情报安全关于猜测。 AI 电子商务平台
一、导 言 目标
iguide.ai采用技术和组织措施,以便:
- 确保iGuide上用户和服务提供商数据的安全、完整和安全。 ai 电子商务平台;
- 防止和尽量减少未经授权查阅、滥用、擅自披露、丢失、置换、更改或破坏数据的风险;
- 遵守越南关于信息安全、网络安全和个人数据保护的法律和条例.
2. 安全原则
IGuide上的信息安全. ai 平台按照以下原则实施:
- 尽量减少数据:只有在提供服务、履行合同义务和遵守法律规章所必需的范围内,才能收集和储存数据;
- 限制进入和确保使用是为了其预期目的:个人数据和交易数据只有经授权的个人/部门才能为法律披露和(或)要求的目的获取;
- 通过适当的技术和组织措施提供保护.综合运用技术、业务和内部治理措施,在整个数据处理生命周期内保护信息;
- 定期审查和改进根据需要定期评估、审查和升级安全措施,以满足技术、操作模式和法律要求的变化.
3个 信息保护技术措施
3.1. 数据传输和储存期间的安全
- 用户/证书设备与iGuide之间的所有数据传输. ai 系统通过安全协议(HTTPS/TLS)进行,加密传输过程中交换的内容;
- 用户和供应商账户密码在存入系统之前使用适当的算法进行加密/封存;
- 根据数据的性质,iGuide.ai采用加密、匿名或渗漏措施,以尽量减少发生事故时数据泄漏的风险;
- iGuide.ai (英语:我们不储存银行卡或信用卡细节.用户名。 所有支付交易都通过许可的中介支付网关进行,这些网关适用符合标准的加密和安全机制(包括PCI DSS标准或法律和行业标准规定的同等标准).
3.2. 出入控制和系统基础设施
- 数据库系统和应用服务器部署在位于越南的数据中心环境中,符合适当的操作安全标准(如I级或更高),并有实际出入控制和安全监测;
- 限制直接访问数据库;根据严格的角色访问控制和"需要了解/需要使用"原则,只允许经授权的技术账户运行.
- 实施基础设施层面的保护措施,如防火墙、网络分离、操作系统和服务器软件的安全配置以及必要时的安全补丁更新;
- 内部系统登录通过员工账户认证、功能授权和记录管理系统交易历史的机制加以控制.
3.3. 安全伐木、监测和警报
- IGuide.ai系统存储访问日志,系统日志,以及应用程序日志,只有在发现异常情况时,为监测,调节和调查目的所必需.
- * 建立安全监测机制和警报系统,防止异常进入,超过登入企图失败的门槛,并侦查攻击或利用脆弱性等可疑活动.
- 系统日志根据法律要求和业务需要保留一段合理的时间,然后删除、冷藏或不再需要匿名.
3.4. 数据备份、恢复和服务连续性
- 为关键系统组件(数据库、系统配置、所需源代码)进行自动/定期数据备份,以确保在故障时恢复;
- 备份数据安全储存,有控制存取,并按照内部程序定期进行回收测试.
- 制定与交易所业务的规模和性质相适应的应急计划和灾后恢复计划,以便在发生事故时尽量减少服务中断时间.
3.5. 付款和财务信息
- 在线支付交易通过主管当局许可的核定支付网关进行;
- 敏感的支付信息(卡号,CVV代码,PIN等)不存储在iGuide上. ai的系统;支付伙伴负责适用规定的卡片信息安全标准(例如PCI DSS)和有关法规;
- iGuide.ai只保留基本的交易信息(如交易代码,状态,支付方法,订单值),用于调节,会计和法律目的.
4个 安全的组织和管理措施.
4.1. 内部保密条例和授权
- iguide.ai发布、维持和更新关于信息安全、个人数据保护、系统访问管理和安全事件管理的内部条例和程序;
- 明确界定有关部门(技术、业务、客户服务、法律等)在接收、处理和保护信息方面的责任和权力;
- 所有获得用户/信誉数据的人员必须遵守保密协定,不得为超出其指定职责范围的任何目的披露或滥用数据.
4.2. 信息安全方面的培训和宣传
- 为内部工作人员定期组织或整合信息安全、个人数据保护以及识别钓鱼攻击(钓鱼、社会工程等)方面的培训和指导;
- 及时更新和传播与电子商务平台运营相关的信息安全新法规,标准和建议.
4.3. 管理基础设施服务提供者、合作伙伴和供应商.
- 这包括在数据安全方面具有约束力的义务,以及在下列合同/伙伴关系中保护用户和供应商的信息:
- 提供技术基础设施的伙伴(数据中心、云计算等);
- 提供与数据处理有关的支付服务、技术支持或业务服务的合作伙伴;
- 旅行和相关服务商(NCCs)可以访问iGuide传输的用户数据. ai 用于提供服务.
- 要求第三方遵守适当的安全标准,只按iGuide允许的目的和范围处理数据。 ai或法律要求.
5.五. 处理信息安全事件
5.1. 事件接收和评估
发现或怀疑与iGuide上的数据相关的数据泄露,丢失,未经授权的访问,或网络攻击. ai 平台,我们将:
- 从监测系统、用户/供应商反馈或伙伴报告收集初步信息;
- 评估影响程度和影响范围(数据类型,记录数量,关联方).
5.2. 隔离和解决问题
根据初步评估,iGuide。 ai 将紧急着手:
- 采取必要的技术措施,隔离事件源头,防止进一步未经许可进入或扩散攻击;
- 与基础设施伙伴、支付伙伴和利益攸关方合作,调查根源,使系统恢复到安全状态;
- 固定,补丁,调整配置,或执行额外的安全措施(如有必要),以限制重现的可能性.
5.3. 通知用户和政府主管机构
- 在法律要求或认为有必要保护用户/供应者合法权利的情况下,iGuide. ai) 将安全事件及其影响通知相关方,并建议自我保护措施(如更改密码、审查交易等);
- 通知和向国家主管当局报告(如果是强制性的)将按照现行法律规定的程序、手续和最后期限进行.
5.4. 审查并防止再次发生
问题解决后,iGuide. 将:
- 审查和重新评估相关的内部技术系统和程序;
- 记录和总结经验教训,更新政策/程序,加强技术和组织措施,防止今后发生类似事件.
这项政策是iGuide的一部分. ai 电子商务平台的运营条例,可定期审查和更新,以符合法律要求和业务现实。 任何修改或增补(如有)将在iGuide上公开宣布. ai 根据条例的制度.