INFORMATIONSGESELLSCHAFT ÜBER DIE IGUIDE. KI E-COMMERCE PLATFORM
ANHANG Ziele
iGuide.ai beschäftigt technische und organisatorische Maßnahmen an:
- Gewährleistung der Sicherheit, Integrität und Sicherheit von Nutzer- und Service Provider-Daten auf dem iGuide. ai E-Commerce-Plattform;
- Verhindern und minimieren Sie das Risiko eines unbefugten Zugriffs, Missbrauchs, unbefugte Offenlegung, Verlust, Fehlplatzierung, Änderung oder Zerstörung von Daten;
- Entspricht den vietnamesischen Gesetzen und Vorschriften über die Informationssicherheit, Cybersicherheit und den persönlichen Datenschutz.
2. Sicherheitsprinzipien
Informationssicherheit auf dem iGuide. ai-Plattform wird nach folgenden Grundsätzen umgesetzt:
- Daten minimieren:Die Daten werden nur in dem Maße erhoben und gespeichert, wie dies für die Erbringung von Dienstleistungen, die Erfüllung vertraglicher Verpflichtungen und die Einhaltung gesetzlicher Vorschriften erforderlich ist;
- Einschränkung des Zugangs und Gewährleistung der Nutzung ist für seinen beabsichtigten Zweck:Personenbezogene Daten und Transaktionsdaten werden nur von autorisierten Personen/Abteilungen zu Zwecken, die gesetzlich offengelegt und/oder erforderlich sind, aufgerufen;
- Schutz durch geeignete technische und organisatorische Maßnahmen.Anwendung einer Kombination von technischen, operativen und internen Governance-Maßnahmen zum Schutz von Informationen während des gesamten Lebenszyklus der Datenverarbeitung;
- Regelmäßige Überprüfung und VerbesserungRegelmäßige Bewertung, Überprüfung und Upgrade von Sicherheitsmaßnahmen, die erforderlich sind, um Änderungen der Technologie, der Betriebsmodelle und der gesetzlichen Anforderungen zu erfüllen.
3. Technische Maßnahmen zum Informationsschutz
3.1 Sicherheit bei der Datenübertragung und Speicherung
- Alle Datenübertragungen zwischen dem Benutzer/Credential-Gerät und dem iGuide. ai-System wird über ein sicheres Protokoll (HTTPS/TLS) durchgeführt, um den bei der Übertragung ausgetauschten Inhalt zu verschlüsseln;
- Benutzer- und Anbieterkonto-Passwörter werden mit entsprechenden Algorithmen verschlüsselt/hashed, bevor sie im System gespeichert werden;
- Je nach Art der Daten wendet iGuide.ai Verschlüsselungs-, Anonymisierungs- oder Spoofing-Maßnahmen an, um das Risiko von Datenleckage im Falle eines Zwischenfalls zu minimieren;
- iGuide.aiWir speichern keine Bankkarte oder Kreditkartendaten.des Nutzers. Alle Zahlungstransaktionen werden durch lizenzierte Zwischenzahlungs-Gateways durchgeführt, die Verschlüsselungs- und Sicherheitsmechanismen anwenden, die Standards erfüllen (einschließlich PCI DSS Standards oder gleichwertig, wie gesetzlich vorgeschrieben und Industriestandards).
3.2. Zugangskontrolle und Systeminfrastruktur
- Die Datenbanksystem- und Anwendungsserver werden in einer in Vietnam ansässigen Rechenzentrumsumgebung eingesetzt, die entsprechende betriebliche Sicherheitsstandards (z.B. Level I oder höher) mit physikalischer Zugriffskontrolle und Sicherheitsüberwachung erfüllt;
- Einschränkung des direkten Zugriffs auf die Datenbank; nur autorisierte technische Konten sind erlaubt, diese zu betreiben, basierend auf strenger funktionsbasierter Zugriffskontrolle und dem Prinzip "need-to-know/need-to-use".
- Umsetzung von infrastrukturellen Schutzmaßnahmen wie Firewalls, Netzwerktrennung, sichere Konfiguration von Betriebssystemen und Serversoftware und Sicherheits-Patch-Updates bei Bedarf;
- Die interne Systemanmeldung wird über einen Mechanismus der Authentifizierung des Mitarbeiterkontos, der Funktionsberechtigung und der Erfassung der Transaktionshistorie auf dem Verwaltungssystem gesteuert.
3.3. Sicherheitsprotokollierung, Überwachung und Alarmierung
- Das iGuide.ai-System speichert Zugriffsprotokolle, Systemprotokolle und Anwendungsprotokolle nur so viel wie nötig für Überwachungs-, Versöhnungs- und Untersuchungszwecke, wenn Anomalien erkannt werden.
- Implementierung von Sicherheitsüberwachungsmechanismen und Alarmsystemen für ungewöhnliche Zugriffe, Überschreitung von Schwellenwerten für gescheiterte Anmeldeversuche und Erkennung verdächtiger Aktivitäten wie Angriffe oder Sicherheitsausbeutung.
- Systemprotokolle werden für einen angemessenen Zeitraum gemäß den gesetzlichen Anforderungen und den betrieblichen Bedürfnissen aufbewahrt und dann gelöscht, kalt gespeichert oder anonymisiert, wenn sie nicht mehr benötigt werden.
3.4. Datensicherung, Wiederherstellung und Service Kontinuität
- Automatische/periodische Datensicherungen für kritische Systemkomponenten (Datenbanken, Systemkonfigurationen, Quellcode nach Bedarf) durchführen, um eine Wiederherstellung bei Ausfall zu gewährleisten;
- Backup-Daten werden sicher, mit kontrolliertem Zugriff gespeichert und werden nach internen Verfahren regelmäßig wiederhergestellt.
- Entwicklung von Kontingenzplänen und Katastrophenrückgewinnungsplänen (DRP/BCP), die dem Umfang und der Art der Operationen der Exchange angemessen sind, um die Ausfallzeiten im Falle eines Zwischenfalls zu minimieren.
3.5. Zahlungs- und Finanzinformationen
- Online-Zahlungstransaktionen werden über von den zuständigen Behörden lizenzierte Zahlungsgateways durchgeführt;
- Sensitive Zahlungsinformationen (Kartennummer, CVV-Code, PIN, etc.) werden nicht auf iGuide gespeichert. ai's System; Zahlungspartner sind für die Anwendung von Karteninformationssicherheitsstandards wie vorgeschrieben (z.B. PCI DSS) und einschlägigen gesetzlichen Vorschriften verantwortlich;
- iGuide.ai behält nur wesentliche Transaktionsinformationen (z.B. Transaktionscode, Status, Zahlungsmethode, Auftragswert) für Versöhnung, Rechnungslegung und rechtliche Zwecke vor.
4. Organisations- und Managementmaßnahmen für die Sicherheit.
4.1. Interne Geheimhaltungsregelungen und Delegation von Verantwortlichkeiten
- iGuide.ai stellt interne Vorschriften und Verfahren für die Informationssicherheit, den Schutz personenbezogener Daten, das Systemzugangsmanagement und das Sicherheitsvorfallmanagement aus, hält und aktualisiert;
- Deutlich die Verantwortlichkeiten und Befugnisse der zuständigen Abteilungen (technisch, betriebswirtschaftliche, kundendienstliche, rechtliche usw.) in Empfang, Verarbeitung und Schutz von Informationen definieren;
- Alle Personen, die Zugang zu Nutzer-/Kreditdaten haben, müssen sich an eine Vertraulichkeitsvereinbarung halten und dürfen die Daten nicht für einen Zweck außerhalb des Geltungsbereichs ihrer zugewiesenen Aufgaben offenlegen oder missbräuchlich verwenden.
4.2 Ausbildung und Sensibilisierung für die Informationssicherheit
- Regelmäßig organisieren oder integrieren Sie Schulungen und Anleitungen zur Informationssicherheit, zum persönlichen Datenschutz und zur Erkennung von Phishing-Angriffen (Phishing, Social Engineering, etc.) für interne Mitarbeiter;
- Aktuelle Aktualisierung und Verbreitung neuer gesetzlicher Vorschriften, Normen und Empfehlungen zur Informationssicherheit im Zusammenhang mit E-Commerce-Plattformen.
4.3. Verwaltung von Infrastrukturdienstleistern, Partnern und Lieferanten.
- Dazu gehören verbindliche Verpflichtungen hinsichtlich der Datensicherheit und des Schutzes von Nutzer- und Lieferanteninformationen in Verträgen/Partnerschaften mit:
- Partner, die technische Infrastruktur (Datenzentren, Cloud Computing usw.) bereitstellen;
- Partner, die Zahlungsdienste, technische Unterstützung oder operative Dienste im Zusammenhang mit der Datenverarbeitung bereitstellen;
- Reise- und damit verbundene Dienstleister (NCCs) können auf die von iGuide übertragenen Nutzerdaten zugreifen. ai für die Erbringung von Dienstleistungen.
- Erfordern Sie Dritten, angemessene Sicherheitsstandards einzuhalten und nur Daten zu den von iGuide zugelassenen Zwecken und Umfang zu verarbeiten. ai oder wie gesetzlich vorgeschrieben.
5. Umgang mit Informationssicherheitsvorfällen
5.1. Inzidenter Empfang und Bewertung
Beim Erkennen oder Verdächtigen eines Datenlecks, Verlust, unbefugter Zugriff oder Cyberattack im Zusammenhang mit Daten auf dem iGuide. ai Plattform, wir werden:
- Erste Informationen von Überwachungssystemen, Benutzer/Lieferanten-Feedback oder Partnerberichten sammeln;
- Bewertung der Auswirkungen und des Einflussbereichs (Datentyp, Anzahl der Datensätze, verbundene Parteien).
5.2. Isolierung und Fehlerbehebung
Auf der Grundlage der ersten Bewertungen, iGuide. ai wird dringend vorgehen:
- Ergänzen Sie notwendige technische Maßnahmen, um die Quelle des Vorfalls zu isolieren, einen weiteren unberechtigten Zugriff oder Verbreitung des Angriffs zu verhindern;
- Zusammenarbeit mit Infrastrukturpartnern, Zahlungspartnern und Interessenvertretern, um die Ursache zu untersuchen und das System in einen sicheren Zustand zu bringen;
- Fix, Patch, Einstellungen anpassen oder zusätzliche Sicherheitsmaßnahmen (falls erforderlich) implementieren, um die Wahrscheinlichkeit der Wiederauftreten zu begrenzen.
5.3. Benachrichtigung Benutzer und zuständige Behörden
- Soweit gesetzlich vorgeschrieben oder für den Schutz der berechtigten Rechte der Nutzer/Lieferanten erforderlich, iGuide. ai informiert relevante Parteien über den Sicherheitsvorfall, seine Auswirkungen und empfiehlt Selbstschutzmaßnahmen (z.B. Änderung von Passwörtern, Überprüfung von Transaktionen usw.);
- Die Notifizierung und Berichterstattung an die zuständigen staatlichen Behörden (falls erforderlich) erfolgt nach den im geltenden Recht festgelegten Verfahren, Formalitäten und Fristen.
5.4. Überprüfung und Vermeidung von Wiederholungen
Nachdem das Problem behoben ist, iGuide. wird:
- Überprüfung und Neubewertung der einschlägigen internen technischen Systeme und Prozesse;
- Erlernte und fasst zusammen, aktualisierte Richtlinien/Verfahren und stärkt technische und organisatorische Maßnahmen, um ähnliche Vorfälle in der Zukunft zu verhindern.
Diese Politik ist Teil des iGuide. ai E-Commerce-Plattform die operativen Regelungen und kann regelmäßig überprüft und aktualisiert werden, um den gesetzlichen Anforderungen und operativen Gegebenheiten gerecht zu werden. Änderungen oder Ergänzungen (falls vorhanden) werden auf dem iGuide öffentlich bekannt gegeben. ai System nach Vorschriften.