Chọn tài liệu
Chính sách bảo mật thông tin PhotoRobot
Tài liệu này xác định Chính sách bảo mật thông tin PhotoRobot. Nó mô tả các nguyên tắc, trách nhiệm và kiểm soát được thực hiện bởi PhotoRobot để bảo vệ hệ thống, dữ liệu và thông tin khách hàng. Chính sách bảo mật thông tin hỗ trợ việc tuân thủ các nghĩa vụ hợp đồng của PhotoRobot theo DPA và SLA.
Mục tiêu
- Đảm bảo tính bảo mật, toàn vẹn và tính khả dụng của tất cả các hệ thống và dữ liệu
- Xác định vai trò và trách nhiệm rõ ràng đối với bảo mật thông tin
- Duy trì tuân thủ GDPR và các phương pháp hay nhất trong ngành
- Cung cấp quản trị để quản lý rủi ro và cải tiến liên tục
Phạm vi
Bao gồm:
- Nền tảng PhotoRobot Cloud
- Cơ sở hạ tầng được lưu trữ trên Google Cloud Platform
- Hệ thống hỗ trợ và quy trình nội bộ
- Nhân viên, nhà thầu và bên thứ ba
Vai trò và trách nhiệm
- CTO / Trưởng nhóm kỹ thuật: Trách nhiệm giải trình tổng thể đối với bảo mật nền tảng
- Nhà phát triển: Triển khai và duy trì các biện pháp kiểm soát bảo mật đám mây
- Nhà phát triển: Tuân theo mã hóa an toàn và tiêu chuẩn SDLC
- Đội ngũ hỗ trợ: Xử lý sự cố và thông báo của khách hàng
Nguyên tắc bảo mật
- Đặc quyền tối thiểu
- Truy cập cần biết
- Phân tách nhiệm vụ
- Phương pháp tiếp cận không tin cậy
- Bảo mật theo thiết kế
Các biện pháp bảo vệ kỹ thuật
- Mã hóa (TLS, AES-256)
- Xác thực SSO qua Google Identity
- Vai trò RBAC chi tiết
- Ghi nhật ký và giám sát đám mây GCP
- Vá lỗi cơ sở hạ tầng tự động
- Sao lưu hàng ngày với khả năng khôi phục
Các biện pháp bảo vệ tổ chức
- Quy trình giới thiệu và offboarding
- Kỳ vọng về bảo mật thiết bị
- Nghĩa vụ bảo mật
- Nhận thức bảo mật bắt buộc
Quản lý rủi ro
- Rủi ro được đánh giá định kỳ
- Kiểm soát được cập nhật dựa trên kết quả
- Các sự kiện bảo mật được ghi lại và xem xét
Tuân thủ
- Xử lý tuân thủ GDPR
- DPA có sẵn cho khách hàng
- Các đơn vị xử lý phụ được liệt kê công khai
Cải tiến liên tục
- Đánh giá thường xuyên các điều khiển
- Nâng cấp lên cấu hình bảo mật đám mây
- Giám sát các mối đe dọa mới nổi