सपोटो में, हम अपने सिस्टम, डेटा और ग्राहक जानकारी की सुरक्षा को प्राथमिकता देते हैं। यह सुरक्षा नीति उन सिद्धांतों और प्रथाओं की रूपरेखा प्रदान करती है जो हम सुरक्षा खतरों से सुरक्षा सुनिश्चित करने और हमारे डेटा की अखंडता और गोपनीयता बनाए रखने के लिए लागू करते हैं।
1. उद्देश्य और क्षेत्र
इस सुरक्षा नीति का उद्देश्य सपोटो की सूचना संपत्तियों को सभी खतरों से सुरक्षा प्रदान करना है, चाहे वे आंतरिक या बाहरी, जानबूझकर या आकस्मिक हों। यह नीति सभी कर्मचारियों, ठेकेदारों और तीसरे पक्ष पर लागू होती है जिनके पास सपोटो के सिस्टम और डेटा तक पहुंच है।
2. भूमिकाएँ और जिम्मेदारियाँ
सूचना सुरक्षा अधिकारी (ISO): ISO इस नीति के कार्यान्वयन की निगरानी, सुरक्षा जोखिमों का प्रबंधन, और प्रासंगिक कानूनों और विनियमों के अनुपालन को सुनिश्चित करने के लिए जिम्मेदार है।
कर्मचारी और ठेकेदार: सपोटो के सिस्टम तक पहुंच वाले सभी व्यक्तियों को इस नीति का पालन करना होगा, किसी भी सुरक्षा घटना की रिपोर्ट करनी होगी, और सुरक्षा प्रशिक्षण कार्यक्रमों में भाग लेना होगा।
3. एक्सेस नियंत्रण
उपयोगकर्ता एक्सेस प्रबंधन: सपोटो के सिस्टम और डेटा तक पहुंच न्यूनतम विशेषाधिकार के सिद्धांत पर आधारित है। उपयोगकर्ता एक्सेस अधिकार नियमित रूप से समीक्षा और आवश्यकतानुसार समायोजित किए जाते हैं।
प्रमाणीकरण: संवेदनशील सिस्टम और डेटा तक पहुंच के लिए मजबूत प्रमाणीकरण विधियाँ, जैसे बहु-कारक प्रमाणीकरण (MFA), आवश्यक हैं।
4. डेटा सुरक्षा
डेटा वर्गीकरण: सपोटो डेटा को इसकी संवेदनशीलता के अनुसार वर्गीकृत करता है और वर्गीकरण के आधार पर उपयुक्त सुरक्षा नियंत्रण लागू करता है।
एन्क्रिप्शन: संवेदनशील डेटा, जो विश्राम में और प्रसारित हो रहा है, को उद्योग मानक एन्क्रिप्शन विधियों का उपयोग करके एन्क्रिप्ट किया जाना चाहिए।
डेटा बैकअप: डेटा की उपलब्धता और अखंडता सुनिश्चित करने के लिए नियमित बैकअप किए जाते हैं। बैकअप को सुरक्षित रूप से स्टोर किया जाता है और समय-समय पर पुनर्स्थापन के लिए परीक्षण किया जाता है।
5. नेटवर्क सुरक्षा
फ़ायरवॉल और आक्रमण पहचान प्रणाली (IDS): नेटवर्क को अनधिकृत पहुंच और दुर्भावनापूर्ण गतिविधियों से सुरक्षित रखने के लिए फ़ायरवॉल और IDS लागू किए जाते हैं।
नेटवर्क विभाजन: महत्वपूर्ण सिस्टम और डेटा को नेटवर्क के कम संवेदनशील क्षेत्रों से अलग किया जाता है ताकि अनधिकृत पहुंच के जोखिम को कम किया जा सके।
6. घटना प्रतिक्रिया
घटना रिपोर्टिंग: सभी सुरक्षा घटनाओं की सूचना तुरंत सूचना सुरक्षा अधिकारी को दी जानी चाहिए।
घटना प्रबंधन: सपोटो ने सुरक्षा घटनाओं के प्रभाव को प्रबंधित और कम करने के लिए एक स्थापित घटना प्रतिक्रिया योजना तैयार की है। इसमें संलग्न, जांच, उन्मूलन, और पुनर्प्राप्ति के कदम शामिल हैं।
7. भौतिक सुरक्षा
सुविधा सुरक्षा: सपोटो की सुविधाओं में अनधिकृत प्रवेश को रोकने के लिए पहुंच को नियंत्रित और निगरानी की जाती है।
उपकरण सुरक्षा: हार्डवेयर और उपकरणों को चोरी, क्षति, और अनधिकृत पहुंच से सुरक्षित रखा जाता है।
8. तृतीय-पक्ष सुरक्षा
विक्रेता प्रबंधन: सपोटो के सिस्टम और डेटा तक पहुंच वाले तृतीय-पक्ष विक्रेताओं को सपोटो के सुरक्षा मानकों का पालन करना होगा और नियमित सुरक्षा आकलन से गुजरना होगा।
अनुबंध और समझौते: तृतीय-पक्ष विक्रेताओं के साथ अनुबंधों में सुरक्षा आवश्यकताओं को शामिल किया जाता है ताकि वे उचित सुरक्षा नियंत्रण बनाए रखें।
9. अनुपालन और ऑडिटिंग
विनियामक अनुपालन: सपोटो सूचना सुरक्षा से संबंधित लागू कानूनों, विनियमों, और उद्योग मानकों का पालन करता है।
ऑडिट: सुरक्षा नियंत्रण की प्रभावशीलता का मूल्यांकन करने और सुधार के क्षेत्रों की पहचान करने के लिए नियमित सुरक्षा ऑडिट और आकलन किए जाते हैं।
10. सुरक्षा जागरूकता और प्रशिक्षण
प्रशिक्षण कार्यक्रम: सभी कर्मचारियों और ठेकेदारों को वर्तमान खतरों और सर्वोत्तम प्रथाओं के बारे में सूचित रहने के लिए नियमित सुरक्षा प्रशिक्षण में भाग लेना आवश्यक है।
जागरूकता अभियान: सपोटो संगठन के भीतर सुरक्षा-सचेत संस्कृति को बढ़ावा देने के लिए ongoing जागरूकता अभियान चलाता है।
11. नीति समीक्षा और अपडेट्स
यह सुरक्षा नीति वार्षिक रूप से या जब भी संगठन या नियामक पर्यावरण में महत्वपूर्ण बदलाव होते हैं, की समीक्षा की जाती है। नीति में अपडेट्स सभी प्रासंगिक पक्षों को सूचित किए जाते हैं।
12. संपर्क जानकारी
इस सुरक्षा नीति के बारे में प्रश्नों या चिंताओं के लिए, कृपया सूचना सुरक्षा अधिकारी से helpdesk@sapoto.in पर संपर्क करें।