Қауіпсіздік саясаты - Matterport Central Asia

Маттерпорт саясаты


Қауіпсіздік саясаты

Соңғы өзгерту: 2023 жылдың шілдесі

Мазмұны

Matterport компаниясының техникалық және ұйымдастырушылық қауіпсіздік шаралары («TOM») Matterport компаниясының жеке ақпаратты қорғау және Matterport өнімдері мен қызметтерінің қауіпсіздігін, құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз ету үшін енгізген бақылау шараларын сипаттайды, бұл кез келген тұтынушы келісімінде («Қызметтер») сипатталған.

I. Қауіпсіздік саясатына шолу

Бұл құжат Matterport компаниясының TOM-ына жалпы шолу жасайды. Matterport компаниясы осы TOM-дарды кез келген уақытта алдын ала ескертусіз өз қалауы бойынша өзгерту немесе қайта қарау құқығын өзіне қалдырады, егер мұндай өзгерту немесе қайта қарау Matterport компаниясының әртүрлі қызметтерін ұсыну кезінде өңдеген жеке деректерді қорғауға айтарлықтай зиян келтірмесе.

II. Жалпы жауапкершілік

Matterport компаниясының TOM шарттары Matterport компаниясы ұсынатын барлық стандартты қызмет ұсыныстарына қолданылады, тұтынушы TOM компаниясының қауіпсіздігі мен құпиялылығына жауапкершілікті бөлісетін салаларды қоспағанда.

Matterport деректер қауіпсіздігі үшін жауапкершілік Matterport пен клиент арасында бөлісетін ортақ жауапкершілік моделін қолданады. Бұл ортақ модель клиенттің операциялық ауыртпалығын жеңілдетуге көмектеседі.

Matterport компаниясы Matterport компаниясының бұлттық қызметтерінде ұсынылатын барлық қызметтерді қамтамасыз ететін инфрақұрылымды қорғауға жауапты. Бұл инфрақұрылым бұлттық қызметтерді қамтамасыз ететін аппараттық құралдардан, бағдарламалық жасақтамадан, желілерден және нысандардан тұрады. Matterport компаниясы хост операциялық жүйесі мен виртуалдандыру деңгейінен бастап, қызмет жұмыс істейтін нысандардың физикалық қауіпсіздігіне дейінгі компоненттерді басқарады және бақылайды.

Matterport барлық қосымшаларын Amazon Web Services (AWS) арқылы көп пәтерлі ортада орналастырады. Бұл Matterport-қа дерекқорын бүкіл инфрақұрылым бойынша кең көлемде орналастыруға мүмкіндік береді, бұл оның қызметтеріне бірнеше тұтынушыға қызмет көрсетуге мүмкіндік береді. Matterport қазіргі уақытта бір пәтерлі ортаны қолдамайды. Тұтынушылар өз тіркелгілерін басқаруға және модельдерінің көрінуін қамтамасыз етуге жауапты. Таңдалған бұлттық қызмет түріне байланысты қосымша міндеттер қолданылуы мүмкін. Бұлттық қызмет түрі тұтынушыға қауіпсіздік міндеттерінің бөлігі ретінде қажет ететін конфигурация жұмыстарының көлемін анықтайды.

III. Техникалық және ұйымдастырушылық шаралар

Matterport жеке деректерді қорғау үшін келесі TOM ережелерін қолдайды:

1. Ақпараттық қауіпсіздік бағдарламасы. 

Matterport компаниясы Matterport ақпараттық қауіпсіздік бағдарламасын әзірлеуге, енгізуге және қолдауға жауапты ұйымдастырушылық және басқарушылық персоналға жауапты.

2. Қауіпсіздік саясаты.

 Matterport ақпараттық қауіпсіздік саясатын сақтауға және мұндай саясаттар мен шаралардың үнемі қайта қаралып отыруын қамтамасыз етуге, сондай-ақ Matterport компаниясының Қызметтер мен онда өңделген деректерді қорғауды қамтамасыз ету үшін Matterport компаниясы тиісті деп санайтын осындай саясаттарға өзгерістер енгізуге міндеттенеді.

3. Тәуекелдерді басқару.

 Matterport жеке деректерді өңдеумен байланысты тәуекелдерді бағалайды және анықталған тәуекелдерді азайту бойынша іс-қимыл жоспарын жасайды. Matterport мерзімді талдау, Matterport саясаты мен рәсімдерінің сақталуын бақылау және қолдау, сондай-ақ ақпараттық қауіпсіздіктің жай-күйі мен ішкі басқару талаптарына сәйкестігі туралы есеп беру мақсатында тәуекелдерді бағалау рәсімдерін жүргізеді.

4. Физикалық қауіпсіздік. 

AWS келесі мақсаттарға арналған құпия тұтынушы ақпаратын қамтитын Matterport инфрақұрылымы үшін физикалық және экологиялық қауіпсіздікті қамтамасыз етеді: (i) ақпараттық активтерді рұқсатсыз физикалық қол жеткізуден қорғау, (ii) адамдардың Matterport нысандарына кіруі мен шығуының қозғалысын басқару, бақылау және тіркеу, және (iii) өрт пен су тасқыны сияқты экологиялық қауіптерден қорғау.

5. Жүйелік және желілік қауіпсіздік.

  • Желі қауіпсіздігі. Matterport жүйелерді бұзудан қорғауға және кез келген сәтті шабуылдың ауқымын шектеуге арналған брандмауэрлер, VPN немесе қашықтан қатынау шешімдері арқылы қашықтан қатынауды басқару, желіні сегменттеу және қауіпсіздік журналы мен мониторингі арқылы рұқсатсыз немесе зиянды желілік белсенділікті анықтау сияқты желілік қауіпсіздікті басқару құралдарын қолдайды.
  • Безопасность dannyx. Matterport деректерді логикалық бөлуді, шектеулі (мысалы, рөлге негізделген) қолжетімділікті және бақылауды, сондай-ақ қолданылған жағдайда коммерциялық қолжетімді және салалық стандартты шифрлау технологияларын пайдалануды қамтитын деректер қауіпсіздігін бақылауды сақтайды.
  • Шифрлау. Matterport компаниясы Matterport есептеу орталары мен тұтынушы жүйелеріне шифрланған және аутентификацияланған қашықтан қосылымдарды пайдаланады. Matterport салалық топтардың, үкіметтік басылымдардың және басқа да беделді стандарттау органдарының ұсыныстарына сәйкес келетін криптографиялық стандартты қолдайды. Бұл стандарт мезгіл-мезгіл қайта қаралып отырады, ал таңдалған технологиялар мен шифрлау әдістері бағаланған тәуекелге және жаңа стандарттарды нарықта қабылдауға негізделіп жаңартылуы мүмкін.
    • Транзитті шифрлау. Қызметтердің деректер орталықтарына және олардан келетін барлық желілік трафик, соның ішінде тұтынушы деректері, беру кезінде шифрланады.
    • Тыныштық күйінде шифрлау. Тұтынушы жасаған тұтынушы деректері 256-биттік AES шифрлауын пайдаланып, сақталған күйде шифрланады.

6. Пайдаланушының кіруін басқару.

 Matterport өкілеттік деңгейлері мен жұмыс функцияларына негізделген жүйелік деректер мен функцияларға электрондық қол жеткізуді басқаруға арналған логикалық қол жеткізуді басқаруды қолдайды (мысалы, білу қажеттілігі мен ең аз артықшылық негізінде қол жеткізуді беру, барлық пайдаланушылар үшін бірегей идентификаторлар мен құпия сөздерді пайдалану, мерзімді шолу және жұмыс функциялары тоқтатылған немесе өзгерген кезде қол жеткізуді уақтылы қайтарып алу/өзгерту).

  • Құпия сөзді басқару. Matterport құпия сөздердің күшін, жарамдылық мерзімін және пайдаланылуын басқару және бақылау үшін, соның ішінде пайдаланушылардың құпия сөздерді бөлісуіне жол бермеу үшін жасалған құпия сөзді басқару құралдарын қолдайды. Matterport тиісті бақылауды қамтамасыз ету үшін құпия сөз қауіпсіздігі стандарттарының салалық қабылданған қауіпсіздік жүйелерімен сәйкес келуін қамтамасыз етуге міндеттенеді.
  • Жұмыс станциясының қауіпсіздігі. Matterport соңғы пайдаланушы құрылғыларында қауіпсіздікті енгізеді және бұл құрылғылардың экранды құлыптау уақытын, зиянды бағдарламалардан қорғауды, брандмауэр бағдарламалық жасақтамасын, қашықтан басқаруды, аутентификацияланбаған файлдарды ортақ пайдалануды, қатты дискіні шифрлауды және тиісті патч деңгейлерін талап ететін қауіпсіздік стандарттарына сәйкес келетініне көз жеткізеді. Жұмыс станцияларындағы сәйкестік мәселелерін анықтау және жою үшін басқару элементтері енгізілді. Matterport қайта пайдалануға арналған физикалық медианы қайта пайдалану алдында қауіпсіз түрде зарарсыздандырады және қайта пайдалануға арналмаған физикалық медианы жояды.
  • БАҚ-пен жұмыс істеу. Matterport портативті сақтау құралдарын зақымданудан, жойылудан, ұрланудан немесе рұқсатсыз көшіруден, сондай-ақ портативті сақтау құралдарында сақталған жеке деректерді шифрлау және қажет болмаған кезде деректерді қауіпсіз жою арқылы қорғау шараларын жүзеге асырады. Жеке деректерді қорғау үшін мобильді есептеу құрылғылары үшін қосымша осындай шаралар енгізіледі.

7. Аудит және тіркеу.

 Matterport жүйелік аудитті немесе оқиғаларды тіркеуді, сондай-ақ тиісті бақылау процедураларын жүргізеді, пайдаланушылардың кіруі мен жүйелік белсенділігін үнемі талдау үшін алдын ала жазып алады. Matterport мұндай журнал жазбаларын заңсыз, рұқсат етілмеген немесе орынсыз ақпараттық жүйенің белсенділігін, соның ішінде сәтті және сәтсіз тіркелгіге кірулерді, тіркелгіні басқару оқиғаларын, қауіпсіздік оқиғаларын, нысанға кіруді, саясат өзгерістерін, артықшылықты функцияларды, әкімші тіркелгісін жасау/жоюды және басқа әкімші әрекеттерін, деректерді жоюды, деректерге кіруді және өзгертуді, брандмауэр журналдарын және рұқсат өзгерістерін бақылау, талдау, тергеу және есеп беру үшін қажетті дәрежеде жасайды, қорғайды және сақтайды.

8. Басқаруды өзгерту. Matterport компаниясы Matterport технологиялары мен ақпараттық активтеріндегі барлық өзгерістерді тексеру, бекіту және бақылау үшін жасалған өзгерістерді басқару процедуралары мен бақылау механизмдерін қолдайды. Matterport (немесе үшінші тарап) енгізген және үздіксіздікте үлкен өзгерістерге немесе үзілістерге әкелетін кез келген қолданба өзгертулері (түзету жұмыстарына қатысты өзгертулерді қоспағанда) іске қосылмас бұрын клиенттерге хабарланады, осылайша клиент кез келген мұндай үзілісті жою үшін қажетті қадамдар жасай алады.

9. Қауіп-қатер мен осалдықты басқару. Matterport компаниясы Matterport есептеу орталарындағы осалдықтарды үнемі анықтауға, басқаруға, бағалауға, азайтуға және/немесе жоюға арналған шараларды сақтайды.

Шараларға мыналар кіреді:

  • Патчтарды басқару
  • Антивирус/Зиянды бағдарламаларға қарсы
  • Қауіп туралы хабарлау нұсқаулары
  • Осалдықтарды сканерлеу (барлық ішкі жүйелер)
  • Жыл сайынғы ену тестілеуі (Интернетке қосылған жүйелер) бөлігі ретінде
  • Үшінші тарап қауіпсіздік компаниясының анықталған осалдықтарды жоюы.

10. Қауіпсіздік оқиғалары. Matterport компаниясы Matterport технологиясы мен ақпараттық активтеріне қатысты оқиғаларды тергеу, жауап беру, азайту және хабарлау үшін оқиғаларға жауап беру рәсімдерін сақтайды. Matterport компаниясы қолданыстағы заңдар мен ережелерді сақтау үшін құжатталған оқиғаларға жауап беру рәсімдерін ұстанады, соның ішінде кез келген деректердің бұзылуы туралы кез келген деректерді бақылаушыға негізсіз кідіріссіз хабарлауды, бірақ кез келген жағдайда Matterport компаниясының тұтынушының жеке деректеріне әсер ететіні белгілі немесе негізді түрде күдіктенетін жеке деректердің бұзылуын растағаннан кейін қырық сегіз (48) сағат ішінде хабарлауды қоса алғанда.

11. Бизнестің үздіксіздігі жоспарлары. Matterport стандартты салалық тәжірибелерге сәйкес күтілетін төтенше жағдайлардан немесе апаттардан кейін қызмет көрсетуді және қалпына келтіруді қамтамасыз етуге арналған белгілі бір бизнес үздіксіздігін/төзімділігін және апаттардан кейінгі қалпына келтіру процедураларын, қолданылуына қарай, сақтайды.

12. Жеткізушіні басқару. Matterport компаниясы Matterport ақпараттық қауіпсіздік саясатына сәйкестігін қамтамасыз ету үшін маңызды жеткізушілердің қауіпсіздік аудиттерін қоса алғанда, ресми жеткізушілерді басқару бағдарламасын жүргізеді. Matterport компаниясы жеткізушілерді белгілі бір тұтынушы деректеріне қол жеткізетін, сақтайтын немесе өңдейтін қосалқы өңдеушілер ретінде тартуы және пайдалануы мүмкін. 

13. Дизайн бойынша құпиялылық. Matterport әзірлеудің басында жүйелер мен жетілдірулер үшін құпиялылық бойынша дизайн қағидаттарын енгізеді және барлық қызметкерлерге жыл сайынғы қауіпсіздік және құпиялылық бойынша тренингтер өткізеді.

14. Жойылған және сақталған деректердің қауіпсіздігі. Matterport жүйелер мен медианы қауіпсіз жою үшін операциялық процедуралар мен бақылауларды сақтайды, бұл ондағы барлық ақпаратты немесе деректерді Matterport иелігінен біржола жойылғанға немесе босатылғанға дейін шешуге немесе қалпына келтіруге болмайтындай етеді. Matterport резервтік деректерді бұлт қоймасында жеті (7) күн бойы сақтайды және қолданыстағы заңнамаға және Matterport ішкі сақтау саясатына сәйкес басқа деректерді сақтай алады.

қате: Мазмұн қорғалған !!