурност, които могат да се конфигурират. Тези контроли включват, но не се ограничават до следното: |
|
• |
Потребителските идентификатори като уникални идентификатори на потребителите, за да се уверите, че дейностите могат да бъдат проследени обратно на лицето. |
• |
Използването на контролите "reCaptcha" за оспорване на достъпа след няколко последователни неуспешни опита за влизане. |
• |
За да прекратите сесията на потребителя след период на неактивност. |
• |
За да контролирате дължината на паролата. |
• |
Да отговарят на изискванията за сложност на паролата. |
|
6. Политики и процедури за сигурност |
Предлаганите услуги трябва да се извършват в съответствие със следните правила и процедури за повишаване на сигурността: |
|
• |
Потребителските пароли се съхраняват с осолен хеш формат и не се предават некриптирано. |
• |
Записите в регистъра за потребителски достъп ще бъдат запазени, съдържащи дата, час, URL изпълнена или идентификатор на обект, извършена операция (прегледана, редактирана и др.) И IP адрес на източника. Обърнете внимание, че източникът на IP адрес може да не е наличен, ако NAT (Превод на мрежови адреси) или PAT (Port Address Translation) се използват от клиент или негов ISP. |
• |
Днешрите ще бъдат съхранявани в защитен централизиран хост, за да се предотврати намесата. |
• |
Паролите не са записани. |
|
7. Откриване на проникване |
Предлаганите услуги трябва да бъдат наблюдавани за неразрешени посегателства, използвайки мрежови механизми за откриване на проникване от разработчика или третата страна, назначена за тази задача. Данните, събрани от уеб браузърите на потребителите (напр. Тип устройство, разделителна способност на екрана, часова зона, версия на операционната система, тип и версия на браузъра, системни шрифтове, инсталирани приставки на браузъра, разрешени типове MIME и др. за да се предотвратят измамнически удостоверения и да се гарантира правилното функциониране на предлаганите услуги.
|
8. Управление на инциденти |
Доставчикът трябва да поддържа политиките и процедурите за управление на инцидентите със сигурността и уведомява неоснователно засегнатите клиенти за всяко неразрешено разкриване на техните съответни данни за клиентите от разработчика или неговите агенти, за които разработчикът узнава в степента, разрешена от закона.
|
9. Удостоверяване на потребител |
Целият достъп до предлаганите услуги чрез интернет браузър, мобилно приложение или чрез приложния програмен интерфейс (API) изисква комбинация от валиден потребителски идентификатор и парола, които са шифровани чрез HTTPS, докато се предават. След като удостоверяването е успешно, се генерира произволен идентификационен номер на сесията, който се съхранява в браузъра на потребителя, за да се запази и проследи състоянието на сесията.
Ако производствените центрове за данни, използвани за предоставяне на обхванатите Услуги, се обработват от външни Услуги, получавате подробности за Security Processe като това: AWS Security Whitepaper.pdf
|
11. Надеждност и резервно копие |
Всички мрежови компоненти, балансиращи натоварвания, уеб сървъри и сървъри на приложения са конфигурирани в излишна конфигурация. Всички данни за клиентите, предоставени на обхванатите Услуги, се съхраняват на първичен сървър на база данни с автоматичен архив, използващ функции за възстановяване на моментния период. Всички резервни копия на дневни AMI ще бъдат задържани поне 2 дни, а седмичното AMI архив ще бъде задържан най-малко един месец.
|
12. Възстановяване след бедствие |
Производствените системи на предлаганите услуги трябва да бъдат защитени от многоетапен план за възстановяване след бедствие, който осигурява резервно копие на важни данни и услуги. Изградена е всеобхватна система от процеси за възстановяване, за да се върнат онлайн критичните системи в най-краткия възможен срок. Процесите за възстановяване на базата данни, сигурността, администрирането на системите и конфигурацията и данните на мрежата предоставят пътна карта за персонала, за да направят процесите достъпни след прекъсване на услугата.
Предлаганите услуги няма да сканират за вируси, които могат да бъдат включени в прикачените файлове или други данни, качени от клиентите в Предлаганите услуги. Качените прикачени файлове не се изпълняват в Предлаганите услуги и следователно няма да повредят или компрометират предлаганите онлайн услуги поради съдържанието на вирус.
Предлаганите услуги трябва да използват продукти за шифроване, приети от индустрията, за да защитят клиентските данни и съобщенията по време на предаване между мрежата на клиента и обхванатите Услуги, включително 128-битови TLS сертификати и 2048-битови публични ключове RSA като минимум.
|
15. Връщане на данните на клиента |
Клиентските данни, предоставени на Предлаганите Услуги, се връщат на Клиента при поискване.
|
16. Изтриване на данните на клиента |
След прекратяване на предлаганите услуги, клиентите могат да поискат изтриване на данните за клиентите, подадени в предлаганите услуги, като този процес е предмет на приложимите законови изисквания. Данните за клиентите, съхранявани в инфраструктурата за предлаганите услуги, ще бъдат съответно изтрити.
Важно: Следните типове чувствителни лични данни може да не се изпращат до предлаганите услуги: финансова информация (като например номера на кредитни или дебитни карти, свързани с тях кодове за сигурност или пароли и номера на банкови сметки); информация, свързана с физическото или психическото здраве на дадено лице; и информация, свързана с предоставянето или плащането на здравни грижи. За по-голяма яснота гореспоменатите ограничения не се отнасят до финансова информация, предоставена на предприемача, за целите на проверката на финансовата квалификация и събирането на плащания от своите клиенти.
Разработчикът може да проследява и анализира използването на Предлаганите услуги за целите на сигурността и да помага на разработчика да подобри както предлаганите услуги, така и потребителския опит при използването на предлаганите услуги. Разработчикът може да споделя анонимни данни за употреба с доставчиците на услуги, за да помогне на разработчика при подобно проследяване, анализ и подобрения. Освен това разработчикът може да споделя такива анонимни данни за употреба на съвкупна база в нормалния ход на работа на нашия бизнес; например, може да споделяме публично информация, за да покажем тенденции за общото използване на нашите услуги.
|
19. Интеграция или взаимодействие с други услуги |
Предложените от разработчика услуги могат да се интегрират или да взаимодействат с други услуги, предоставяни от разработчика или трети страни. Програмистът също така може да предостави на много платформи и функции, които позволяват на потребителите да научат за продуктите, да участват в общности, да свързват приложения на трети страни и да участват в пилоти, тестове и оценки, които са извън обхвата на тази документация. Комуникация с потребители, които участват в такива платформи и функции по начин, който трябва да съответства на Декларацията за поверителност. Освен това, разработчикът може да се свърже с потребители, за да предостави информация за транзакциите за предлаганите Услуги; например чрез мениджъра на профила или чрез генерирани от системата имейл съобщения. Програмистът трябва да предложи на клиентите и потребителите възможността да деактивират или да се откажат от получаването на такива съобщения. Като разработчик на системи, базиран на облак, TimeTec изпълни горепосочените изисквания с основната цел, за да поддържа доверието на клиентите. Документацията за сигурността, поверителността и архитектурата за услугите, предоставени от TimeTec, можете да намерите на уеб сайта на TimeTec Cloud.