مرکز اعتماد
امنیت
اقدامات فنی و سازمانی PhotoRobot (TOMs)
انتخاب سند
بررسی اجمالی PhotoRobot Security
معماری و جریان داده PhotoRobot
خلاصه اقدامات امنیتی PhotoRobot
مروری بر تداوم کسب وکار PhotoRobot و DR
خلاصه حاکمیت هوش مصنوعی PhotoRobot
سیاست امنیت اطلاعات PhotoRobot
سیاست کنترل دسترسی PhotoRobot
سیاست پاسخ به حادثه PhotoRobot
سیاست پشتیبان گیری PhotoRobot
سیاست بازیابی فاجعه PhotoRobot
سیاست امنیتی PhotoRobot SDLC
سیاست مدیریت تغییر PhotoRobot
استاندارد ثبت و نظارت PhotoRobot
اقدامات فنی و سازمانی PhotoRobot (TOMs)
آخرین ویرایش: ۳۰ دسامبر ۲۰۲۵

اقدامات فنی و سازمانی PhotoRobot (TOMs)

این سند اقدامات فنی و سازمانی (TOMs) PhotoRobot را مطابق با ماده ۳۲ GDPR: نسخه ۱.۰ – PhotoRobot Edition، uni-Robot Ltd.، جمهوری چک تعریف می کند. این سند آخرین بار تا ۳۱ دسامبر ۲۰۲۵ به روزرسانی شده و از رعایت تعهدات قراردادی PhotoRobot تحت DPA و SLA حمایت می کند.

۱. مقدمه - PhotoRobot TOMs

این سند اقدامات فنی و سازمانی (TOMs) را که توسط شرکت uni-Robot Ltd. (PhotoRobot) اجرا شده اند، توصیف می کند تا سطح مناسبی از امنیت برای پردازش داده های شخصی مطابق با ماده ۳۲ مقررات عمومی حفاظت از داده ها (GDPR) تضمین شود.

این اقدامات در مورد عملکرد خدمات PhotoRobot اعمال می شود، از جمله اما نه محدود به:

  • PhotoRobot کنترل های ابری
  • PhotoRobot Cloud 2.0
  • کنترل های PhotoRobot محلی (هنگام اتصال به خدمات ابری)
  • APIها و خدمات آنلاین مرتبط
  • زیرساخت های پشتیبان و سیستم های داخلی

این سند به عنوان توصیف معتبر از TOMهای PhotoRobot عمل می کند و ممکن است در توافق نامه های پردازش داده (DPA)، ممیزی ها و بازبینی های امنیتی سازمانی به آن ارجاع داده شود.

۲. دامنه و کاربرد

TOMهای شرح داده شده در اینجا شامل موارد زیر می شود:

  • داده های شخصی که به نمایندگی از مشتریان به عنوان بخشی از خدمات PhotoRobot پردازش می شوند
  • داده های عملیاتی داخلی لازم برای ارائه، نگهداری و ایمن سازی خدمات

این اقدامات با در نظر گرفتن موارد زیر طراحی شده اند:

  • وضعیت فناوری
  • هزینه های پیاده سازی
  • ماهیت، دامنه، زمینه و اهداف پردازش
  • خطرات علیه حقوق و آزادی های اشخاص طبیعی

۳. تدابیر امنیتی سازمانی

۳.۱. حاکمیت امنیت اطلاعات

PhotoRobot سیاست ها و رویه های داخلی مربوط به امنیت اطلاعات، حفاظت از داده ها و استفاده قابل قبول از سیستم ها را حفظ می کند.

مسئولیت های امنیت و حفاظت از داده ها درون سازمان به وضوح تعریف شده است، از جمله تماس های تعیین شده برای مسائل حریم خصوصی و حقوقی.

۳.۲. محرمانگی و آگاهی کارکنان

  • کارکنان و پیمانکاران ملزم به رعایت محرمانگی هستند
  • دسترسی به سیستم ها بر اساس نیاز به دانستن داده می شود
  • آگاهی امنیتی و حفاظت از داده ها به عنوان بخشی از فرآیند جذب و عملیات جاری ترویج می شود

۴. کنترل دسترسی و مجوزدهی

۴.۱. کنترل دسترسی مبتنی بر نقش (RBAC)

دسترسی به سیستم ها و داده های مشتری با استفاده از اصول کنترل دسترسی مبتنی بر نقش (RBAC) کنترل می شود.

  • کاربران حداقل امتیازات لازم برای انجام وظایف خود را دریافت می کنند
  • دسترسی اداری محدود به افراد مجاز است

۴.۲. احراز هویت

  • مکانیزم های قوی احراز هویت برای سیستم های داخلی و خارجی استفاده می شوند
  • سیاست های رمز عبور و اطلاعات دسترسی به صورت امن مدیریت می شوند
  • اطلاعات دسترسی نباید به اشتراک گذاشته شوند

۵. زیرساخت و امنیت شبکه

۵.۱. میزبانی و زیرساخت ابری

خدمات PhotoRobot روی ارائه دهندگان حرفه ای زیرساخت ابری (مانند Google Cloud Platform) میزبانی می شوند که کنترل های امنیتی فیزیکی و محیطی استاندارد صنعتی را پیاده سازی می کنند.

۵.۲. حفاظت از شبکه

  • ترافیک شبکه با استفاده از فایروال ها و کنترل های دسترسی محافظت می شود
  • خدمات عمومی از سیستم های داخلی جدا شده اند
  • اجزای زیرساختی برای رویدادهای دسترسی پذیری و امنیتی پایش می شوند

۶. رمزنگاری و حفاظت از داده ها

۶.۱. داده های در حال انتقال

  • داده های منتقل شده بین کلاینت ها و خدمات PhotoRobot با استفاده از TLS/HTTPS رمزگذاری می شوند
  • کانال های ارتباطی امن برای APIها و رابط های ابری اعمال می شوند

۶.۲. داده ها در سکون

  • داده های ذخیره شده در زیرساخت ابری با استفاده از مکانیزم های رمزنگاری ارائه شده توسط ارائه دهنده میزبان محافظت می شوند
  • دسترسی به داده های ذخیره شده محدود به سیستم ها و پرسنل مجاز است

۷. ثبت برنامه، پایش و تشخیص حادثه

۷.۱. چوب بری

  • گزارش های سیستمی برای رویدادهای عملیاتی و مرتبط با امنیت تولید می شوند
  • لاگ ها برای عیب یابی، پایش و تحلیل حادثه استفاده می شوند

۷.۲. پایش

  • خدمات از نظر دسترسی، عملکرد و ناهنجاری ها پایش می شوند
  • هشدارها در صورت رفتار غیرعادی یا اختلال در سرویس فعال می شوند

۸. پاسخ به حادثه و مدیریت نفوذها

PhotoRobot رویه هایی را برای مدیریت حوادث امنیتی، از جمله نقض داده های شخصی، حفظ می کند.

این روش ها شامل موارد زیر است:

  • شناسایی و ارزیابی حوادث
  • اقدامات کاهش و مهار
  • تشدید داخلی
  • ارتباط با مشتریان در صورت نیاز
  • رعایت تعهدات اطلاع رسانی به نقض GDPR (مواد ۳۳ و ۳۴ GDPR)

۹. پشتیبان، در دسترس بودن و تداوم کسب وکار

۹.۱. پشتیبان ها

  • پشتیبان گیری داده ها به عنوان بخشی از عملیات استاندارد ابری انجام می شود
  • پشتیبان ها برای اهداف بازیابی پس از فاجعه و تداوم خدمات استفاده می شوند

۹.۲. دسترسی

  • تلاش های معقولی برای حفظ دسترسی بالای خدمات صورت می گیرد
  • فعالیت های نگهداری برنامه ریزی شده ممکن است باعث وقفه موقت در سرویس شود

جزئیات مربوط به اهداف دسترسی و زمان پاسخ دهی به طور جداگانه در توافق نامه های سطح خدمات (SLA) مربوطه شرح داده شده است.

۱۰. توسعه امن و مدیریت تغییر

۱۰.۱. شیوه های توسعه امن

PhotoRobot فرآیندهای توسعه و استقرار ساختاریافته را دنبال می کند، از جمله:

  • جداسازی محیط های توسعه، آزمایش و تولید در صورت لزوم
  • رویه های استقرار کنترل شده
  • کنترل نسخه و ردیابی تغییرات

۱۰.۲. به روزرسانی ها و وصله ها

  • اجزای نرم افزاری به روزرسانی می شوند تا آسیب پذیری های امنیتی را برطرف کنند
  • به روزرسانی های حیاتی بر اساس ارزیابی ریسک اولویت بندی می شوند

۱۱. زیرپردازنده ها و اشخاص ثالث

PhotoRobot ممکن است از زیرپردازنده ها برای پشتیبانی از ارائه خدمات (مانند میزبانی و خدمات ایمیل) استفاده کند.

  • زیرپردازنده ها بر اساس شیوه های امنیتی و حفاظت از داده هایشان انتخاب می شوند
  • فهرست فعلی زیرپردازنده ها به طور جداگانه نگهداری می شود و به صورت عمومی در دسترس قرار می گیرد

۱۲. امنیت فیزیکی

دسترسی فیزیکی به سرورها و مراکز داده توسط ارائه دهنده زیرساخت ابری مدیریت می شود و شامل موارد زیر است:

  • کنترل های دسترسی
  • نظارت و پایش
  • حفاظت های زیست محیطی

PhotoRobot مراکز داده خود را اداره نمی کند.

۱۳. کمینه سازی و نگهداری داده ها

  • تنها داده های لازم برای ارائه خدمات پردازش می شود
  • داده های شخصی تنها تا زمانی نگهداری می شوند که برای اهداف قراردادی، حقوقی یا عملیاتی لازم باشد
  • دوره های حذف و نگهداری داده ها در سیاست ها و توافق نامه های مرتبط تعریف شده اند

۱۴. بررسی و به روزرسانی ها

این اقدامات فنی و سازمانی به طور دوره ای بازبینی و در صورت نیاز به روزرسانی می شوند تا موارد زیر را منعکس کنند:

  • تغییرات فناوری
  • تغییرات در خدمات
  • الزامات امنیتی و مقرراتی در حال تحول

تغییرات اساسی ممکن است در صورت لزوم به مشتریان اطلاع داده شود.

۱۵. اطلاعات تماس

برای پرسش درباره این اقدامات فنی و سازمانی:

یونی-ربات لیمیتد

وودیچکووا ۷۱۰/۳۱

۱۱۰ ۰۰ پراگ ۱

جمهوری چک

ایمیل: legal@photorobot.com

یادداشت نهایی

این TOMها معیارهای فنی و سازمانی فعلی PhotoRobot را توصیف می کنند و هدف آن ها ایجاد شفافیت و اطمینان به مشتریان است. آن ها تضمینی برای خدمات بدون وقفه یا امنیت مطلق نیستند، بلکه رویکردی مبتنی بر ریسک و متناسب در حفاظت از داده ها و امنیت اطلاعات را منعکس می کنند.