الملحق الثاني — التدابير التقنية والتنظيمية

التدابير التقنية والتنظيمية بما في ذلك التدابير التقنية والتنظيمية لضمان أمان البيانات

وصف التدابير الأمنية التقنية والتنظيمية التي طبقتها Grubtech بصفتها معالج بيانات/مستورد بيانات لضمان مستوى أمان مناسب، مع مراعاة طبيعة ونطاق والسياق والغرض من المعالجة، والمخاطر على حقوق وحريات الأشخاص الطبيعيين.

الأمان

نظام إدارة الأمان

المنظمة. تعين Grubtech موظفين أمنيين مؤهلين تشمل مسؤولياتهم تطوير وتنفيذ والحفاظ المستمر على برنامج الأمان المعلوماتي.

السياسات. تراجع الإدارة وتدعم جميع السياسات المتعلقة بالأمان لضمان الأمان والتوفر والتكامل وسرية بيانات العميل الشخصية. يتم تحديث هذه السياسات مرة واحدة على الأقل سنويًا.

التقييمات. تتعاقد Grubtech مع طرف ثالث مستقل ذي سمعة طيبة لإجراء تقييمات المخاطر لجميع الأنظمة التي تحتوي على بيانات العميل الشخصية مرة واحدة على الأقل سنويًا.

معالجة المخاطر. تحتفظ Grubtech ببرنامج معالجة مخاطر رسمي وفعال يتضمن اختبار الاختراق وإدارة الثغرات وإدارة التصحيحات لتحديد والحماية من التهديدات المحتملة لأمان أو تكامل أو سرية بيانات العميل الشخصية.

إدارة البائع. تحتفظ Grubtech ببرنامج إدارة بائع فعال.

إدارة الحوادث. تراجع Grubtech حوادث الأمان بانتظام، بما في ذلك تحديد فعال للسبب الجذري والإجراء التصحيحي.

المعايير. تعمل Grubtech نظام إدارة أمان المعلومات الذي يتوافق مع متطلبات معيار ISO/IEC 27001:2022.

أمان الموظفين

يُطلب من موظفي Grubtech التصرف بطريقة متسقة مع إرشادات الشركة بشأن السرية والأخلاقيات التجارية والاستخدام المناسب والمعايير المهنية. تجري Grubtech فحوصات خلفية معقولة على أي موظفين سيكون لديهم وصول إلى بيانات العميل بموجب هذا الاتفاق، بما في ذلك فيما يتعلق بسجل التوظيف والسجلات الجنائية، بقدر ما يسمح به القانون وبما يتفق مع القانون العملي المحلي القابل للتطبيق والممارسة العرفية واللوائح القانونية.

يُطلب من الموظفين تنفيذ اتفاق سرية كتابي عند التوظيف والحفاظ على بيانات العميل الشخصية في جميع الأوقات. يجب على الموظفين الاعتراف بالاستقبال والامتثال لسياسات السرية والخصوصية والأمان في Grubtech. يتم تزويد الموظفين بتدريب الخصوصية والأمان حول كيفية تنفيذ والامتثال لبرنامج الأمان المعلوماتي. يُطلب من الموظفين الذين يتعاملون ببيانات العميل الشخصية إكمال متطلبات إضافية مناسبة لدورهم (على سبيل المثال، الشهادات). لن يعالج موظفو Grubtech بيانات العميل الشخصية دون تفويض.

مراقبة الوصول

إدارة الوصول. تحتفظ Grubtech بعملية إدارة وصول رسمية لطلب ومراجعة وموافقة وتوفير جميع الموظفين الذين لديهم وصول إلى بيانات العميل الشخصية لتحديد الوصول إلى بيانات العميل الشخصية والأنظمة التي تخزن أو تصل إلى أو تنقل بيانات العميل الشخصية للأشخاص المصرح لهم بشكل صحيح والذين لديهم حاجة لمثل هذا الوصول. يتم إجراء مراجعات الوصول بشكل دوري للتأكد من أن موظفي الموظفين الذين لديهم وصول إلى بيانات العميل الشخصية لا يزالون يحتاجونها.

موظفو أمان البنية التحتية. لدى Grubtech وتحتفظ بسياسة أمان لموظفيها، وتتطلب تدريب أمان كجزء من حزمة التدريب لموظفيها. موظفو أمان البنية التحتية في Grubtech مسؤولون عن المراقبة المستمرة لبنية البنية التحتية الأمنية لـ Grubtech ومراجعة الخدمات والرد على حوادث الأمان.

إدارة مراقبة الوصول والامتيازات. يجب على مسؤولي Grubtech والعميل والمستخدمين النهائيين المصادقة على أنفسهم عبر نظام المصادقة متعدد العوامل أو عبر نظام تسجيل الدخول الموحد من أجل استخدام الخدمات.

عمليات وسياسات الوصول إلى البيانات الداخلية — سياسة الوصول. تم تصميم عمليات وسياسات الوصول إلى البيانات الداخلية لـ Grubtech لحماية من الوصول غير المصرح به والاستخدام والكشف والتغيير أو الإتلاف لبيانات العميل الشخصية. تصمم Grubtech أنظمتها للسماح فقط للأشخاص المصرح لهم بالوصول إلى البيانات التي يُصرح لهم بالوصول إليها بناءً على مبادئ "الامتياز الأقل" و "الحاجة إلى معرفة"، ومنع الآخرين الذين لا يجب أن يكون لديهم وصول من الحصول على الوصول. تتطلب Grubtech استخدام معرفات مستخدم فريدة وكلمات مرور قوية والمصادقة ذات العاملين وقوائم الوصول المراقبة بعناية لتقليل احتمال الاستخدام غير المصرح به للحساب. منح أو تعديل حقوق الوصول يعتمد على: مسؤوليات الوظيفة للموظفين المصرح لهم؛ متطلبات واجب الوظيفة اللازمة لأداء المهام المصرح بها؛ أساس الحاجة إلى معرفة؛ ويجب أن يكون متماشياً مع سياسات الوصول إلى البيانات الداخلية والتدريب في Grubtech. يتم إدارة الموافقات من خلال أدوات سير العمل التي تحتفظ بسجلات التدقيق لجميع التغييرات. يتم تسجيل الوصول إلى الأنظمة لإنشاء سجل تدقيق للمساءلة. عند توظيف كلمات المرور للمصادقة (على سبيل المثال، تسجيل الدخول إلى محطات العمل)، تتبع سياسات كلمات المرور ممارسات معايير الصناعة. تشمل هذه المعايير تعقيد كلمة المرور وانتهاء صلاحية كلمة المرور وقفل كلمة المرور والقيود المتعلقة بإعادة استخدام كلمة المرور وإعادة المطالبة بكلمة المرور بعد فترة من عدم النشاط.

أمان مركز البيانات والشبكة

مراكز البيانات.

البنية التحتية. تمتلك Grubtech AWS كمركز بيانات لها.

المرونة. يتم تفعيل مناطق التوفر المتعددة على AWS وتجري Grubtech اختبار استعادة النسخة الاحتياطية على أساس منتظم لضمان المرونة.

أنظمة تشغيل الخادم. تم تخصيص خوادم Grubtech لبيئة التطبيق وتم تصلب الخوادم لأمان الخدمات. تستخدم Grubtech عملية مراجعة الكود لزيادة أمان الكود المستخدم لتقديم الخدمات وتحسين منتجات الأمان في بيئات الإنتاج.

استعادة الكوارث. تكرر Grubtech البيانات على أنظمة متعددة للمساعدة في الحماية من الإتلاف العرضي أو الفقدان. صممت Grubtech وتخطط وتختبر بشكل منتظم برامج استعادة الكوارث الخاصة بها.

سجلات الأمان. تحتوي أنظمة Grubtech على تسجيل مفعل لمنشأة سجل النظام الخاصة بها لدعم عمليات تدقيق الأمان ومراقبة واكتشاف الهجمات الفعلية والمحاولة على، أو الغزو في، أنظمة Grubtech.

إدارة الثغرات. تجري Grubtech عمليات مسح للثغرات بانتظام على جميع مكونات البنية التحتية لبيئة الإنتاج والتطوير الخاصة بها. يتم معالجة الثغرات على أساس مخاطر، مع تثبيت تصحيحات الأمان الحرجة والعالية والمتوسطة لجميع المكونات في أسرع وقت ممكن من الناحية التجارية.

الشبكات والإرسال

نقل البيانات. يتم نقل الإرسالات في بيئة الإنتاج عبر بروتوكولات معايير الإنترنت.

سطح الهجوم الخارجي. مجموعة أمان AWS التي تعادل جدار حماية افتراضي موضوع لبيئة الإنتاج على AWS.

الاستجابة للحادث. تحتفظ Grubtech بسياسات وإجراءات إدارة الحوادث، بما في ذلك إجراءات مصعد حادث أمان مفصلة. تراقب Grubtech مجموعة متنوعة من قنوات الاتصال لحوادث الأمان، وسيستجيب موظفو الأمان في Grubtech بسرعة للحوادث المشبوهة أو المعروفة، وتخفيف التأثيرات الضارة لحوادث الأمان هذه، وتوثيق حوادث الأمان ونتائجها.

تقنيات التشفير. تجعل Grubtech تشفير HTTPS (يُعرّف أيضاً باسم SSL أو TLS) متاحة للبيانات في الحركة.

تخزين البيانات والعزل والمصادقة والإتلاف. تخزن Grubtech البيانات في بيئة متعددة المستأجرين على خوادم AWS. يتم نسخ البيانات وقاعدة بيانات الخدمات وهندسة نظام الملفات بين مناطق توفر متعددة على AWS. تعزل Grubtech بيانات العملاء المختلفين منطقياً. يتم استخدام نظام مصادقة مركزي في جميع الخدمات لزيادة أمان بيانات موحد. تضمن Grubtech التخلص الآمن من بيانات العميل من خلال استخدام سلسلة من عمليات تدمير البيانات.

الملحق الثالث — قائمة المعالجات الفرعية

يرجى الرجوع إلى https://security.grubtech.com/