信息安全政策 (PSI)
最后更新时间:2022 年 5 月 24 日
介绍
随着《一般个人数据保护法》(2018 年 8 月 14 日第 13,709 号法律)的出台,SleepUp 开始了其隐私和个人数据保护治理计划。
自那时以来,适应举措一直是一个持续的过程,并将持续到本组织的整个生命周期,因为每天都会开发新的服务和产品,改变内部流程,加强信息安全方面的技术和管理措施。
从这个意义上说,我们的技术基础设施提供的服务符合与数据存储、处理、传输、机密性、隐私和专业保密保证相关的技术标准,并尽最大努力保护数据隐私和安全。
请记住,良好实践和隐私治理的规则必须建立组织条件、运营制度、程序,涉及与信息安全 (IS) 相关的活动,本政策由一组指导方针和规则组成,其目的是使规划成为可能、SleepUp信息安全相关行动的实施和控制。
一般准则
信息安全政策是永久性的。本文档的内容可能会根据当前的需要随时进行修改。 SleepUp 专业人士及其服务提供商应在必要时查阅最新的可用版本。
本信息安全政策(“政策”)适用于 SleepUp 的所有层级、合作伙伴、经理、员工、顾问、员工、实习生、实习生和服务提供商(“合作者”),所有员工都意识到他们必须了解并尊重此处列出的所有规则,请注意,不遵守这些规则可能会导致董事会根据行为的严重程度实施行政制裁,包括解雇/终止合同关系。
本政策的中心目标是向所有 SleepUp 员工传播旨在保证工作环境中生成和管理的信息完整性的政策和程序。每位员工都有责任保证每天在车间和/或工作环境中生成的信息的完全机密性和完整性。
所有员工均了解,SleepUp 内部生成的和/或从用户或客户处收到的用于开展任何性质的活动的所有信息均严格保密,并且在其存在期间必须保持完整。此外,合作者在使用任何电子手段(聊天、Skype、Google Meet、Zoom、电子邮件、互联网等)开展活动时,必须将其使用视为公司的财产并符合公司的利益。公司。 。 严格禁止将电子媒体用于私人目的。还值得注意的是,对电子邮件和互联网的访问每周都会备份,并且可能随时接受审核和审查,完全由 SleepUp 管理部门处理。
即使在被解雇后,员工和/或服务提供商仍必须承担有关信息保密性和完整性的责任,并且必须根据本政策中的条款履行。
作为合规项目,SleepUp 制定了以下与个人数据处理相关的技术和管理措施,并定期进行审查。
1. 管理办法
1.1 意识和培训。 SleepUp 的人力资源必须接受有关个人数据处理相关义务和责任的培训和意识培训。
1.2 向员工提供的信息是关于以下方面的建议: (i) 如何对与日常工作相关的 IT 系统使用安全控制; (ii) 如何避免成为安全事件的受害者,例如病毒污染或网络钓鱼攻击等; (iii) 将包含个人数据的实物文件放在抽屉里,而不是放在桌子上; (iv) 不共享工作站的登录名和密码; (v) 当您离开工作站时锁定计算机,以防止第三方未经授权的访问; (vi) 禁止将个人数据从工作站传输到外部存储设备,例如随身碟、外部硬盘等; (vi) 立即报告事件和发现的漏洞; (vii) 遵循信息安全政策 (PSI) 指南。
1.3 合同管理:SleepUp要求所有员工签署保密协议(保密协议-NDA),承诺不泄露涉及个人数据的保密信息;对于在IT服务中处理个人数据的供应商,合同的充分性包括确保充分保护个人数据的信息安全条款、共享个人数据的规则、控制者与操作者之间的关系、要进行的处理的指导以及禁止不符合 SleepUp 指南的治疗;
1.4 信息安全组织——基于适用于所有用户的个人数据访问控制系统,控制SleepUp如何定义和管理职责,权限级别与访问个人数据的需要成比例,应用最小特权的前提(需要知道)被使用,也就是说,SleepUp 系统的用户将拥有最低级别的访问权限,仅用于执行其活动;
1.5 物理和环境安全 - 定义安全区域的控制措施、进入控制、威胁防护、设备安全、安全处置、干净的桌子和干净的屏幕政策;
2. 技术措施
2.1 信息资产管理——对资产清单、可接受的使用、信息分类和媒体处理进行控制;
2.2 访问控制——在身份验证过程(识别谁访问系统或数据)和授权(确定用户可以做什么)中进行控制;除了配置具有一定复杂程度的密码之外,还定义需要使用特殊字符或其他必要因素来保护个人数据免遭未经授权的访问;
2.3 加密 - 除了网络安全和数据库加密之外,还执行与 SSL 加密密钥管理相关的控制,以便通过 API 进行服务之间的通信,以防止在整个处理周期中泄露个人数据。
2.4 操作安全 – 与生产管理相关的控制涉及支持产品/系统的技术架构,例如:变更管理、容量管理、恶意软件、每日备份(存储 7 天)、事件记录、监控、安装、漏洞并通过安全存储进行定期离线备份;
2.5 通信安全——对网络传输数据的安全、隔离、网络服务、信息传输、消息传递进行控制;使用加密连接 (TLS/HTTPS) 或具有端到端加密的应用程序来提供通信服务;安装和维护防火墙系统和/或使用 Web 应用程序防火墙(WAF - 应用程序过滤器)来监视、检测和阻止威胁,防止连接到不受信任的网络;使用集成防病毒、反垃圾邮件工具和电子邮件过滤器保护电子邮件服务;删除公共网络上不必要的任何敏感数据和其他个人数据;
2.6 漏洞管理:定期对所有使用的系统和应用程序进行更新,保持更新版本;采用防病毒和反恶意软件软件并定期更新;对所使用的系统进行定期防病毒扫描;
2.7 系统获取、开发和维护——在开发和支持过程中定义安全和安保要求的控制措施。所有类型 SAAS 提供商均根据我们的数据安全和隐私政策进行批准。
2.8 供应链关系和云服务 – 供应商评估 用于选择、评估和重新评估外部供应商的控制措施。
2.9 信息安全事件管理——整个基础设施可追溯,包括告知DPO泄露事件发生的日期和时间,并简要描述事件如何发生、受影响数据的性质、受影响的数量持有者、受影响持有者的类别、采取了哪些安全措施来保护数据,以防止事件发生以及在意识到泄漏事件后应采取的措施。
2.10 业务连续性管理中的信息安全方面 - 制定指导方针,以尽量减少任何可能对 SleepUp 业务连续性构成风险的事件造成的负面影响。
2.11 合规性——实施控制措施,要求确定适用的法律和法规、保护知识产权、保护个人数据以及审查信息安全。
3. 版本
版本更新于2022年5月24日
