iGuide logo
Авторизоваться|Зарегистрироваться

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА ГИД. ПЛАТФОРМА ЭЛЕКТРОННОГО КОМИТЕТА

1. Цели

iGuide.ai использует технические и организационные меры для:

  • Обеспечение безопасности, целостности и безопасности данных Пользователя и Поставщика услуг (SPP) в iGuide. платформа электронной коммерции;
  • Предотвратить и минимизировать риск несанкционированного доступа, неправильного использования, несанкционированного раскрытия, потери, неуместного использования, изменения или уничтожения данных;
  • Соблюдать вьетнамские законы и правила, касающиеся информационной безопасности, кибербезопасности и защиты персональных данных.

2. Принципы безопасности

Информационная безопасность в iGuide. Платформа ai реализуется по следующим принципам:

  • Минимизировать данные:Данные будут собираться и храниться только в объеме, необходимом для предоставления услуг, выполнения договорных обязательств и соблюдения правовых норм;
  • Ограничить доступ и обеспечить использование по назначению:Персональные данные и данные о транзакциях доступны только уполномоченным лицам / департаментам для целей, которые были раскрыты и / или требуются по закону;
  • Защита посредством соответствующих технических и организационных мер.Применение комбинации технических, оперативных и внутренних мер управления для защиты информации на протяжении всего жизненного цикла обработки данных;
  • Регулярный обзор и улучшениеРегулярно оценивать, пересматривать и обновлять меры безопасности по мере необходимости для удовлетворения изменений в технологии, операционных моделях и правовых требованиях.

3. Технические меры по защите информации

3.1 Безопасность при передаче и хранении данных

  • Вся передача данных между Пользователем/Удостоверением и iGuide. ai система осуществляется по защищенному протоколу (HTTPS/TLS) для шифрования контента, обмениваемого во время передачи;
  • Пароли учетных записей пользователей и поставщиков шифруются / хэшируются с использованием соответствующих алгоритмов перед хранением в системе;
  • В зависимости от характера данных iGuide.ai применяет меры шифрования, анонимизации или спуфинга для минимизации риска утечки данных в случае инцидента;
  • iGuide.aiМы не храним банковскую карту или данные кредитной карты.пользователю. Все платежные операции осуществляются через лицензированные посреднические платежные шлюзы, которые применяют механизмы шифрования и безопасности, соответствующие стандартам (включая стандарты PCI DSS или эквивалентные, предусмотренные законодательством и отраслевыми стандартами).

3.2 Контроль доступа и инфраструктура системы

  • Система баз данных и серверы приложений развернуты в среде центра обработки данных, расположенной во Вьетнаме, в соответствии с соответствующими стандартами эксплуатационной безопасности (например, уровня I или выше), с контролем физического доступа и мониторингом безопасности;
  • Ограничить прямой доступ к базе данных; управлять ею разрешается только авторизованным техническим учетным записям, основанным на строгом контроле доступа на основе ролей и принципе «нужно знать / нужно использовать».
  • Внедрение мер защиты на уровне инфраструктуры, таких как брандмауэры, разделение сети, безопасная конфигурация операционных систем и серверного программного обеспечения, а также обновления патчей безопасности при необходимости;
  • Логин внутренней системы контролируется посредством механизма аутентификации учетной записи сотрудника, функционального авторизации и записи истории транзакций в системе администрирования.

3.3 Регистрация, мониторинг и оповещения о безопасности

  • Система iGuide.ai хранит журналы доступа, системные журналы и журналы приложений только столько, сколько необходимо для целей мониторинга, сверки и исследования при обнаружении аномалий.
  • Внедрение механизмов мониторинга безопасности и систем оповещения для необычного доступа, превышения пороговых значений для неудачных попыток входа в систему и обнаружения подозрительной активности, такой как атаки или эксплуатация уязвимостей.
  • Системные журналы хранятся в течение разумного периода времени в соответствии с требованиями законодательства и операционными потребностями, а затем удаляются, хранятся в холодном хранилище или анонимизируются, когда они больше не нужны.

3.4 Резервное копирование данных, восстановление и непрерывность обслуживания

  • Выполнять автоматическое/периодическое резервное копирование данных для критически важных компонентов системы (базы данных, конфигурации системы, исходный код по мере необходимости) для обеспечения восстановления в случае сбоя;
  • Данные резервного копирования хранятся надежно, с контролируемым доступом и проходят регулярное тестирование на восстановление в соответствии с внутренними процедурами.
  • Разработать планы на случай непредвиденных обстоятельств и планы аварийного восстановления (DRP/BCP), соответствующие масштабу и характеру операций Биржи, чтобы минимизировать время простоя обслуживания в случае инцидента.

3.5 Платежная и финансовая информация

  • Онлайн-платежные операции проводятся через авторизованные платежные шлюзы, лицензированные компетентными органами;
  • Чувствительная платежная информация (номер карты, код CVV, PIN-код и т.д.) не хранится на iGuide. система ai; платежные партнеры несут ответственность за применение стандартов информационной безопасности карт, как предписано (например, PCI DSS) и соответствующих правовых норм;
  • iGuide.ai сохраняет только важную информацию о транзакции (например, код транзакции, статус, способ оплаты, стоимость заказа) для сверки, учета и юридических целей.

4. Организационные и управленческие меры безопасности.

4.1 Правила внутренней конфиденциальности и делегирование обязанностей

  • iGuide.ai выпускает, поддерживает и обновляет внутренние правила и процедуры, касающиеся информационной безопасности, защиты персональных данных, управления доступом к системе и управления инцидентами безопасности;
  • Четко определить обязанности и полномочия соответствующих отделов (технических, операционных, клиентского обслуживания, юридических и т.д.) в получении, обработке и защите информации;
  • Все сотрудники, имеющие доступ к данным пользователя / учетным данным, должны соблюдать соглашение о конфиденциальности и не должны раскрывать или злоупотреблять данными для любых целей, выходящих за рамки их обязанностей.

4.2 Обучение и повышение осведомленности в области информационной безопасности

  • Регулярно организовывать или интегрировать обучение и руководство по информационной безопасности, защите персональных данных и распознаванию фишинговых атак (фишинг, социальная инженерия и т.д.) для внутреннего персонала;
  • Своевременное обновление и распространение новых правовых норм, стандартов и рекомендаций по информационной безопасности, связанных с операциями платформы электронной коммерции.

4.3 Управление поставщиками инфраструктурных услуг, партнерами и поставщиками.

  • Это включает в себя обязательные обязательства в отношении безопасности данных и защиты информации о Пользователе и Поставщике в контрактах / партнерствах с:
    • Партнеры, обеспечивающие техническую инфраструктуру (центры обработки данных, облачные вычисления и т.д.);
    • Партнеры, предоставляющие платежные услуги, техническую поддержку или оперативные услуги, связанные с обработкой данных;
    • Поставщики туристических и связанных с ними услуг (NCC) могут получать доступ к данным пользователей, переданным iGuide. ai с целью предоставления услуг.
  • Требовать от третьих лиц соблюдения соответствующих стандартов безопасности и обрабатывать данные только в целях и объеме, разрешенных iGuide. ai или в соответствии с требованиями закона.

5. Обработка инцидентов информационной безопасности

5.1 Прием и оценка инцидентов

При обнаружении или подозрении утечки данных, потери, несанкционированного доступа или кибератаки, связанной с данными на iGuide. Платформа, мы будем:

  • Сбор исходной информации из систем мониторинга, отзывов пользователей/поставщиков или отчетов партнеров;
  • Оценка уровня воздействия и сферы влияния (тип данных, количество записей, связанные стороны).

5.2 Изоляция и устранение неполадок

На основе первоначальных оценок iGuide. В срочном порядке:

  • - принять необходимые технические меры для изоляции источника инцидента, предотвращения дальнейшего несанкционированного доступа или распространения атаки;
  • Сотрудничать с партнерами по инфраструктуре, платежными партнерами и заинтересованными сторонами для расследования первопричины и восстановления системы в безопасном состоянии;
  • Исправление, исправление, настройка конфигурации или реализация дополнительных мер безопасности (при необходимости) для ограничения вероятности повторения.

5.3 Уведомление Пользователей и компетентных государственных органов

  • Если это требуется по закону или считается необходимым для защиты законных прав Пользователей / Поставщиков, iGuide. ai уведомляет соответствующие стороны об инциденте безопасности, его последствиях и рекомендует меры самозащиты (например, изменение паролей, проверка транзакций и т.д.);
  • Уведомление и отчетность компетентным государственным органам (при обязательности) будут осуществляться в соответствии с процедурами, формальностями и сроками, предусмотренными действующим законодательством.

5.4 Рассмотрение и предотвращение рецидивов

После того, как вопрос будет решен, iGuide. Я буду:

  • Обзор и переоценка соответствующих внутренних технических систем и процессов;
  • Записывать и обобщать извлеченные уроки, обновлять политику/процедуры и укреплять технические и организационные меры по предотвращению подобных инцидентов в будущем.

Эта политика является частью руководства. Правила работы платформы электронной коммерции могут периодически пересматриваться и обновляться в соответствии с требованиями законодательства и операционными реалиями. Любые изменения или дополнения (если таковые имеются) будут публично объявлены на iGuide. Система в соответствии с правилами.