المقدمة

تقدّم Zoho منتجات البرنامج كخدمة (SaaS) لملايين المستخدمين في كل أنحاء العالم من أجل حلّ المشاكل التي تتعلق بأعمالهم. يشكّل الأمان أحد المكونات الأساسية في عروضنا، وينعكس ذلك في أفرادنا وعملياتنا ومنتجاتنا. تتناول هذه الصفحة مواضيع مثل أمان البيانات والأمان التشغيلي والأمان الفعلي لشرح كيفية توفيرنا الأمان لعملائنا.

تم التحديث بتاريخ 29 أكتوبر 2019

نظرة عامة

تشمل إستراتيجية الأمان الخاصة بنا المكونات التالية

  •   الأمان المؤسسي
  •   الأمان الفعلي
  •   أمان البنى التحتية
  •   أمان البيانات
  •   التحكم بالهوية والوصول
  •   الأمان التشغيلي
  •   إدارة الحوادث
  •   عمليات الإفصاح المسؤولة
  •   إدارة المورّدين
  •   عناصر التحكم بالأمان الخاصة بالعملاء

الأمان المؤسسي

لدينا نظام إدارة أمان المعلومات (ISMS) الذي يأخذ بالاعتبار أهدافنا الأمنية والمخاطر وإجراءات الحد من المخاطر المرتبطة بكل الأطراف المعنية. ونعتمد سياسات وإجراءات صارمة تشمل الأمان ومدى التوفّر والمعالجة والنزاهة وسرية بيانات العملاء.

عمليات التحقق من خلفية الموظفين

يخضع كل موظف لعملية تحقق من الخلفية. ونوظف وكالات خارجية ذائعة الصيت لإجراء هذا التحقق بالنيابة عنا. ونقوم بذلك للتحقق من السجلات الجنائية وسجلات التوظيف السابقة في حال توفّرها والخلفية التعليمية الخاصة بالموظفين. إلى حين إجراء هذا التحقق، لا يتم توكيل الموظف بأي مهام قد تشكل خطرًا على المستخدمين. 

الوعي الأمني

يوقّع كل موظف، عندما يتم تعيينه، اتفاقية الحفاظ على السرية وسياسة الاستخدام المقبول. وبعد ذلك، يخضع للتدريب في مواضيع تتعلق بأمان المعلومات والخصوصية والامتثال. بالإضافة إلى ذلك، نقيّم مدى استيعابه المعلومات عبر إخضاعه لاختبارات وامتحانات بهدف تحديد المواضيع التي يحتاج إلى المزيد من التدريب فيها. ونقدّم تدريبًا حول جوانب محددة من الأمان قد يحتاج إليها بناءً على دوره.

ونحرص باستمرار على تثقيف موظفينا في المواضيع المتعلقة بأمان المعلومات والخصوصية والامتثال في مجتمعنا الداخلي الذي يدخلون إليه بانتظام، وذلك بهدف إبقائهم مطّلعين على أحدث المستجدات في ما يتعلق بممارسات الأمان في المؤسسة. ونستضيف أيضًا الأحداث الداخلية لنشر الوعي وتعزيز الابتكار في مجالَي الأمان والخصوصية.

الفِرق المخصصة للأمان والخصوصية

لدينا فِرق مخصصة للأمان والخصوصية تقوم بتطبيق برامج الأمان والخصوصية وإدارتها، فهي تعمل على تصميم أنظمة الدفاع التابعة لنا وصيانتها وعلى تطوير عمليات مراجعة الأمان وعلى مراقبة شبكاتنا باستمرار للكشف عن أي نشاط مشبوه. وتوفّر هذه الفِرق الخدمات الاستشارية والتوجيهات المحددة المجالات لفِرق الهندسية.

المراجعة الداخلية والامتثال

لدينا فريق عمل مخصص للامتثال يعمل على مراجعة الإجراءات والسياسات في Zoho لمواءمتها مع المعايير ولتحديد الضوابط والعمليات والأنظمة المطلوبة لتلبية المعايير. يجري هذا الفريق أيضًا مراجعات داخلية دورية ويسهّل المراجعات والتقييمات المستقلة التي تجريها جهات خارجية.

للحصول على المزيد من التفاصيل، اطّلع على مجموعة الامتثال التابعة لنا.

أمان نقاط النهاية

تستخدم كل محطات العمل الخاصة بموظفي Zoho إصدارًا محدَّثًا من نظام التشغيل وتم تكوينها باستخدام برنامج مكافحة الفيروسات. وتم تكوينها بهذه الطريقة لتكون ممتثلة لمعاييرنا الأمنية التي تتطلب أن يتم تكوين كل محطات العمل بشكل صحيح وأن يتم تصحيحها وتتبعها ومراقبتها بواسطة حلول إدارة نقاط النهاية من Zoho. تكون محطات العمل هذه آمنة بشكل افتراضي، إذ تم تكوينها لتشفير البيانات عندما تكون ثابتة، كما لديها كلمات مرور قوية، ويتم إقفالها عندما تكون في وضع الخمول. ويتم تسجيل الأجهزة المحمولة المستخدمة لتحقيق أهداف العمل في نظام إدارة الأجهزة المحمولة للتأكد من أنها تتوافق مع معايير الأمان التي نعتمدها.

الأمان الفعلي

في مكان العمل

نتحكم في الوصول إلى مواردنا (المباني والبنى التحتية والمرافق)، ويشمل هذا الوصول الاستهلاكَ والإدخال والاستخدام بواسطة بطاقات الوصول. ونزوّد الموظفين والمتعاقدين والمورّدين والزائرين ببطاقات وصول مختلفة لا تتيح إلا وصولاً محددًا بحسب الغاية للدخول إلى المنشآت. ويحدد فريق الموارد البشرية الأهداف تبعًا للأدوار الوظيفية ويحافظ عليها. ونحتفظ بسجلات الوصول للكشف عن العيوب ومعالجتها. 

في مراكز البيانات

في مراكز البيانات الخاصة بنا، يتحمل موفّر الموقع مسؤولية المبنى والتبريد والطاقة والأمان الفعلي، فيما نوفّر الخوادم والتخزين. ويتم حصر الوصول إلى مراكز البيانات بمجموعة صغيرة من الموظفين المخوّلين مسبقًا الوصول إليها. ويتطلب أي وصول آخر إرسال تذكرة ولا يُسمح به إلا بعد موافقة المدراء المعنيين، كما يجب الحصول على مصادقة إضافية ثنائية العوامل ومصادقة حيوية للدخول إلى المنشآت. علاوة على ذلك، تتوفّر سجلات الوصول وسجلات الأنشطة وتسجيلات الكاميرا في حال وقوع حادث.

المراقبة

نراقب كل حركات الدخول إلى المنشآت والخروج منها في كل مراكز الأعمال ومراكز البيانات التابعة لنا من خلال كاميرات المراقبة التلفزيونية (CCTV) التي يتم نشرها طبقًا للأنظمة المحلية. وتتوفّر مقاطع الفيديو الاحتياطية لفترة محددة وفقًا لمتطلبات الموقع المعني.

أمان البنى التحتية

أمان الشبكة

تم تصميم تقنيات أمان الشبكة والمراقبة الخاصة بنا لتوفير طبقات متعددة من الحماية والدفاع، فنستخدم جدران الحماية لمنع الوصول غير المصرّح به إلى شبكتنا وحركة البيانات غير المرغوب فيها. ويتم تقسيم أنظمتنا إلى شبكات منفصلة لحماية البيانات الحساسة، كما تتم استضافة الأنظمة التي تدعم الاختبار والأنشطة التطويرية في شبكة منفصلة عن الأنظمة التي تدعم بنية Zoho التحتية المعنية بالإنتاج.

نراقب الوصول إلى جدار الحماية وفقًا لجدول زمني منتظم وصارم. ويراجع مهندس الشبكة كل التغييرات التي تطرأ على جدار الحماية كل يوم. بالإضافة إلى ذلك، تتم مراجعة هذه التغييرات كل ثلاثة أشهر لتحديث القواعد ومراجعتها. ويراقب فريقنا المخصص في مركز عمليات الشبكة البنية التحتية والتطبيقات لرصد أي اختلافات أو أنشطة مشبوهة. وتتم مراقبة كل المعلمات المهمة باستمرار باستخدام الأداة الخاصة بنا، ويتم تفعيل الإشعارات نتيجة حدوث أي نوع من الأنشطة غير العادية أو المشبوهة في بيئة الإنتاج الخاصة بنا.

مصادر عدة للاتصال بالشبكة

إن كل مكونات منصتنا مدعومة بمصادر متعددة لإتاحة الاتصال بالشبكة. ونستخدم بنية شبكة موزّعة لحماية أنظمتنا وخدماتنا من آثار حالات فشل الخوادم المحتملة. إذا حدث عطل في الخادم، فبإمكان المستخدمين المتابعة كالمعتاد لأن بياناتهم وZoho Services ستكون متوفرة لهم.

بالإضافة إلى ذلك، نستخدم مبدلات وموجّهات وبوابات أمان متعددة لضمان التكرار على مستوى الجهاز، ما يمنع حدوث أي عطل عند أي نقطة في الشبكة الداخلية.

منع DDoS

نستخدم تقنيات من موفري خدمة معتمدين وموثوق بهم لمنع هجمات DDoS على خوادمنا. توفّر هذه التقنيات إمكانيات متعددة للحد من هجمات DDoS بهدف منع الانقطاعات الناتجة عن حركة البيانات السيئة وفي الوقت نفسه إتاحة حركة بيانات جيدة. يؤدي هذا إلى إبقاء مواقعنا الإلكترونية وتطبيقاتنا وواجهات برمجة تطبيقاتنا متوفرة بدرجة كبيرة ومتميزة بأداء عالٍ.

دعم الخادم

يتم دعم كل الخوادم المصممة لأنشطة التطوير والاختبار (من خلال تعطيل المنافذ والحسابات غير المستخدمة، وإزالة كلمات المرور الافتراضية، إلخ.). تحتوي صورة نظام التشغيل الأساسية على عمليات مدمجة لدعم الخادم، ويتم توفير صورة نظام التشغيل هذا في الخوادم لضمان التناسق في ما بينها.

اكتشاف عمليات الاختراق ومنعها

تكتشف آلية اكتشاف عمليات الاختراق الإشارات المستندة إلى المضيف على الأجهزة الفردية والإشارات المستندة إلى الشبكة من نقاط المراقبة في خوادمنا. يتم تسجيل الوصول الإداري واستخدام أوامر خاصة ومكالمات النظام على كل الخوادم في شبكة الإنتاج الخاصة بنا. إن القواعد ومعلومات الآلات التي تم إنشاؤها بالإضافة إلى هذه البيانات توفّر لمهندسي الأمان تحذيرات بشأن حصول حوادث محتملة. في طبقة التطبيق، يوجد جدار حماية طبقات التطبيق (WAF) الخاص بنا والذي يعمل على قواعد القائمة البيضاء والسوداء على حدٍ سواء.

وعلى مستوى موفّري خدمة الإنترنت (ISP)، يتم تطبيق نهج أمان متعدد الطبقات مع إزالة البيانات الخبيثة وتوجيه الشبكة وتحديد المعدل والتصفية لمعالجة الهجمات من طبقة الشبكة إلى طبقة التطبيق. يوفّر هذا النظام حركة بيانات نظيفة، وخدمة وكيل موثوق بها، وإبلاغ فوري عن الهجمات، إن وُجدت. 

أمان البيانات

تصميم آمن بشكل افتراضي

يخضع كل تغيير وميزة جديدة لسياسة إدارة التغيير بهدف ضمان اعتماد كل التغييرات في التطبيق قبل تنفيذها في مرحلة الإنتاج. تفرض دورة حياة تطوير البرمجيات (SDLC) الالتزام بإرشادات الترميز الآمنة، بالإضافة إلى فحص التغييرات في التعليمات البرمجية الخاصة بالمشاكل الأمنية المحتملة باستخدام أدوات تحليل التعليمات البرمجية وأجهزة اكتشاف الثغرات الأمنية وعمليات المراجعة اليدوية.

يوفّر إطار عمل الأمان الفعال المبني على معايير OWASP، التي تُنفذ في طبقة التطبيقات، وظائف للتخفيف من حدة التهديدات مثل حقن SQL والبرمجة النصية عبر المواقع وهجمات حجب الخدمة من طبقات التطبيقات. 

عزل البيانات

يقوم إطار العمل لدينا بتوزيع المساحة السحابية والمحافظة عليها لعملائنا. ويتم فصل بيانات خدمة كل عميل بصورة منطقية عن بيانات العملاء الآخرين باستخدام مجموعة من البروتوكولات الآمنة في إطار العمل، ما يضمن عدم إمكانية وصول أي عميل إلى بيانات خدمة عميل آخر.

يتم تخزين بيانات الخدمة على خوادمنا عندما تستخدم خدماتنا. أنت هو الشخص الذي يملك بياناتك وليس شركة Zoho. لا نقوم بمشاركة هذه البيانات مع أي جهة خارجية من دون موافقتك.

التشفير

أثناء النقل: تتم حماية كل بيانات العملاء المنقولة إلى خوادمنا عبر الشبكات العامة باستخدام بروتوكولات تشفير فعالة. ونفرض على كل الاتصالات بخوادمنا استخدام تشفير أمان طبقة النقل (TLS 1.2/1.3) مع تشفيرات فعالة، وذلك لكل الاتصالات بما في ذلك الوصول إلى الويب والوصول إلى واجهة برمجة التطبيقات وتطبيقنا للأجهزة المحمولة والوصول إلى عميل البريد الإلكتروني IMAP/POP/SMTP. يضمن هذا اتصالاً آمنًا من خلال السماح بمصادقة كلا الطرفين المشتركين في الاتصال وتشفير البيانات التي سيتم نقلها. وفي ما يتعلق بالبريد الإلكتروني، تستفيد خدماتنا من استخدام أمان طبقة النقل بشكل افتراضي. ويقوم أمان طبقة النقل بتشفير البريد الإلكتروني وإرساله بشكل آمن للحد من التنصت بين خوادم البريد حيث تدعم الخدمات النظيرة هذا البروتوكول.

نوفّر الدعم الكامل لسرية إعادة التوجيه المثالية (PFS) بواسطة اتصالاتنا المشفّرة، ما يضمن أنه حتى لو تعرضنا للاختراق بشكل ما في المستقبل، لا يمكن فك تشفير أي اتصال سابق. قمنا بتمكين عنوان أمان نقل HTTP الصارم (HSTS) إلى كل اتصالات الويب الخاصة بنا. يوصل هذا الأمر رسالة إلى كل المتصفحات الحديثة بأن تتصل بنا فقط عبر اتصال مشفّر، حتى إذا كتبت عنوان URL لصفحة غير آمنة في موقعنا. بالإضافة إلى ذلك، نضيف علامة على الويب تشير إلى أن كل ملفات تعريف الارتباط للمصادقة الخاصة بنا آمنة.

في حالة الثبات: يتم تشفير بيانات العملاء عندما تكون ثابتة باستخدام معيار التشفير المتقدم (AES) ‏256 بت، كما نملك المفاتيح ونحافظ عليها باستخدام خدمة إدارة المفتاح (KMS) الداخلية. ونقدّم طبقات إضافية من الأمان من خلال تشفير مفاتيح تشفير البيانات باستخدام المفاتيح الرئيسية. يتم فصل المفاتيح الرئيسية ومفاتيح تشفير البيانات فعليًا وتخزينها على خوادم مختلفة مع وصول محدود.

ونقوم بتشفير البيانات على مستويين رئيسيين:

  1. 1. تشفير طبقة التطبيق: تشفير قواعد البيانات الارتباطية ومتاجر الملفات والنسخ الاحتياطي والسجلات والذاكرة المؤقتة
  2. 2. تشفير القرص الكامل المستند إلى الأجهزة

يُرجى النقر هنا للحصول على معلومات مفصلة حول التشفير في Zoho.

الاحتفاظ بالبيانات والتخلص منها

نحتفظ بالبيانات في حسابك ما دمت تختار استخدام خدمات Zoho. وحين تنهي حساب المستخدم الخاص بك على Zoho، ستُحذف بياناتك من قاعدة البيانات النشطة خلال عملية التنظيف التالية التي تحصل مرة كل 6 أشهر. وستُحذف البيانات المحذوفة من قاعدة البيانات النشطة من النُسخ الاحتياطية بعد 3 أشهر. في حال بقاء حسابك غير المدفوع غير نشط لفترة متواصلة تبلغ 120 يومًا، سنعمد إلى إنهائه بعد إعطائك إشعارًا مسبقًا وخيارًا بنسخ بياناتك احتياطيًا.

ويقوم مورّد مخوّل معتمد بالتخلص من الأجهزة غير القابلة للاستخدام. إلى أن يحين الوقت لذلك، نصنّفها ونخزّنها في موقع آمن. يتم تنسيق أي معلومات في الأجهزة قبل التخلص منها. ونزيل مغناطيسية محركات الأقراص الصلبة المعطلة وندمّرها فعليًا باستخدام آلة تقطيع وفرم الورق. نقوم بمحي البيانات المشفّرة وإتلاف الأجهزة ذات الحالة الصلبة (SSDs).

التحكم بالهوية والوصول

تسجيل الدخول الأحادي (SSO)

تقدّم Zoho تسجيل الدخول الأحادي الذي يتيح للمستخدمين الوصول إلى الكثير من الخدمات باستخدام صفحة تسجيل الدخول وبيانات اعتماد المصادقة نفسها. عندما تسجّل الدخول إلى أي خدمة من خدمات Zoho، يحدث ذلك فقط عبر خدمة إدارة الهوية والوصول (IAM) المدمجة. ندعم كذلك بروتوكول SAML لتسجيل الدخول الأحادي، الذي يتيح للعملاء دمج موفّر الهوية الخاص بشركتهم مثل LDAP، ‏ADFS عند تسجيل الدخول إلى خدمات Zoho

يعمل تسجيل الدخول الأحادي على تسهيل عملية تسجيل الدخول، وضمان الامتثال، وتوفير التحكم الفعّال في الوصول والإبلاغ، وتقليل خطر الإرهاق من حفظ كلمات مرور عدة، وبالتالي استخدام كلمات مرور ضعيفة.

المصادقة المتعددة العوامل

توفّر مستوى أمان إضافيًا من خلال طلب عملية تحقق إضافية يجب أن يملكها المستخدم، بالإضافة إلى كلمة المرور. يمكن لذلك أن يحدّ بشكل كبير من مخاطر الوصول غير المصرح به إذا كانت كلمة مرور المستخدم معرّضة للاختراق. حاليًا، يتم دعم أوضاع مختلفة، مثل معرّف اللمس البيولوجي أو معرّف الوجه، والإشعارات المؤقتة، ورمز QR، وكلمة المرور لمرة واحدة المستندة إلى الوقت.

الوصول الإداري

نضع ضوابط تقنية على الوصول وسياسات داخلية لمنع الموظفين من الوصول إلى بيانات المستخدمين بشكل اعتباطي. هذا ونلتزم بمبادئ الحصول على أقل الامتيازات والأذونات المستندة إلى الأدوار للحد من خطر تعرض البيانات للوصول غير المصرح به إلى أقصى حد.

تتم المحافظة على إمكانية الوصول إلى بيئات الإنتاج من خلال دليل مركزي ومصادق عليه باستخدام مجموعة من كلمات المرور القوية والمصادقة الثنائية العوامل، ومفاتيح SSH المحمية بعبارة مرور. علاوة على ذلك، نقوم بتسهيل هذا الوصول عبر شبكة منفصلة باستخدام قواعد أكثر صرامة وأجهزة تم دعمها. بالإضافة إلى ذلك، نسجّل كل العمليات وندقق فيها بشكل دوري.

الأمان التشغيلي

التسجيل والمراقبة

نراقب المعلومات التي يتم جمعها من الخدمات وحركة البيانات الداخلية في شبكتنا واستخدام الأجهزة والوحدات الطرفية ونحللها. ونسجّل هذه المعلومات على شكل سجلات أحداث وسجلات مراجعة وسجلات أعطال وسجلات مسؤولين وسجلات مشغلين. تتم مراقبة هذه السجلات وتحليلها تلقائيًا إلى حد معقول يساعدنا في تحديد العيوب، مثل الأنشطة غير الاعتيادية في حسابات الموظفين أو محاولات الوصول إلى بيانات العملاء. ونخزِّن هذه السجلات في خادم آمن معزول عن إمكانية الوصول إلى النظام بالكامل وذلك بغية إدارة التحكم في الوصول بشكل مركزي وضمان التوفّر. 

يتوفّر سجل المراجعة المفصل الذي يغطي كل عمليات التحديث والحذف التي يجريها المستخدم للعملاء في كل خدمات Zoho.

إدارة الثغرات الأمنية

لدينا عملية مخصصة لإدارة الثغرات الأمنية تبحث بشكل فعال عن التهديدات الأمنية باستخدام مجموعة معتمدة من أدوات المسح التابعة لجهات خارجية والأدوات المستخدمة داخل المؤسسة ومن خلال جهود اختبار الاختراق التلقائي واليدوي. علاوة على ذلك، يراجع فريق الأمن في شركتنا بشكل نشط التقارير الأمنية الواردة ويراقب القوائم البريدية العامة والمنشورات على المدوّنات ومواقع wiki لرصد الحوادث الأمنية التي قد تؤثر في البنية التحتية للشركة.

وبمجرد تحديد نقطة الضعف التي تتطلب المعالجة، يتم تسجيلها وتحديد أولويتها وفقًا للخطورة وتعيينها إلى مالك، كما نحدد المخاطر ذات الصلة بالثغرة الأمنية ونتعقبها حتى يتم إغلاقها عن طريق تنقيح الأنظمة الضعيفة أو تطبيق الضوابط ذات الصلة.

البرامج الضارة والحماية من الرسائل العشوائية

نقوم بمسح كل ملفات المستخدمين باستخدام نظام المسح الآلي الخاص بنا والمصمم لمنع البرامج الضارة من الانتشار في نظام Zoho. يتلقى محرك مكافحة البرامج الضارة المخصص تحديثات منتظمة من مصادر المعلومات الخارجية حول التهديدات ويقوم بمسح الملفات للبحث عن التوقيعات المدرجة على القائمة السوداء والأنماط الضارة. علاوةً على ذلك، يضمن محرك الاكتشاف الخاص بنا والمرفق بتقنيات تعلم آلية حماية بيانات العميل من البرامج الضارة. 

تدعم Zoho مصادقة الرسائل المستندة إلى المجال وإعداد التقارير والامتثال (DMARC) كطريقة لمنع البريد العشوائي. وتقوم DMARC باستخدام SPF وDKIM للتحقق من أن الرسائل حقيقية. نستخدم أيضًا محرك الاكتشاف الخاص بنا لتحديد إساءة استخدام خدمات Zoho مثل التصيد الاحتيالي والبريد العشوائي. بالإضافة إلى ذلك، لدينا فريق مخصص لمكافحة البريد العشوائي ولمراقبة الإشارات الواردة من البرنامج ومعالجة شكاوى إساءة الاستخدام. للمزيد من المعلومات، انقر هنا.

النسخ الاحتياطي

نجري عمليات نسخ احتياطي كاملة مرة كل أسبوع وعمليات إضافية كل يوم. يتم تخزين بيانات النسخ الاحتياطي في مركز بيانات في الموقع نفسه ويتم تشفيرها عندما تكون ثابتة على أنها البيانات الأصلية. بالإضافة إلى ذلك، نستردّ النسخ الاحتياطية ونتحقق من صحتها كل أسبوع. ويتم الاحتفاظ بكل البيانات المنسوخة احتياطيًا لمدة ثلاثة أشهر.

إذا طلب العميل استرداد البيانات خلال فترة الاحتفاظ، فسنسترد بياناته من النسخة الاحتياطية ونوفّرها له.

استرداد البيانات في حالة الكوارث واستمرارية العمل

يتم تخزين بيانات التطبيق على وحدة تخزين مرنة يتم تكرارها في مراكز البيانات. ويتم تكرار البيانات الموجودة في مركز البيانات الأساسي في مركز البيانات الثانوي في الوقت الفعلي تقريبًا. في حالة فشل مركز البيانات الأساسي، يحل محله مركز البيانات الثانوي ويتم تنفيذ العمليات بسلاسة مع خسارة الحد الأدنى من الوقت أو من دون إضاعة أي وقت. ويكون كلا المركزين مجهّزين بعدة موفّري لخدمة الإنترنت.

نضمن استمرارية العمل من خلال اتباع تدابير فعلية مثل الطاقة الاحتياطية وأنظمة التحكم في درجات الحرارة وأنظمة الوقاية من الحرائق. تساعدنا هذه التدابير على تحقيق المرونة. بالإضافة إلى تكرار البيانات، وضعنا خطة لاستمرارية العمل من أجل العمليات الرئيسية لدينا مثل الدعم وإدارة البنية التحتية.

إدارة الحوادث

الإبلاغ

لدينا فريق مخصص لإدارة الحوادث. نعلمك بالحوادث التي تقع في البيئة والتي تنطبق عليك، بالإضافة إلى الإجراءات المناسبة التي قد تحتاج إلى اتخاذها. ونتعقب الحوادث ونغلقها باتخاذ الإجراءات التصحيحية المناسبة. وسنقدم لك، كلما كان ذلك ممكنًا، الأدلة اللازمة المرتبطة بالحوادث والتي تنطبق عليك. علاوة على ذلك، نطبّق ضوابط لمنع تكرار المواقف المشابهة.

نستجيب للحوادث الأمنية أو تلك المتعلقة بالخصوصية التي تبلغنا بها من خلال incidents@zohocorp.com ونوليها أولوية عالية. بالنسبة إلى الحوادث العامة، سنبلغ المستخدمين من خلال مدوّناتنا ومنتدياتنا ومواقع الوسائط الاجتماعية الخاصة بنا، أما بالنسبة إلى الحوادث الخاصة بمستخدم فرد أو مؤسسة فردية، فسنبلغ الطرف المعني من خلال البريد الإلكتروني (باستخدام عنوان البريد الإلكتروني الرئيسي لمسؤول المؤسسة الذي تم تسجيله معنا). 

الإشعار بالانتهاك

بصفتنا مراقبي البيانات، نبلغ سلطة حماية البيانات المعنية بحصول انتهاك خلال 72 ساعة من علمنا به، وذلك بحسب اللائحة العامة لحماية البيانات (GDPR). ووفقًا لمتطلبات محددة، نبلغ العملاء أيضًا عند الضرورة. بصفتنا معالجي بيانات، تبلغ مراقبي البيانات المعنيين من دون تأخير غير مبرر. 

الإفصاح المسؤول

تم وضع برنامج للإبلاغ عن نقاط الضعف في "Bug Bounty"، للوصول إلى مجتمع الباحثين، يتعرّف على أعمال الباحثين في مجال الأمان ويكافئهم. تجدر الإشارة إلى أننا نلتزم بالعمل مع المجتمع للتحقق من الحلول المناسبة لنقاط الضعف التي تم إبلاغنا بها وإعادة إنتاجها والاستجابة لها وتشريعها وتنفيذها.

إذا وجدت أيًا منها، فيُرجى إرسال المشاكل إلى https://bugbounty.zoho.com‎. إذا أردت إبلاغنا مباشرة بأي نقاط ضعف، فأرسلها إلينا عبر البريد الإلكتروني على security@zohocorp.com. 

إدارة المورّدين والمورّدين من الجهات الخارجية

نقيّم مورّدينا ونؤهلهم استنادًا إلى سياسة إدارة المورّدين لدينا. هذا ونضمّ مورّدين جدد بعد فهم الإجراءات التي يتّبعونها لتقديم الخدمات لنا، وبعد تقييم المخاطر. ونتخذ الخطوات الملائمة لضمان الحفاظ على موقفنا في ما يتعلق بالأمان من خلال إبرام اتفاقيات تتطلب من المورّدين التقيّد بالتزامات السرية والتوفّر والنزاهة التي قدمناها لعملائنا. نراقب التشغيل الفعال للعمليات وإجراءات الأمان في الشركة من خلال إجراء مراجعات دورية للضوابط الخاصة بها.

عناصر التحكم بالأمان الخاصة بالعملاء

ناقشنا حتى الآن ما نقوم به لتوفير الأمان على جبهات مختلفة لعملائنا. إليك الخطوات التي يمكنك كعميل القيام بها لضمان الأمان من جهتك:

  •   اختر كلمة مرور فريدة وقوية واحرص على حمايتها.
  •   استخدم المصادقة المتعددة العوامل
  •   استخدم أحدث إصدارات للمتصفح ونظام التشغيل على الأجهزة المحمولة والتطبيقات المحدّثة للأجهزة المحمولة للتأكد من أنه تم تصحيحها لمكافحة نقاط الضعف واستخدام أحدث ميزات الأمان
  •   طبّق التدابير الوقائية المعقولة خلال مشاركة البيانات من بيئة السحابة الخاصة بنا.
  •   صنّف معلوماتك إلى معلومات شخصية أو حساسة وأعطِها تسمية ذات صلة.
  •   راقب الأجهزة المرتبطة بحسابك وجلسات الويب النشطة ووصول الجهات الخارجية من أجل اكتشاف العيوب في أنشطة حسابك، وإدارة الأدوار والامتيازات المتعلقة بحسابك.
  •   انتبه من التصيد الاحتيالي وتهديدات البرامج الضارة من خلال البحث عن رسائل البريد الإلكتروني ومواقع الويب والروابط غير مألوفة التي قد تستغل معلوماتك الحساسة عن طريق سرقة هوية Zoho أو خدمات أخرى تثق بها.

الخاتمة

يُعدّ ضمان أمان بياناتك حقك ومهمة تتكفل بها Zoho على الدوام. سنستمر في العمل بجدّ للحفاظ على أمان بياناتك، كما فعلنا دائمًا. للمزيد من الاستفسارات حول هذا الموضوع، لا تتردد في الاتصال بنا على security@zohocorp.com.