انتخاب سند
سیاست امنیت اطلاعات PhotoRobot
این سند سیاست امنیت اطلاعات PhotoRobot را تعریف می کند. این مقاله اصول، مسئولیت ها و کنترل هایی را که توسط PhotoRobot برای حفاظت از سیستم ها، داده ها و اطلاعات مشتریان پیاده سازی شده اند، توصیف می کند. سیاست امنیت اطلاعات از رعایت تعهدات قراردادی PhotoRobot تحت DPA و SLA حمایت می کند.
اهداف
- اطمینان از محرمانگی، یکپارچگی و در دسترس بودن همه سیستم ها و داده ها
- نقش ها و مسئولیت های واضح برای امنیت اطلاعات را تعریف کنید
- رعایت مقررات GDPR و بهترین شیوه های صنعت را حفظ کنید
- ارائه حاکمیت برای مدیریت ریسک و بهبود مستمر
دامنه
کاورها:
- پلتفرم PhotoRobot Cloud
- زیرساخت میزبانی شده در Google Cloud Platform
- سیستم های پشتیبان و فرآیندهای داخلی
- کارکنان، پیمانکاران و اشخاص ثالث
نقش ها و مسئولیت ها
- مدیر ارشد فناوری / رهبر مهندسی: پاسخگویی کلی برای امنیت پلتفرم
- DevOps: کنترل های امنیت ابری را پیاده سازی و نگهداری می کند
- توسعه دهندگان: پیروی از استانداردهای کدگذاری امن و SDLC
- تیم پشتیبانی: رسیدگی به حوادث و اطلاع رسانی های مشتریان
اصول امنیتی
- کمترین امتیاز
- دسترسی به افراد نیازمند دانستن
- تفکیک وظایف
- رویکرد اعتماد صفر
- امنیت به صورت طراحی شده
تضمین های فنی
- رمزنگاری (TLS، AES-256)
- احراز هویت SSO از طریق Google Identity
- نقش های ریزدانه RBAC
- ثبت و پایش ابر GCP
- وصله گذاری خودکار زیرساخت
- نسخه های پشتیبان گیری روزانه با قابلیت بازیابی
تضمین های سازمانی
- روش های ورود و خروج از کشتی
- انتظارات امنیتی دستگاه
- تعهدات محرمانگی
- آگاهی امنیتی اجباری
مدیریت ریسک
- ریسک هایی که به طور دوره ای ارزیابی می شوند
- کنترل ها بر اساس یافته ها به روزرسانی شده اند
- رویدادهای امنیتی مستندسازی و بازبینی شده اند
انطباق
- پردازش مطابق با GDPR
- DPA برای مشتریان در دسترس است
- زیرپردازنده های فهرست شده به صورت عمومی
بهبود مستمر
- بررسی های منظم کنترل ها
- ارتقاءها در پیکربندی های امنیت ابری
- رصد تهدیدات نوظهور