المسؤولية المشتركة
مسؤولية التحكم التي ستنطبق عليك وZoho على حد سواء.
إدارة الهوية والوصول
نحن نوفر البنية الأساسية لإدارة حسابات المستخدمين من خلال خدمة إدارة الهوية والوصول (IAM) عبر تسهيل:
- تسجيل المستخدم، وخيارات إلغاء التسجيل، والمواصفات الخاصة بكيفية استخدامها.
- الوظائف لإدارة حقوق الوصول لمستخدمي السحابة.
- تقنيات المصادقة القوية مثل قيود المصادقة متعددة العوامل وعناوين IP.
أنت مسؤول عن:
- تطبيق ضوابط قوية لإدارة وصول المستخدمين.
- تكوين كلمات مرور قوية استنادًا إلى سياسة المؤسسة وحمايتها.
- تمكين المصادقة متعددة العوامل لمستخدمي مؤسستك.
- إدارة حسابات المستخدمين وامتيازاتهم، أي تكوين أدوار المستخدمين وفقًا لمبدأ أقل الامتيازات.
- تحديد المسؤول (المسؤولين) عن حساب المؤسسة، مع وجود عملية مناسبة لنقل الملكية. اتخاذ الخطوات الضرورية لضمان ألا تفقد مؤسستك التحكم بحسابات المسؤول.
- مراجعة قائمة المستخدمين الذين لديهم حق الوصول إلى البيانات بشكل دوري وإزالة حق الوصول لأي شخص لا يحق له ذلك.
- مراجعة الأجهزة المرتبطة بحسابات المستخدمين في المؤسسة بشكل متكرر وإزالة الأجهزة غير المستخدمة أو غير المصرّح بها.
- مراقبة حسابات المستخدمين في المؤسسة للوصول أو الاستخدام الضار.
- إعلام Zoho بأي استخدام غير مصرح به لحسابات مؤسستك.
- تثقيف المستخدمين حول أهمية الإدارة الجيدة لكلمة المرور والمخاطر المتعلقة بإعادة استخدام بيانات الاعتماد وعمليات تسجيل الدخول الاجتماعية وهجمات التصيّد الاحتيالي.
إدارة البيانات
نحن نوفر لك نظامًا أساسيًا لإدارة بياناتك من خلال:
- ميزات مشاركة البيانات لعناصر التحكم على مستوى المسؤول والمستخدم.
- تدقيق ميزات بيانات العملاء لتوفير الشفافية في الأنشطة المهمة وتتبع التغييرات.
- إمكانية التشغيل التفاعلي للبيانات، أي خيار إجراء نسخ احتياطي كامل للبيانات والتكوينات لترحيل كل بياناتك أو جزء منها إلى موفر SaaS آخر.
- الاحتفاظ بالبيانات والتخلص منها - نحتفظ بالبيانات في حسابك ما دمت تختار استخدام خدمات Zoho . وحين تنهي حساب المستخدم الخاص بك على Zoho، ستُحذف بياناتك من قاعدة البيانات النشطة خلال عملية التنظيف التالية التي تحصل مرة كل ستة أشهر. وستُحذف البيانات المحذوفة من قاعدة البيانات النشطة من النُسخ الاحتياطية بعد ثلاثة أشهر.
- ميزات قيود الوصول للحد من وصول الموظفين إلى بيانات العملاء والتأكد من أنه يمكنهم ذلك فقط في حالة وجود سبب محدد.
أنت مسؤول عن:
- العناية الواجبة أثناء معالجة المعلومات التي تنتمي إلى فئات خاصة (على سبيل المثال، البيانات الشخصية/الحساسة) من خلال تطبيق الضوابط المناسبة للامتثال لمتطلبات التشريعات المعمول بها.
- تكوين الأذونات المناسبة للمشاركة والعرض.
- مراجعة تقارير التدقيق بانتظام لتحديد أي نشاط مشبوه.
- الحفاظ على أحدث معلومات الاتصال مع Zoho.
- إخراج بياناتك من النظام بمجرد التوقف عن استخدام خدماتنا. وإلا فإنها ستخضع للحذف الدائم من دون أي مجال للاسترداد.
إدارة البيانات إلى جهات أخرى
نحن نعمل على تحقيق عمليات تكامل آمنة وملحقات إضافية لتطبيقاتنا من خلال:
- تطبيقات Marketplace: إجراء اختبارات وظيفية واختبار أمان واختبار خصوصية بمجرد إرسال الطلب إلينا. هذا ونقوم بمراجعة المنتجات ومراجعة المحتوى.
- المعالجات الفرعية: تقييم ممارسات الأمان والخصوصية للمعالجات الفرعية التي نودّ التعاقد معها لضمان تماشيها مع معايير أمان المعلومات والخصوصية لدى Zoho. ثم نعقد معها الاتفاقيات المناسبة لحماية البيانات.
- نحن نراجع سياسة الخصوصية وشروط الخدمة الخاصة بالبائعين لدينا ونضمن التزام عملياتهم بها.
نتوقع منك:
- تمكين عمليات التكامل مع جهات خارجية أو تعطيلها بعد مراعاة البيانات التي تتم مشاركتها مع بيئات جهات خارجية. يجب مراجعة شروط خدمة الجهة الخارجية وسياسة الخصوصية الخاصة بها في ما يتعلق بجمع البيانات أو استخدامها أو الإفصاح عنها.
- ضع علامة على تفضيلاتك حول ما إذا كنت ترغب في مشاركة تفاصيلك مع البائعين في كل مرة يتم فيها تثبيت ملحق.
- تقييم مدى ملاءمة تطبيقات Marketplace ومدى معقولية الأذونات المطلوبة قبل التثبيت.
- أبلغ Zoho بأي سلوك ضار محدد في تطبيقات Marketplace.
حقوق أصحاب البيانات
نحن مسؤولون عن:
- توفير ميزات تمكّن العملاء من تلبية حقوق عملائك وحمايتها.
- إبلاغك بطلبات العملاء عندما يتصلون بنا مباشرة لممارسة حقوقهم.
أنت مسؤول عن:
- تلبية طلبات العملاء من أجل الوصول إلى البيانات وتصحيحها وحذفها وفرض قيود عليها عند معالجة معلوماتهم الشخصية ومعالجتها.
التشفير
نحن نحمي بياناتك باستخدام التشفير أثناء النقل وفي الوقت المناسب بالطرق التالية:
- البيانات أثناء النقل: تتم حماية بيانات العملاء التي يتم إرسالها إلى خوادمنا عبر الشبكات العامة باستخدام بروتوكولات تشفير فعالة. ونفرض على كل الاتصالات بخوادمنا استخدام تشفير أمان طبقة النقل (TLS 1.2/1.3) مع تشفيرات فعالة، وذلك لكل الاتصالات بما في ذلك الوصول إلى الويب والوصول إلى واجهة برمجة التطبيقات وتطبيقاتنا للأجهزة المحمولة والوصول إلى IMAP/POP/SMTP.
- البيانات في حالة الثبات: يتم تشفير بيانات العملاء الحساسة في حالة الثبات باستخدام خوارزمية معيار التشفير المتقدم (AES) 256 بت. تختلف البيانات التي يتم تشفيرها عندما تكون ثابتة باختلاف الخدمات التي تختارها. نملك المفاتيح ونحافظ عليها باستخدام خدمة إدارة المفاتيح (KMS) الداخلية.
نقترح عليك:
- تحديد احتياجات التشفير. بالنسبة إلى البيانات في حالة الثبات، في حالات كثيرة أثناء استخدام خدماتنا، قد تكون مسؤولاً عن تحديد الحقول التي يجب تشفيرها.
- عندما يتم تنزيل البيانات من السحابة أو تصديرها إلى بيئتك أو مزامنتها ضمن عمليات التكامل في Zoho أو مع أي تكامل آخر من جهات خارجية، يجب أن تضمن تطبيق عناصر التحكم بالتشفير ذات الصلة. على سبيل المثال، قم بتمكين تشفير القرص على أجهزتك واستخدم ميزة التصدير مع تمكين الحماية بكلمة مرور، إلخ.
النُسخ الاحتياطية
نحن مجهزون بنظام قوي من أجل:
- الاحتفاظ بنسخ احتياطية على مستوى النظام مشفرة باستخدام خوارزمية AES-256 بت وتخزينها بشكل آمن. تشغيل عمليات التحقق من السلامة والتحقق من صحة النسخ الاحتياطية الكاملة تلقائيًا.
- تمكين طلبات استعادة البيانات وتوفير وصول آمن إليها خلال فترة الاستبقاء. تزويد العملاء بميزة لتصدير البيانات الخاصة بهم ونسخها احتياطيًا.
من جهتك، يمكنك:
- جدولة نسخة احتياطية لبياناتك وتصديرها من خدمات Zoho الخاصة بها وتخزينها محليًا في بنيتك الأساسية، إذا لزم الأمر. وأنت مسؤول عن تخزينها بطريقة آمنة.
إدارة الحوادث
من جهتنا، نضمن ما يلي:
- الإبلاغ عن كل حوادث الانتهاك التي نعلم بها والتي تنطبق عليك بالإضافة إلى تفاصيل التأثير والإجراءات المناسبة. أما بالنسبة إلى الحوادث الخاصة بمستخدم فرد أو مؤسسة، فسنشعر الطرف المعني من خلال البريد الإلكتروني المسجّل لدينا.
- تتبع مثل هذه الحوادث وإغلاقها.
- تطبيق ضوابط لمنع تكرار الحوادث المشابهة.
- سنقدم لك، إذا طُلب منا ذلك، أدلة إضافية تتعلق بالحادث الذي ينطبق عليك.
نتوقع منك:
- اتخاذ الإجراءات التي تقترحها Zoho في حالة حدوث انتهاك.
- الوفاء بمتطلبات الإفصاح عن انتهاك البيانات والإشعار، مثل إعلام المستخدمين النهائيين وسلطات حماية البيانات عند الاقتضاء.
- الإبلاغ عن حوادث الأمان والخصوصية التي تكون على علم بها إلى incidents@zohocorp.com.
الوعي والتدريب
نحن نتحمل المسؤولية الكاملة عن:
- تدريب موظفينا على الاهتمام بالأمن والتزام معيار تطوير آمن. يشارك الموظفون حديثًا في تدريب إلزامي على الأمان والخصوصية بالإضافة إلى تلقي تدريب منتظم حول التوعية الأمنية عبر رسائل البريد الإلكتروني الإعلامية والعروض التقديمية والموارد المتوفرة على شبكة الإنترانت.
- تدريب موظفينا على المعالجة المناسبة لبيانات عملاء خدمة السحابة.
أنت مسؤول عن تدريب مستخدمي السحابة على:
- معايير وإجراءات استخدام خدماتنا.
- كيفية إدارة المخاطر المرتبطة بخدماتنا.
- المخاطر على النظام العام وبيئة الشبكة.
- الاعتبارات القانونية والتنظيمية الواجبة التطبيق.
السياسة والامتثال
نحن نلتزم بمجموعة من الإرشادات، مثل:
- لدينا برنامج شامل لإدارة المخاطر وننفذ الضوابط بفعالية.
- نحن نعمل بموجب قوانين مختلف الاختصاصات القضائية التي نعمل منها.
- نقدم دليلاً على الامتثال للتشريعات المعمول بها استنادًا إلى متطلباتنا التعاقدية.
- سنساعد في تقييمات تأثير حماية البيانات (DPIA) لعملائنا إلى الحد الذي تسمح به القوانين المعمول بها.
نتوقع منك:
- تقييم الأنظمة والقوانين التي تنطبق عليك ومراجعة امتثالنا للتنظيمات والمعايير المطلوبة لشركتك. يمكنك طلب معلومات إضافية لتكون دليلاً على امتثالنا.
- فهم سياساتنا، وأساليب تقييم سياساتنا، وكيفية معالجة البيانات.
- إجراء تقييم تأثير حماية البيانات (DPIA) كما هو مطلوب بموجب قوانين حماية البيانات السارية على مؤسستك قبل / أثناء معالجة البيانات
- قبل معالجة أي بيانات شخصية/حساسة، قيّم الأساس القانوني الذي تستند إليه. في حال كان الأساس القانوني الذي تستند إليه هو الموافقة، تأكد من حصولك على موافقة عملائك.
- تقييم مدى ملاءمة خدماتنا المستندة إلى السحابة بناءً على المعلومات التي نقدمها والتأكد من أنها كافية لتلبية احتياجات الامتثال.
- فهم ملف تعريف المخاطر وحساسية البيانات المستضافة في خدمات Zoho وتطبيق الضوابط الرقابية المناسبة.
