سياسة أمان معلومات التعريف الشخصية

1 .بيان السياسة 

 

تلتزم إدارة شركة سلام موبايل بالوفاء بالمتطلبات والحفاظ على أمن معلومات التعريف الشخصية (PII) وتحسينها بشكل مستمر وذلك لتحمي أصول المعلومات وكذلك الملكية الفكرية لشركة سلام موبايل وعملائها. متمثلة في: 

 

  • ضمان الامتثال للتشريعات حماية معلومات التعريف الشخصية المعمول بها والشروط التعاقدية المتفق عليها بين سلام وعملائها.

 

  • وضع تدابير لجعل الموظفين المعنيين على دراية بالعواقب المحتملة على سلام موبايل والموظفين إذا قاموا بانتهاك قواعد وإجراءات الخصوصية والأمان، لا سيما تلك التي تتناول التعامل مع معلومات التعريف الشخصية. 

 

  • لأغراض التخلص الآمن أو إعادة الاستخدام، يجب معالجة المعدات التي تحتوي على وسائط تخزين قد تحتوي على معلومات التعريف الشخصية.  

 

  • تزويد سلام موبايل وعمال الخدمة السحابية بالوسائل التي تمكنهم من الوفاء بالتزاماتهم لتسهيل ممارسة حقوق مالك معلومات التعريف الشخصية للوصول إلى وتصحيح و / أو محو المعلومات الشخصية المتعلقة بهم.

 

2 .تحديد جميع معلومات التعريف الشخصية الموجودة في بيئة سلام موبايل

 

 لا تستطيع المنظمة حماية معلومات التعريف الشخصية التي لا تعرف عنها بشكل صحيح؛ تتبع سلام موبايل هذا التعريف الواسع لمعلومات التعريف الشخصية لتحديد أكبر عدد ممكن من المصادر المحتملة لمعلومات التعريف الشخصية (على سبيل المثال ، قواعد البيانات ومحركات الشبكة المشتركة وأشرطة النسخ الاحتياطي ومواقع المتعاقدين). 

معلومات التعريف الشخصية هي – أي معلومات عن فرد تحتفظ بها سلام موبايل ، بما في ذلك:

 

1 ) أي معلومات يمكن استخدامها لتمييز أو تتبع هوية الفرد، مثل الاسم أو رقم الهوية أو تاريخ ومكان الميلاد أو اسم الأم أو البصمات.

 2 ) أي معلومات أخرى مرتبطة بالشخص، مثل المعلومات الطبية والتعليمية والمالية والوظيفية.

 

 تتضمن أمثلة معلومات التعريف الشخصية في سلام موبايل ، على سبيل المثال لا الحصر: 

  • الاسم ، مثل الاسم الكامل أو الاسم قبل الزواج أو اسم الأم قبل الزواج أو الاسم المستعار  
  • رقم التعريف الشخصي ، مثل رقم بطاقة الهوية الوطنية أو رقم جواز السفر أو رقم رخصة القيادة أو رقم تعريف دفع الضرائب أو رقم الحساب المالي أو بطاقة الائتمان؛  
  • معلومات العنوان ، مثل عنوان الشارع أو عنوان البريد الإلكتروني؛
  •  الخصائص الشخصية ، بما في ذلك الصور الفوتوغرافية (خاصة للوجه أو أي خصائص تعريفية أخرى) ، أو بصمات الأصابع ، أو الكتابة اليدوية ، أو بيانات القياسات الحيوية الاخرى (مثل مسح شبكية العين ، والتوقيع الصوتي ، وهندسة الوجه).
  • معلومات حول فرد مرتبط أو يمكن ربطه بأي مما سبق (على سبيل المثال ، تاريخ الميلاد ، مكان الميلاد ، العرق ، الدين ، الوزن ، الأنشطة ، المؤشرات الجغرافية ، معلومات التوظيف ، المعلومات الطبية ، المعلومات التعليمية ، المعلومات المالية).

 

3 .التقليل من استخدام، أو جمع، أو الاحتفاظ بمعلومات التعريف الشخصية

 

ستقلل شركة سلام موبايل من استخدام، أو جمع، أو الاحتفاظ بمعلومات التعريف الشخصية إلى ما هو ضروري للغاية إنجاز هدفها التجاري ومهامها. وبالتالي، ستعمل شركة سلام موبايل على تقليل احتمالية الضرر الناجم عن انتهاك معلومات التعريف الشخصية بشكل كبير.

تقوم شركة سلام موبايل بما يلي:

 

  • مراجعة السجلات الحالية لمعلومات التعريف الشخصية بانتظام والتأكد من أنها صحيحة ودقيقة وذات صلة لأعمالها ومهامها؛
  • تقليل حيازة معلومات التعريف الشخصية إلى الحد الأدنى الضروري لأداء وظائفها بشكل صحيح؛  
  • وضع جدول زمني للمراجعة الدورية لسجلات معلومات التعريف الشخصية؛  
  • وضع خطة للتقليل من الجمع غير الضروري أرقام الهويات الوطنية.  
  • اتباع سياسة واضحة فيما يتعلق بإرجاع معلومات التعريف الشخصية ونقلها و/ أو التخلص منها وستجعل هذه السياسة متاحة لعملاء سلام موبايل.

 

 

تضمن شركة سلام موبايل ما يلي:

 

  • لا تتم معالجة معلومات التعريف الشخصية التي ستتم معالجتها بموجب عقد ألي غرض آخر مستقل.
  • لا يتم استخدام معلومات التعريف الشخصية التي تتم معالجتها بموجب عقد أغراض التسويق والإعلان دون موافقة صريحة؛ يجب الا تكون هذه الموافقة شرطا للحصول على الخدمة.
  •  يتم مسح الملفات والوثائق المؤقتة أو إتلافها خلال فترة محددة وموثقة.
  •  يتطلب العقد المبرم بين سالم موبايل والعميل ، إخطار العميل بأي طلب ملزم قانونًا للكشف عن معلومات التعريف الشخصية من قبل السلطات، ما لم يكن هذا الكشف غير مصرح به من قبل الجهات الأمنية.
  •  يتم توثيق عمليات الكشف عن معلومات التعريف الشخصية أطراف ثالثة، بما في ذلك معلومات التعريف الشخصية التي تم الكشف عنها ولمن وفي أي وقت.
  •  يجب الإفصاح عن استخدام الطرف الثالث معلومات التعريف الشخصية لعملاء سلام موبايل ذات الصلة قبل استخدامها.
  •  سلام موبايل، بصفته المعالج لمعلومات التعريف الشخصية، يقوم على الفور بإخطار عميل الخدمة السحابية ذي الصلة في حالة أي وصول غير مصرح به إلى معلومات التعريف الشخصية أو الوصول غير المصرح به إلى معدات أو مرافق المعالجة مما يؤدي إلى فقدان معلومات التعريف الشخصية أو الكشف عنها أو تغييرها.
  • يتم الاحتفاظ بنسخ من سياسات وإجراءات األمان لفترة محددة وموثقة عند استبدالها (بما في ذلك التحديث).
  • الأفراد الذين لديهم إمكانية الوصول إلى معلومات التعريف الشخصية يخضعون لسياسة الالتزام بالسرية.
  •  يُحظر إنشاء مواد ورقية تعرض معلومات التعريف الشخصية.
  •  هناك إجراء وسجل توثيق لعمليات استعادة البيانات.
  • خضوع معلومات التعريف الشخصية على الوسائط التي تغادر مقر شركة سلام موبايل إجراءات التصريح ويجب ألا تكون في متناول أي شخص آخر غير الأفراد المعتمدين.
  •  لا يتم استخدام الوسائط المادية المحمولة والأجهزة المحمولة التي لا تسمح بالتشفير الا في الحالات التي لا يمكن تجنبها فيها، ويجب توثيق أي استخدام لهذه الوسائط والأجهزة المحمولة
  •  يتم تشفير معلومات التعريف الشخصية التي يتم إرسالها عبر شبكات نقل البيانات العامة قبل الإرسال.
  • في حالة إتلاف المواد الورقية، يتم إتلافها بشكل آمن باستخدام آليات مثل التقطيع والحرق وما إلى ذلك.
  •  إذا كان لدى أكثر من فرد حق الوصول إلى معلومات التعريف الشخصية المخزنة، فسيكون لكل منهم معرف مستخدم مميز لتحديد الهوية والمصادقة والتخويل.  
  • يتم الاحتفاظ بسجل محدث للمستخدمين أو ملفات تعريف المستخدمين الذين لديهم حق الوصول إلى نظام المعلومات.  
  • لا يتم منح معرفات المستخدم التي تم إلغاء تنشيطها أو منتهية الصلاحية لافراد آخرين.  
  • تحدد العقود المبرمة بين سالم موبايل وعملائها الحد الأدنى من التدابير التنظيمية لضمان أن الترتيبات الأمنية المتعاقد عليها سارية وأن البيانات لا تتم معالجتها الا لغرض مستقل عن تعليمات بنود العقد.  
  • تحدد العقود المبرمة بين سلام موبايل، بصفتها معالج المعلومات الشخصية وأي متعاقدين فرعيين يقومون بمعالجة معلومات التعريف الشخصية ، الحد الأدنى من الإجراءات التنظيمية التي تفي بأمن المعلومات والتزامات حماية معلومات التعريف الشخصية الخاصة بـسلام موبايل.
  • عندما يتم تخصيص مساحة تخزين لبيانات عميل سلام موبايل ضمن الخدمة السحابية، فإن أي بيانات موجودة مسبقًا على مساحة التخزين هذه تكون غير مرئية لعميل آخر ضمن الخدمة السحابية ذاتها.
  •  يجب تحديد وتوثيق هوية البلدان التي قد يتم تخزين المعلومات الشخصية فيها.  
  • تخضع معلومات التعريف الشخصية المرسلة باستخدام شبكة نقل البيانات لضوابط مناسبة مصممة لضمان وصول البيانات إلى وجهتها المقصودة.

 

4 .تصنيف معلومات التعريف الشخصية

  • يجب تقييم معلومات التعريف الشخصية في سلام موبايل لتحديد مستوى تأثير سرية معلومات التعريف الشخصية بحيث يمكن تطبيق الحماية المناسبة على معلومات التعريف الشخصية.
  • يجب تصنيف مستوى تأثير سرية معلومات التعريف الشخصية على أنه منخفض أو متوسط أو مرتفع للإشارة إلى الضرر المحتمل الذي قد ينتج عن الأفراد الخاضعين و / أو المنظمة إذا تم الوصول إلى هذه المعلومات أو استخدامها أو الكشف عنها بشكل غير لائق.
  • يجب أن تستخدم شركة سلام موبايل العوامل التالية لتحديد مستوى تأثير سرية معلومات التعريف الشخصية.

 

تحديد الهوية

تقوم شركة سلام موبايل بتقييم مدى سهولة استخدام معلومات التعريف الشخصية لتحديد أفراد معينين. على سبيل المثال ، يحدد رقم الهوية الوطنية بشكل فريد ومباشر فردا ، بينما يحدد رمز منطقة الهاتف مجموعة من الأشخاص. 

 

كمية معلومات التعريف الشخصية 

يجب أن تنظر سلام موبايل في عدد الأفراد الذين يمكن التعرف عليهم من معلومات التعريف الشخصية. قد يكون لاختراق 25 سجلاً و 25 مليون سجل تأثيرات مختلفة. يجب رفع مستوى تأثير سرية معلومات تعرف الهوية الشخصية فقط وليس خفضه بناء على هذا العامل.

 

حساسية مجال البيانات 

  • تقوم شركة سلام موبايل بتقييم حساسية كل حقل بيانات فردي لمعلومات التعريف الشخصية. على سبيل المثال ، يكون رقم الهوية الشخصية أو رقم الحساب المالي للفرد أكثر حساسية بشكل عام من رقم هاتف الفرد أو الرمز البريدي.
  • تقوم شركة سلام موبايل أيضا بتقييم حساسية حقول بيانات التعريف الشخصية عند دمجها.

سياق الاستخدام

 تقوم شركة سلام موبايل بتقييم سياق الاستخدام – الغرض الذي من أجله يتم جمع معلومات التعريف الشخصية أو تخزينها أو استخدامها أو معالجتها أو الكشف عنها أو نشرها؛ قد يتسبب سياق الاستخدام في تخصيص نفس مستويات تأثير سرية معلومات التعريف الشخصية إلى نفس عناصر معلومات التعريف الشخصية بناء على استخدامها؛على سبيل المثال ، افترض أن سلام موبايل لديها قائمتان تحتويان على نفس حقول بيانات التعريف الشخصية (مثل الاسم والعنوان ورقم الهاتف). القائمة الأولى هي لأشخاص يشتركون في نشرة إخبارية للمصالح العامة تصدرها المنظمة ، والقائمة الثانية هي لأشخاص يعملون متخفيين في إنفاذ القانون. في حالة انتهاك سريةً القوائم، تختلف التأثيرات المحتملة على الأفراد المتضررين والمؤسسة اختلافاً كبيراً لكل قائمة. 

 

التزامات حماية السرية

إذا كانت سلام موبايل تخضع لاية التزامات لحماية معلومات التعريف الشخصية، فيجب عليها مراعاة هذه الالتزامات عند تحديد مستوى تأثير سرية المعلومات وتشمل التزامات الحماية عمو ًما القوانين أو اللوائح أو غيرها من التفويضات.

 

الوصول إلى وموقع تخزين معلومات التعريف الشخصية

يجب أن تأخذ شركة سلام موبايل في الاعتبار طبيعة الدخول المصرح به الى اماكن تخزين معلومات التعريف الشخصية، هناك المزيد من الفرص لاانتهاك معلومات التعريف الشخصية إذا كان عدد الاشخاص و/أو الشركات المصرح لهم بالدخول الى اماكن تخزين معلومات التعريف الشخصية كبير لا يتم مراجعتهم دورياً وإذا كان يتم نقل البيانات بشكل منتظم خارج الموقع.

 

 5 .تطبيق التدابير الأمنية الخاصة بمعلومات التعريف الشخصية بناء على مستوى تأثير سرية المعلومات

  • نظًرا لأنه لا يمكن حماية جميع معلومات التعريف الشخصية بنفس الطريقة، فقد تطبق شركة سلام موبايل شروط مناسبة لحماية سرية معلومات التعريف الشخصية استنادا إلى مستوى تأثير سرية المعلومات.
  • قد تقوم شركة سلام موبايل بالضمانات التشغيلية التالية، والضمانات الخاصة بالخصوصية، وضوابط الأمان.

إنشاء السياسات والإجراءات

تضع شركة سلام موبايل سياسات وإجراءات شاملة لحماية سرية معلومات التعريف الشخصية. 

 

إجراء التدريب

تقلل شركة سلام موبايل من إمكانية الوصول إلى معلومات التعريف الشخصية أو استخدامها أو الكشف عنها بشكل غير لائق من خلال مطالبة جميع الأفراد بتلقي التدريب المناسب قبل منحهم حق الوصول إلى الأنظمة التي تحتوي على معلومات التعريف الشخصية.

 

إلغاء تحديد معلومات التعريف الشخصية

قد تقوم سلام موبايل بإلغاء تحديد السجلات عن طريق إزالة ما يكفي من معلومات التعريف الشخصية بحيث لا تحدد المعلومات المتبقية أي فرد ولا يمكن استخدام تلك المعلومات لتحديد هوية الفرد؛ يمكن استخدام السجلات مجهولة الهوية عندما لا تكون السجلات الكاملة ضرورية، مثل اختبارات الارتباطات والاتجاهات. 

 

استخدام شروط للوصول

قد تتحكم شركة سلام موبايل في الوصول إلى معلومات التعريف الشخصية من خلال سياسات التحكم في الوصول وآليات إنفاذ الوصول (على سبيل المثال ، قوائم التحكم في الوصول).

 

تنفيذ التحكم في الوصول لأجهزة المحمولة

قد تحظر شركة سلام موبايل أو تقيد بشكل صارم الوصول إلى معلومات التعريف الشخصية من الأجهزة المحمولة، مثل أجهزة الكمبيوتر المحمولة والهواتف المحمولة والمساعدات الرقمية الشخصية، والتي تعد بشكل عام أكثر خطورة من الأجهزة غير المحمولة.

 

توفير سرية النقل

تحمي شركة سلام موبايل سرية معلومات التعريف الشخصية المرسلة، عن طريق تشفير الاتصالات أو تشفير المعلومات قبل إرسالها.

 

أحداث التدقيق

تراقب شركة سلام موبايل الأحداث التي تؤثر على سرية معلومات التعريف الشخصية، مثل الوصول غير المصرح به إلى معلومات التعريف الشخصية. 

 

نقل معلومات التعريف الشخصية 

عندما يتم استخدام الوسائط المادية لنقل المعلومات، يجب وضع نظام لتسجيل الوسائط المادية الواردة والصادرة التي تحتوي على معلومات التعريف الشخصية، بما في ذلك نوع الوسائط المادية، والمرسل / المستلمون المعتمدون ، والتاريخ والوقت ، وعدد الوسائط المادية . حيثما أمكن ، سيُطلب من عملاء الخدمة السحابية وضع تدابير إضافية (مثل التشفير) لضمان إمكانية الوصول إلى البيانات فقط في نقطة الوجهة وليس في المسار. 

 

دليل مستقل على أمن المعلومات

في الحالات التي تكون فيها عمليات تدقيق عملاء سلام موبايل الفردية غير عملية أو قد تزيد من المخاطر على الأمن ، فإن شركة سلام موبايل، يجب أن تتيح لعملائها المحتملين ، قبل الدخول في عقد ، وطوال مدته ، بشكل مستقل. دليل على أن أمن المعلومات يتم تنفيذه وتشغيله وفقً ة معلومات التعريف ا لسياسات وإجراءات معالج الشخصية.

 

6 .خطة الاستجابة للحوادث للتعامل مع الانتهاكات على معلومات التعريف الشخصية

  • يجب أن يتم مراجعة سجلات معلومات التعريف الشخصية بعد الحوادث الأمنية، كجزء من عملية إدارة حوادث أمن المعلومات، لتحديد ما إذا كان قد حدث خرق للبيانات يتضمن معلومات التعريف الشخصية.
  • تعد الانتهاكات التي تنطوي على معلومات التعريف الشخصية خطرة على كل من الأفراد والمنظمات؛ يمكن احتواء الضرر الذي يلحق بالأفراد والمنظمات وتقليله من خالل تطوير خطط استجابة فعالة لحوادث الانتهاكات.
  • ستضع سلام موبايل خططًا تتضمن عناصر مثل تحديد متى وكيف يجب إخطار الأفراد، وكيف يجب الإبلاغ عن الاختراق ، وما إذا كان يجب تقديم خدمات بعد الانتهاك ، مثل مراقبة بطاقات الائتمان للأفراد المتضررين.

7 .التنسيق لمعلومات التعريف الشخصية

 

يجب أن تنشئ شركة سلام موبايل تنسيقًا وثيقًا بين جميع الضوابط المسؤولة عن معلومات التعريف الشخصية. قد يقترحون وينفذون ضوابط أمنية تقنية لفرض سرية معلومات التعريف الشخصية؛ يجب أن يساعد التنسيق الخبراء المعنيين في منع الحوادث التي قد تؤدي إلى تسوية وإساءة استخدام معلومات التعريف الشخصية من خلال ضمان التفسير المناسب وتنفيذ المتطلبات.

 

8 .الاتفاقيات التعاقدية لمعلومات التعريف الشخصية

  • يجب أن تحدد الاتفاقيات التعاقدية التي تتضمن معلومات التعريف الشخصية، المسؤوليات بوضوح بين شركة سلام موبايل والمتعاقدين معها وعملاء سلام موبايل ، مع مراعاة نوع الخدمة المعنية.
  • يجب أن تقوم شركة سلام موبايل بتعيين نقطة اتصال ليستخدمها كل عميل من عملائها.

9 .سجلات الأحداث لمعلومات التعريف الشخصية

  • يجب وضع خطة عملية لمراجعة سجلات الأحداث في فترات دورية محددة وموثقة، لتحديد المخالفات واقتراح حلول للإصلاح.
  • حيثما أمكن ، يجب أن تسجل سجلات الأحداث ما إذا كان قد تم تغيير معلومات التعريف الشخصية (تمت إضافتها أو تعديلها أو حذفها) نتيجة لحدث ومن قبل من.
  • يجب أن تحدد شركة سلام موبايل، المعايير المتعلقة بما إذا كانت معلومات السجل متاحة أو قابلة للاستخدام من قبل عميل سلام موبايل، ومتى وكيف يمكن ذلك. يجب أن تكون هذه الإجراءات متاحة لعملاء سلام موبايل.
  • عندما يُسمح لعميل الخدمة السحابية بالوصول إلى سجلات الأحداث التي تتحكم فيها شركة سلام موبايل، يتعين على شركة سلام موبايل التأكد من أنه يمكن للعميل الوصول إلى السجلات المتعلقة بأنشطة وبيانات العميل نفسه فقط، ولا يمكنه الوصول إلى أي سجل من السجلات التي تتعلق بأنشطة عملاء سلام موبايل الآخرين.
  • تتخذ شركة سلام موبايل إجراءات لضمان عدم استخدام المعلومات المسجلة الا للأغراض المقصودة منها.
  • تضع شركة سلام موبايل إجراءات لضمان حذف المعلومات المسجلة خالل فترة محددة وموثقة.

up arrow