الأمان

تقدّم Zoho منتجات البرنامج كخدمة (SaaS) لملايين المستخدمين في كل أنحاء العالم من أجل حلّ المشاكل التي تتعلق بأعمالهم. يشكّل الأمان أحد المكونات الأساسية في عروضنا، وينعكس ذلك في أفرادنا وعملياتنا ومنتجاتنا. تتناول هذه الصفحة مواضيع مثل أمان البيانات والأمان التشغيلي والأمان الفعلي لشرح كيفية توفيرنا الأمان لعملائنا.

تم التحديث في: 12 يوليو 2020

نظرة عامة

تشمل إستراتيجية الأمان الخاصة بنا المكونات التالية

  •   الأمان المؤسسي
  •   الأمان الفعلي
  •   أمان البنى التحتية
  •   أمان البيانات
  •   التحكم بالهوية والوصول
  •   الأمان التشغيلي
  •   إدارة الحوادث
  •   عمليات الإفصاح المسؤولة
  •   إدارة المورّدين
  •   عناصر التحكم بالأمان الخاصة بالعملاء

الأمان المؤسسي

لدينا نظام إدارة أمان المعلومات (ISMS) الذي يأخذ بالاعتبار أهدافنا الأمنية والمخاطر وإجراءات الحد من المخاطر المرتبطة بكل الأطراف المعنية. ونعتمد سياسات وإجراءات صارمة تشمل الأمان ومدى التوفّر والمعالجة والنزاهة وسرية بيانات العملاء.

عمليات التحقق من خلفية الموظفين

يخضع كل موظف لعملية تحقق من الخلفية. ونوظف وكالات خارجية ذائعة الصيت لإجراء هذا التحقق بالنيابة عنا. ونقوم بذلك للتحقق من السجلات الجنائية وسجلات التوظيف السابقة في حال توفّرها والخلفية التعليمية الخاصة بالموظفين. إلى حين إجراء هذا التحقق، لا يتم توكيل الموظف بأي مهام قد تشكل خطرًا على المستخدمين. 

الوعي الأمني

يوقّع كل موظف، عندما يتم تعيينه، إتفاقية الحفاظ على السرية وسياسة الاستخدام المقبول. وبعد ذلك، يخضع للتدريب في مواضيع تتعلق بأمان المعلومات والخصوصية والامتثال. بالإضافة إلى ذلك، نقيّم مدى استيعابه المعلومات عبر إخضاعه لاختبارات وامتحانات بهدف تحديد المواضيع التي يحتاج إلى المزيد من التدريب فيها. ونقدّم تدريبًا حول جوانب محددة من الأمان قد يحتاج إليها بناءً على دوره.

ونحرص باستمرار على تثقيف موظفينا في المواضيع المتعلقة بأمان المعلومات والخصوصية والامتثال في مجتمعنا الداخلي الذي يدخلون إليه بانتظام، وذلك بهدف إبقائهم مطّلعين على أحدث المستجدات في ما يتعلق بممارسات الأمان في المؤسسة. نستضيف أيضًا الأحداث الداخلية لنشر الوعي وتعزيز الابتكار في مجالَي الأمان والخصوصية.

الفِرق المخصصة للأمان والخصوصية

لدينا فِرق مخصصة للأمان والخصوصية تقوم بتطبيق برامج الأمان والخصوصية وإدارتها، فهي تعمل على تصميم أنظمة الدفاع التابعة لنا وصيانتها وعلى تطوير عمليات مراجعة الأمان وعلى مراقبة شبكاتنا باستمرار للكشف عن أي نشاط مشبوه. وتوفّر هذه الفِرق الخدمات الاستشارية والتوجيهات محددة المجالات للفِرق الهندسية لدينا.

المراجعة الداخلية والامتثال

لدينا فريق عمل مخصص للامتثال يعمل على مراجعة الإجراءات والسياسات في Zoho لمواءمتها مع المعايير ولتحديد الضوابط والعمليات والأنظمة المطلوبة لتلبية المعايير. يجري هذا الفريق أيضًا مراجعات داخلية دورية ويسهّل المراجعات والتقييمات المستقلة التي تجريها جهات خارجية.

للحصول على المزيد من التفاصيل، اطّلع على مجموعة الامتثال التابعة لنا.

أمان نقاط النهاية

تستخدم كل محطات العمل الخاصة بموظفي Zoho إصدارًا محدَّثًا من نظام التشغيل وتم تكوينها باستخدام برنامج مكافحة الفيروسات. وقد تم تكوينها بهذه الطريقة لتكون ممتثلة لمعاييرنا الأمنية التي تتطلب أن يتم تكوين كل محطات العمل بشكل صحيح وأن يتم تصحيحها وتتبعها ومراقبتها بواسطة حلول إدارة نقاط النهاية من Zoho. تكون محطات العمل هذه آمنة بشكل افتراضي، إذ تم تكوينها لتشفير البيانات عندما تكون ثابتة، كما لديها كلمات مرور قوية، ويتم إقفالها عندما تكون في وضع الخمول. ويتم تسجيل الأجهزة المحمولة المستخدمة لتحقيق أهداف العمل في نظام إدارة الأجهزة المحمولة للتأكد من أنها تتوافق مع معايير الأمان التي نعتمدها.

الأمان الفعلي

في مكان العمل

نتحكم بالوصول إلى مواردنا (المباني والبنى التحتية والمرافق)، ويشمل هذا الوصول الاستهلاكَ والإدخال والاستخدام بواسطة بطاقات الوصول. ونزوّد الموظفين والمتعاقدين والمورّدين والزائرين ببطاقات وصول مختلفة لا تتيح إلا وصولاً محددًا بحسب الغاية للدخول إلى المنشآت. ويحدد فريق الموارد البشرية الأهداف تبعًا للأدوار الوظيفية ويحافظ عليها. ونحتفظ بسجلات الوصول للكشف عن العيوب ومعالجتها. 

في مراكز البيانات

في مراكز البيانات الخاصة بنا، يتحمل موفّر الموقع مسؤولية المبنى والتبريد والطاقة والأمان الفعلي، فيما نوفّر الخوادم ومساحة التخزين. ويتم حصر الوصول إلى مراكز البيانات بمجموعة صغيرة من الموظفين المخوّلين مسبقًا الوصول إليها. ويتطلب أي وصول آخر إرسال تذكرة ولا يُسمح به إلا بعد موافقة المدراء المعنيين. كما يجب الحصول على مصادقة إضافية ثنائية العوامل ومصادقة حيوية للدخول إلى المنشآت. علاوة على ذلك، تتوفّر سجلات الوصول وسجلات الأنشطة وتسجيلات الكاميرا في حال وقوع حادث.

المراقبة

نراقب كل حركات الدخول إلى المنشآت والخروج منها في كل مراكز الأعمال ومراكز البيانات التابعة لنا من خلال كاميرات المراقبة التلفزيونية (CCTV) التي يتم نشرها طبقًا للأنظمة المحلية. وتتوفّر مقاطع الفيديو الاحتياطية لفترة محددة وفقًا لمتطلبات الموقع المعني.

أمان البنى التحتية

أمان الشبكة

تم تصميم تقنيات أمان الشبكة والمراقبة الخاصة بنا لتوفير طبقات متعددة من الحماية والدفاع، فنستخدم جدران الحماية لمنع الوصول غير المصرّح به إلى شبكتنا وحركة البيانات غير المرغوب فيها. ويتم تقسيم أنظمتنا إلى شبكات منفصلة لحماية البيانات الحساسة. كما تتم استضافة الأنظمة التي تدعم الاختبار والأنشطة التطويرية في شبكة منفصلة عن الأنظمة التي تدعم بنية Zoho التحتية المعنية بالإنتاج.

نراقب الوصول إلى جدار الحماية وفقًا لجدول زمني منتظم وصارم. ويراجع مهندس الشبكة كل التغييرات التي تطرأ على جدار الحماية كل يوم. بالإضافة إلى ذلك، تتم مراجعة هذه التغييرات كل ثلاثة أشهر لتحديث القواعد ومراجعتها. ويراقب فريقنا المخصص في مركز عمليات الشبكة البنية التحتية والتطبيقات لرصد أي اختلافات أو أنشطة مشبوهة. وتتم مراقبة كل المعلمات المهمة باستمرار باستخدام الأداة الخاصة بنا، ويتم تفعيل الإشعارات نتيجة حدوث أي نوع من الأنشطة غير العادية أو المشبوهة في بيئة الإنتاج الخاصة بنا.

مصادر عدة للاتصال بالشبكة

إن كل مكونات منصتنا مدعومة بمصادر متعددة لإتاحة الاتصال بالشبكة. ونستخدم بنية شبكة موزّعة لحماية أنظمتنا وخدماتنا من آثار حالات فشل الخوادم المحتملة. إذا حدث عطل في الخادم، فبإمكان المستخدمين المتابعة كالمعتاد لأن بياناتهم وخدمات Zoho ستكون متوفرة لهم.

بالإضافة إلى ذلك، نستخدم مبدلات وموجّهات وبوابات أمان متعددة لضمان التكرار على مستوى الجهاز، ما يمنع حدوث أي عطل عند أي نقطة في الشبكة الداخلية.

منع DDoS

نستخدم تقنيات من موفري خدمة معتمدين وموثوق بهم لمنع هجمات DDoS على خوادمنا. توفّر هذه التقنيات إمكانيات متعددة للحد من هجمات DDoS بهدف منع الانقطاعات الناتجة من حركة البيانات السيئة وفي الوقت نفسه إتاحة حركة بيانات جيدة. يؤدي هذا إلى إبقاء مواقعنا الإلكترونية وتطبيقاتنا وواجهات برمجة تطبيقاتنا متوفرة بدرجة كبيرة ومتميزة بأداء عالٍ.

دعم الخادم

يتم دعم كل الخوادم المصممة لأنشطة التطوير والاختبار (من خلال تعطيل المنافذ والحسابات غير المستخدمة، وإزالة كلمات المرور الافتراضية، إلخ.). تحتوي صورة نظام التشغيل الأساسية على عمليات مدمجة لدعم الخادم، ويتم توفير صورة نظام التشغيل هذه في الخوادم لضمان التناسق في ما بينها.

اكتشاف عمليات الاختراق ومنعها

تكتشف آلية اكتشاف عمليات الاختراق الإشارات المستندة إلى المضيف على الأجهزة الفردية والإشارات المستندة إلى الشبكة من نقاط المراقبة في خوادمنا. يتم تسجيل الوصول الإداري واستخدام أوامر خاصة ومكالمات النظام على كل الخوادم في شبكة الإنتاج الخاصة بنا. إن القواعد ومعلومات الآلات التي تم إنشاؤها بالإضافة إلى هذه البيانات توفّر لمهندسي الأمان تحذيرات بشأن حصول حوادث محتملة. في طبقة التطبيق، يوجد جدار حماية طبقات التطبيق (WAF) الخاص بنا والذي يعمل على قواعد القائمة البيضاء والسوداء على حدٍ سواء.

وعلى مستوى موفّري خدمة الإنترنت (ISP)، يتم تطبيق نهج أمان متعدد الطبقات مع إزالة البيانات الخبيثة وتوجيه الشبكة وتحديد المعدل والتصفية لمعالجة الهجمات من طبقة الشبكة إلى طبقة التطبيق. يوفّر هذا النظام حركة بيانات نظيفة، وخدمة وكيل موثوق بها، وإبلاغ فوري عن الهجمات، إن وُجدت. 

أمان البيانات

تصميم آمن بشكل افتراضي

يخضع كل تغيير وميزة جديدة لسياسة إدارة التغيير بهدف ضمان اعتماد كل التغييرات في التطبيق قبل تنفيذها في مرحلة الإنتاج. تفرض دورة حياة تطوير البرمجيات (SDLC) الالتزام بإرشادات الترميز الآمنة، بالإضافة إلى فحص التغييرات في التعليمات البرمجية الخاصة بالمشاكل الأمنية المحتملة باستخدام أدوات تحليل التعليمات البرمجية وأجهزة اكتشاف الثغرات الأمنية وعمليات المراجعة اليدوية.

يوفّر إطار عمل الأمان الفعال المبني على معايير OWASP، التي تُنفذ في طبقة التطبيقات، وظائف للتخفيف من حدة التهديدات مثل حقن SQL والبرمجة النصية عبر المواقع وهجمات حجب الخدمة من طبقات التطبيقات. 

عزل البيانات

يقوم إطار العمل لدينا بتوزيع المساحة السحابية والمحافظة عليها لعملائنا. ويتم فصل بيانات خدمة كل عميل بصورة منطقية عن بيانات العملاء الآخرين باستخدام مجموعة من البروتوكولات الآمنة في إطار العمل، ما يضمن عدم إمكانية وصول أي عميل إلى بيانات خدمة عميل آخر.

يتم تخزين بيانات الخدمة على خوادمنا عندما تستخدم خدماتنا. أنت هو الشخص الذي يملك بياناتك وليس شركة Zoho. لا نقوم بمشاركة هذه البيانات مع أي جهة خارجية من دون موافقتك.

التشفير

أثناء النقل: تتم حماية كل بيانات العملاء المنقولة إلى خوادمنا عبر الشبكات العامة باستخدام بروتوكولات تشفير فعالة. ونفرض على كل الاتصالات بخوادمنا استخدام تشفير أمان طبقة النقل (TLS 1.2/1.3) مع تشفيرات فعالة، وذلك لكل الاتصالات بما في ذلك الوصول إلى الويب والوصول إلى واجهة برمجة التطبيقات وتطبيقاتنا للأجهزة المحمولة والوصول إلى عميل البريد الإلكتروني IMAP/POP/SMTP. يضمن هذا اتصالاً آمنًا من خلال السماح بمصادقة كلا الطرفين المشتركين في الاتصال وتشفير البيانات التي سيتم نقلها. وفي ما يتعلق بالبريد الإلكتروني، تستفيد خدماتنا من استخدام أمان طبقة النقل بشكل افتراضي. ويقوم أمان طبقة النقل بتشفير البريد الإلكتروني وإرساله بشكل آمن للحد من التنصت بين خوادم البريد حيث تدعم الخدمات النظيرة هذا البروتوكول.

نوفّر الدعم الكامل لسرية إعادة التوجيه المثالية (PFS) بواسطة اتصالاتنا المشفّرة، ما يضمن أنه حتى لو تعرضنا للاختراق بشكل ما في المستقبل، لا يمكن فك تشفير أي اتصال سابق. قمنا بتمكين عنوان أمان نقل HTTP الصارم (HSTS) إلى كل اتصالات الويب الخاصة بنا. يوصل هذا الأمر رسالة إلى كل المتصفحات الحديثة بأن تتصل بنا فقط عبر اتصال مشفّر، حتى إذا كتبت عنوان URL لصفحة غير آمنة في موقعنا. بالإضافة إلى ذلك، نضيف علامة على الويب تشير إلى أن كل ملفات تعريف الارتباط للمصادقة الخاصة بنا آمنة.

في حالة الثبات: يتم تشفير بيانات العملاء الحساسة عندما تكون ثابتة باستخدام معيار التشفير المتقدم (AES) ‏256 بت. تختلف البيانات التي يتم تشفيرها عندما تكون ثابتة باختلاف الخدمات التي تختارها. نملك المفاتيح ونحافظ عليها باستخدام خدمة إدارة المفاتيح (KMS) الداخلية. ونقدّم طبقات إضافية من الأمان من خلال تشفير مفاتيح تشفير البيانات باستخدام المفاتيح الرئيسية. يتم فصل المفاتيح الرئيسية ومفاتيح تشفير البيانات فعليًا وتخزينها على خوادم مختلفة مع وصول محدود.

يُرجى النقر هنا للحصول على معلومات مفصلة حول التشفير في Zoho وهنا لفهم البيانات التي نقوم بتشفيرها في خدماتنا.

الاحتفاظ بالبيانات والتخلص منها

نحتفظ بالبيانات في حسابك ما دمت تختار استخدام خدمات Zoho. وحين تنهي حساب المستخدم الخاص بك على Zoho، ستُحذف بياناتك من قاعدة البيانات النشطة خلال عملية التنظيف التالية التي تحصل مرة كل 6 أشهر. وستُحذف البيانات المحذوفة من قاعدة البيانات النشطة من النُسخ الاحتياطية بعد 3 أشهر. في حال بقاء حسابك غير المدفوع غير نشط لفترة متواصلة تبلغ 120 يومًا، سنعمد إلى إنهائه بعد إعطائك إشعارًا مسبقًا وخيارًا بنسخ بياناتك احتياطيًا.

ويقوم مورّد مخوّل معتمد بالتخلص من الأجهزة غير القابلة للاستخدام. إلى أن يحين الوقت لذلك، نصنّفها ونخزّنها في موقع آمن. يتم تنسيق أي معلومات في الأجهزة قبل التخلص منها. ونزيل مغناطيسية محركات الأقراص الصلبة المعطلة وندمّرها فعليًا باستخدام آلة تقطيع وفرم الورق. نقوم بمحو البيانات المشفّرة وإتلاف الأجهزة ذات الحالة الصلبة (SSDs).

التحكم بالهوية والوصول

تسجيل الدخول الأحادي (SSO)

تقدّم Zoho تسجيل الدخول الأحادي الذي يتيح للمستخدمين الوصول إلى الكثير من الخدمات باستخدام صفحة تسجيل الدخول وبيانات اعتماد المصادقة نفسها. عندما تسجّل الدخول إلى أي خدمة من خدمات Zoho، يحدث ذلك فقط عبر خدمة إدارة الهوية والوصول (IAM) المدمجة. ندعم كذلك بروتوكول SAML لتسجيل الدخول الأحادي، الذي يتيح للعملاء دمج موفّر الهوية الخاص بشركتهم مثل LDAP، ‏ADFS عند تسجيل الدخول إلى خدمات Zoho

يعمل تسجيل الدخول الأحادي على تسهيل عملية تسجيل الدخول، وضمان الامتثال، وتوفير التحكم الفعّال في الوصول والإبلاغ، وتقليل خطر الإرهاق من حفظ كلمات مرور عدة، وبالتالي استخدام كلمات مرور ضعيفة.

المصادقة متعددة العوامل

توفّر مستوى أمان إضافيًا من خلال طلب عملية تحقق إضافية يجب أن يملكها المستخدم، بالإضافة إلى كلمة المرور. يمكن لذلك أن يحدّ بشكل كبير من مخاطر الوصول غير المصرح به إذا كانت كلمة مرور المستخدم معرّضة للاختراق. يمكنك تكوين مصادقة متعددة العوامل باستخدام Zoho One-Auth. حاليًا، يتم دعم أوضاع مختلفة، مثل معرّف اللمس البيولوجي أو معرّف الوجه، والإشعارات المؤقتة، ورمز QR، وكلمة المرور لمرة واحدة المستندة إلى الوقت.

ندعم كذلك مفتاح أمان الأجهزة Yubikey للمصادقة متعددة العوامل.

الوصول الإداري

نضع ضوابط تقنية على الوصول وسياسات داخلية لمنع الموظفين من الوصول إلى بيانات المستخدمين بشكل اعتباطي. هذا ونلتزم بمبادئ الحصول على أقل الامتيازات والأذونات المستندة إلى الأدوار للحد من خطر تعرض البيانات للوصول غير المصرح به إلى أقصى حد.

تتم المحافظة على إمكانية الوصول إلى بيئات الإنتاج من خلال دليل مركزي ومصادق عليه باستخدام مجموعة من كلمات المرور القوية والمصادقة ثنائية العوامل، ومفاتيح SSH المحمية بعبارة مرور. علاوة على ذلك، نقوم بتسهيل هذا الوصول عبر شبكة منفصلة باستخدام قواعد أكثر صرامة وأجهزة تم دعمها. بالإضافة إلى ذلك، نسجّل كل العمليات وندقق فيها بشكل دوري.

الأمان التشغيلي

التسجيل والمراقبة

نراقب المعلومات التي يتم جمعها من الخدمات وحركة البيانات الداخلية في شبكتنا واستخدام الأجهزة والوحدات الطرفية ونحللها. ونسجّل هذه المعلومات على شكل سجلات أحداث وسجلات مراجعة وسجلات أعطال وسجلات مسؤولين وسجلات مشغلين. تتم مراقبة هذه السجلات وتحليلها تلقائيًا إلى حد معقول يساعدنا في تحديد العيوب، مثل الأنشطة غير الاعتيادية في حسابات الموظفين أو محاولات الوصول إلى بيانات العملاء. ونخزِّن هذه السجلات في خادم آمن معزول عن إمكانية الوصول إلى النظام بالكامل وذلك بغية إدارة التحكم بالوصول بشكل مركزي وضمان التوفّر. 

يتوفّر سجل المراجعة المفصل الذي يغطي كل عمليات التحديث والحذف التي يجريها المستخدم للعملاء في كل واحدة من خدمات Zoho.

إدارة الثغرات الأمنية

لدينا عملية مخصصة لإدارة الثغرات الأمنية تبحث بشكل فعال عن التهديدات الأمنية باستخدام مجموعة معتمدة من أدوات المسح الضوئي التابعة لجهات خارجية والأدوات المستخدمة داخل المؤسسة ومن خلال جهود اختبار الاختراق المؤتمت واليدوي. علاوة على ذلك، يراجع فريق الأمن في شركتنا بشكل نشط التقارير الأمنية الواردة ويراقب القوائم البريدية العامة والمنشورات على المدوّنات ومواقع wiki لرصد الحوادث الأمنية التي قد تؤثر في البنية التحتية للشركة.

وبمجرد تحديد نقطة الضعف التي تتطلب المعالجة، يتم تسجيلها وتحديد أولويتها وفقًا للخطورة وتعيينها إلى مالك. كما نحدد المخاطر ذات الصلة بالثغرة الأمنية ونتتبعها حتى يتم إغلاقها عن طريق تنقيح الأنظمة الضعيفة أو تطبيق الضوابط ذات الصلة.

البرامج الضارة والحماية من الرسائل العشوائية

نقوم بمسح كل ملفات المستخدمين باستخدام نظام المسح الضوئي المؤتمت الخاص بنا والمصمم لمنع البرامج الضارة من الانتشار في نظام Zoho. يتلقى محرك مكافحة البرامج الضارة المخصص الذي نقدمه تحديثات منتظمة من مصادر المعلومات الخارجية حول التهديدات ويقوم بمسح الملفات ضوئيًا للبحث عن التواقيع المدرجة على القائمة السوداء والأنماط الضارة. علاوةً على ذلك، يضمن محرك الاكتشاف الخاص بنا والمرفق بتقنيات تعلم آلية حماية بيانات العميل من البرامج الضارة. 

تدعم Zoho مصادقة الرسائل المستندة إلى المجال وإعداد التقارير والامتثال (DMARC) كطريقة لمنع البريد العشوائي. وتقوم DMARC باستخدام SPF وDKIM للتحقق من أن الرسائل حقيقية. نستخدم أيضًا محرك الاكتشاف الخاص بنا لتحديد إساءة استخدام خدمات Zoho مثل التصيد الاحتيالي والبريد العشوائي. بالإضافة إلى ذلك، لدينا فريق مخصص لمكافحة البريد العشوائي ولمراقبة الإشارات الواردة من البرنامج ومعالجة شكاوى إساءة الاستخدام.
للمزيد من المعلومات، انقر هنا.

النسخ الاحتياطي

نجري عمليات النسخ الاحتياطي الإضافية يوميًا وعمليات نسخ احتياطية كاملة أسبوعيًا لقواعد البيانات الخاصة بنا باستخدام Zoho Admin Console ‏(Zac) لمراكز بيانات Zoho. يتم تخزين بيانات النسخ الاحتياطي في مركز البيانات في الموقع نفسه ويتم تشفيرها باستخدام خوارزمية AES - ‏256 بت. ونخزنها بتنسيق tar.gz. ويتم الاحتفاظ بكل البيانات المنسوخة احتياطيًا لمدة ثلاثة أشهر. إذا طلب العميل استرداد البيانات خلال فترة الاحتفاظ، فسنستعيد بياناته ونوفّر له الوصول الآمن إليها. يعتمد المخطط الزمني لاستعادة البيانات على حجم البيانات وتعقيدها.

لضمان سلامة البيانات التي تم نسخها احتياطيًا، نستخدم مصفوفة متكررة من الأقراص المستقلة (RAID) في خوادم النسخ الاحتياطي. تتم جدولة كل عمليات النسخ الاحتياطي وتتبعها بشكل منتظم. في حالة فشل العملية، تتم إعادة التشغيل وإصلاح الفشل على الفور. يتم التحقق من سلامة النسخ الاحتياطية الكاملة والتحقق منها تلقائيًا بواسطة أداة ZAC.

من جهتك، نوصي بشدة بجدولة النسخ الاحتياطي المنتظم لبياناتك من خلال تصديرها من خدمات Zoho ذات الصلة وتخزينها محليًا في البنية الأساسية لديك.

استرداد البيانات في حالة الكوارث واستمرارية العمل

يتم تخزين بيانات التطبيق على مساحة تخزين مرنة يتم تكرارها في مراكز البيانات. ويتم تكرار البيانات الموجودة في مركز البيانات الأساسي في مركز البيانات الثانوي في الوقت الفعلي تقريبًا. في حالة فشل مركز البيانات الأساسي، يحل محله مركز البيانات الثانوي ويتم تنفيذ العمليات بسلاسة مع خسارة الحد الأدنى من الوقت أو من دون إضاعة أي وقت. ويكون كلا المركزين مجهّزين بعدة موفّرين لخدمة الإنترنت.

نضمن استمرارية العمل من خلال اتباع تدابير فعلية مثل الطاقة الاحتياطية وأنظمة التحكم بدرجات الحرارة وأنظمة الوقاية من الحرائق. تساعدنا هذه التدابير على تحقيق المرونة. بالإضافة إلى تكرار البيانات، وضعنا خطة لاستمرارية العمل من أجل العمليات الرئيسية لدينا مثل الدعم وإدارة البنية التحتية.

إدارة الحوادث

الإبلاغ

لدينا فريق مخصص لإدارة الحوادث. نعلمك بالحوادث التي تقع في البيئة والتي تنطبق عليك، بالإضافة إلى الإجراءات المناسبة التي قد تحتاج إلى اتخاذها. ونتتبع الحوادث ونغلقها باتخاذ الإجراءات التصحيحية المناسبة. سنتعرّف على الأدلة الضرورية التي يتم تقديمها لك للتطبيق والتدقيق في شكل سجلات متعلقة بالحوادث التي تنطبق عليك، وسنجمعها ونحصلها ونقدمها لك متى أمكن ذلك. علاوة على ذلك، نطبّق ضوابط لمنع تكرار المواقف المشابهة.

نستجيب للحوادث الأمنية أو تلك المتعلقة بالخصوصية التي تبلغنا بها من خلال incidents@zohocorp.com ونوليها أولوية عالية. بالنسبة إلى الحوادث العامة، سنبلغ المستخدمين من خلال مدوّناتنا ومنتدياتنا ووسائل التواصل الاجتماعي، أما بالنسبة إلى الحوادث الخاصة بمستخدم فرد أو مؤسسة فردية، فسنبلغ الطرف المعني من خلال البريد الإلكتروني (باستخدام عنوان البريد الإلكتروني الرئيسي لمسؤول المؤسسة الذي تم تسجيله معنا).

الإشعار بالانتهاك

بصفتنا مراقبي البيانات، نبلغ سلطة حماية البيانات المعنية بحصول انتهاك خلال 72 ساعة من علمنا به، وذلك بحسب اللائحة العامة لحماية البيانات (GDPR). ووفقًا لمتطلبات محددة، نبلغ العملاء أيضًا عند الضرورة. بصفتنا معالجي بيانات، نبلغ مراقبي البيانات المعنيين من دون تأخير غير مبرر. 

الإفصاح المسؤول

تم وضع برنامج للإبلاغ عن نقاط الضعف في "Bug Bounty"، للوصول إلى مجتمع الباحثين، يتعرّف على أعمال الباحثين في مجال الأمان ويكافئهم. تجدر الإشارة إلى أننا نلتزم بالعمل مع المجتمع للتحقق من الحلول المناسبة لنقاط الضعف التي تم إبلاغنا بها وإعادة إنتاجها والاستجابة لها وتشريعها وتنفيذها.

إذا وجدت أيًا منها، فيُرجى إرسال المشاكل إلى https://bugbounty.zoho.com/‎. إذا أردت إبلاغنا مباشرة بأي نقاط ضعف، فأرسلها إلينا عبر البريد الإلكتروني على security@zohocorp.com. 

إدارة المورّدين والمورّدين من الجهات الخارجية

نقيّم مورّدينا ونؤهلهم استنادًا إلى سياسة إدارة المورّدين لدينا. هذا ونضمّ مورّدين جدد بعد فهم الإجراءات التي يتّبعونها لتقديم الخدمات لنا، وبعد تقييم المخاطر. ونتخذ الخطوات الملائمة لضمان الحفاظ على موقفنا في ما يتعلق بالأمان من خلال إبرام اتفاقيات تتطلب من المورّدين التقيّد بالتزامات السرية والتوفّر والنزاهة التي قدمناها لعملائنا. نراقب التشغيل الفعال للعمليات وإجراءات الأمان في الشركة من خلال إجراء مراجعات دورية للضوابط الخاصة بها.

عناصر التحكم بالأمان الخاصة بالعملاء

ناقشنا حتى الآن ما نقوم به لتوفير الأمان على جبهات مختلفة لعملائنا. إليك الخطوات التي يمكنك كعميل القيام بها لضمان الأمان من جهتك:

  •   اختر كلمة مرور فريدة وقوية واحرص على حمايتها.
  •   استخدم المصادقة متعددة العوامل
  •   استخدم أحدث إصدارات للمتصفح ونظام التشغيل على الأجهزة المحمولة والتطبيقات المحدّثة للأجهزة المحمولة للتأكد من أنه تم تصحيحها لمكافحة نقاط الضعف واستخدام أحدث ميزات الأمان
  •   طبّق التدابير الوقائية المعقولة خلال مشاركة البيانات من بيئة السحابة الخاصة بنا.
  •   صنّف معلوماتك إلى معلومات شخصية أو حساسة وأعطِها تسمية ذات صلة.
  •   راقب الأجهزة المرتبطة بحسابك وجلسات الويب النشطة ووصول الجهات الخارجية من أجل اكتشاف العيوب في أنشطة حسابك، وإدارة الأدوار والامتيازات المتعلقة بحسابك.
  •   انتبه من التصيد الاحتيالي وتهديدات البرامج الضارة من خلال البحث عن رسائل البريد الإلكتروني ومواقع الويب والروابط غير المألوفة التي قد تستغل معلوماتك الحساسة عن طريق سرقة هوية Zoho أو خدمات أخرى تثق بها.

لمعرفة المزيد حول كيفية العمل مع Zoho لتحقيق بيئة سحابة آمنة، اقرأ موردنا حول فهم المسؤولية المشتركة مع Zoho. نقدم تحليلاً شاملاً لنموذج المسؤولية المشتركة وكيف يمكن لكل من عملائنا وZoho التعاون بالإضافة إلى تحمل المسؤولية الفردية تجاه أمن السحابة وخصوصيتها.

الخاتمة

يُعدّ ضمان أمان بياناتك حقك ومهمة تتكفل بها Zoho على الدوام. سنستمر في العمل بجدّ للحفاظ على أمان بياناتك، كما فعلنا دائمًا. لمزيد من الاستفسارات حول هذا الموضوع، يرجى الاطلاع على الأسئلة الشائعة أو مراسلتنا على security@zohocorp.com.