ตามมาตรฐาน

นโยบายการเข้ารหัส
นโยบายการเก็บรักษาข้อมูล
นโยบายการบริหารสินทรัพย์
นโยบายการคุ้มครองข้อมูล
นโยบายด้านสิทธิมนุษยชน
นโยบายด้านสิ่งแวดล้อม
จรรยาบรรณ
นโยบายการไม่เลือกปฏิบัติและโอกาสที่เท่าเทียมกัน
นโยบายต่อต้านการทุจริตคอร์รัปชั่นและการติดสินบน

นโยบายการคุ้มครองข้อมูลสําหรับ Rask เอไอ

Brask อิงค์

วัตถุประสงค์

นโยบายนี้สรุปขั้นตอนและการควบคุมทางเทคนิคสําหรับการปกป้องข้อมูล

ขอบเขต

ระบบการผลิตที่จัดการ Rask ข้อมูลลูกค้า AI ต้องเป็นไปตามนโยบายนี้

คำ นิยาม

ข้อมูลการผลิต: ข้อมูลที่ใช้และบํารุงรักษาอย่างแข็งขันสําหรับการดําเนินธุรกิจและการบริการลูกค้า

ระบบการผลิต: ระบบและโครงสร้างพื้นฐานที่สร้าง รับ จัดเก็บ หรือส่ง Rask ข้อมูลลูกค้า AI

บทบาทและความรับผิดชอบ

แผนกโครงสร้างพื้นฐาน Brask ML ดูแลและปรับปรุงนโยบายนี้ ซีอีโอและฝ่ายกฎหมายอนุมัตินโยบายนี้และการเปลี่ยนแปลงใด ๆ

นโยบาย

นโยบาย Brask กําหนดให้:

  • จัดการและปกป้องข้อมูลตามการจําแนกประเภทและมาตรฐานการเข้ารหัสที่ได้รับอนุมัติ
  • จัดเก็บข้อมูลประเภทเดียวกันเข้าด้วยกัน หลีกเลี่ยงการผสมข้อมูลที่ละเอียดอ่อนและไม่ละเอียดอ่อน ใช้การควบคุมความปลอดภัยตามการจัดประเภทสูงสุดในที่เก็บ
  • พนักงานไม่สามารถเข้าถึงข้อมูลการผลิตได้โดยตรง ยกเว้นในกรณีฉุกเฉิน (เช่น การวิเคราะห์ทางนิติเวช การกู้คืนจากความเสียหาย)
  • ปิดใช้งานบริการที่ไม่จําเป็นในระบบการผลิตทั้งหมด
  • บันทึกการเข้าถึงระบบการผลิตทั้งหมด
  • เปิดใช้งานการตรวจสอบความปลอดภัยในระบบการผลิตทั้งหมด (การตรวจสอบกิจกรรมและความสมบูรณ์ของไฟล์การสแกนช่องโหว่การตรวจจับมัลแวร์)

การดําเนินการและกระบวนการปกป้องข้อมูล

การคุ้มครองข้อมูลลูกค้า

Rask AI ใช้ AWS กับข้อมูลที่จําลองแบบในหลายรีเจี้ยนเพื่อความซ้ําซ้อนและการกู้คืนข้อมูลหลังภัยพิบัติ

พนักงานของ Brask ปฏิบัติตามกระบวนการเหล่านี้เพื่อปกป้องข้อมูลการผลิต:

  • ดําเนินการและตรวจสอบการควบคุมเพื่อป้องกันการเปลี่ยนแปลงหรือการทําลายที่ไม่เหมาะสม
  • จัดเก็บข้อมูลที่เป็นความลับเพื่อรองรับบันทึกการเข้าถึงและการตรวจสอบความปลอดภัยอัตโนมัติ
  • แบ่งกลุ่มและจํากัดการเข้าถึงข้อมูลการผลิตของลูกค้าสําหรับลูกค้าที่ได้รับอนุญาต
  • เข้ารหัสข้อมูลการผลิตทั้งหมดที่เหลือโดยใช้คีย์ที่จัดการโดย Brask
  • ปกป้องคีย์การเข้ารหัสและเครื่องมือสร้างคีย์จากการเข้าถึงโดยไม่ได้รับอนุญาต เฉพาะบัญชีที่มีสิทธิพิเศษเท่านั้นที่สามารถเข้าถึงเนื้อหาหลักได้

เข้าถึง

การเข้าถึงการผลิตของพนักงานถูกปิดใช้งานโดยค่าเริ่มต้นและต้องได้รับการอนุมัติ การเข้าถึงชั่วคราวจะได้รับตามความจําเป็นและตรวจสอบโดยทีมรักษาความปลอดภัยเป็นกรณี ๆ ไป

การแบ่งแยก

  • ข้อมูลลูกค้าจะถูกแยกตามหลักตรรกะที่ระดับฐานข้อมูล/ที่เก็บข้อมูลโดยใช้ตัวระบุลูกค้าที่ไม่ซ้ํากัน
  • เลเยอร์ API บังคับใช้การแยกโดยกําหนดให้มีการตรวจสอบสิทธิ์ไคลเอ็นต์กับบัญชีที่เลือก
  • เมื่อตรวจสอบสิทธิ์แล้ว ตัวระบุเฉพาะของลูกค้าจะรวมอยู่ในโทเค็นการเข้าถึง
  • API ใช้โทเค็นนี้เพื่อจํากัดการเข้าถึงข้อมูลไปยังบัญชีที่ตรวจสอบสิทธิ์
  • คิวรีฐานข้อมูล/ที่เก็บข้อมูลทั้งหมดมีตัวระบุบัญชีเพื่อให้แน่ใจว่ามีการแยกข้อมูลอย่างเหมาะสม

ตรวจ สอบ

Rask AI ใช้ Amazon CloudWatch เพื่อตรวจสอบบริการระบบคลาวด์ ในกรณีที่ระบบล้มเหลวบุคลากรหลักจะได้รับแจ้งทางข้อความแชทหรืออีเมลเพื่อดําเนินการแก้ไข

ข้อตกลงการรักษาความลับ/การไม่เปิดเผยข้อมูล (NDA)

Brask ใช้ NDA เพื่อปกป้องข้อมูลที่เป็นความลับด้วยข้อกําหนดที่บังคับใช้ตามกฎหมาย ซึ่งบังคับใช้กับบุคคลภายในและภายนอก องค์ประกอบสําคัญ ได้แก่ :

  • คําจํากัดความของข้อมูล
  • ระยะเวลาของข้อตกลง
  • การดําเนินการเมื่อสิ้นสุด
  • ความรับผิดชอบในการป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต
  • ความเป็นเจ้าของข้อมูลและทรัพย์สินทางปัญญา
  • การใช้งานและสิทธิ์ที่ได้รับอนุญาต
  • กิจกรรมการตรวจสอบและติดตาม
  • การรายงานการเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต
  • ส่งคืนหรือทําลายข้อมูลเมื่อสิ้นสุด
  • การกระทําสําหรับการละเมิดข้อตกลง
  • ทบทวนเป็นระยะ

ข้อมูลที่เหลือ

การเข้ารหัส

เข้ารหัสฐานข้อมูล ที่เก็บข้อมูล และระบบไฟล์ทั้งหมดตาม Rask นโยบายการเข้ารหัส AI

กัก เก็บ

จัดหมวดหมู่ข้อมูลที่เก็บไว้และใช้กําหนดการเก็บรักษาต่อ Rask นโยบายการจัดการสินทรัพย์ AI และการเก็บรักษาข้อมูล

ข้อควรพิจารณาในการเก็บรักษา:

  • ข้อกําหนดทางกฎหมายและสัญญา
  • ชนิดข้อมูล (เช่น บันทึกทางบัญชี บันทึกฐานข้อมูล บันทึกการตรวจสอบ)
  • ประเภทสื่อบันทึกข้อมูล (เช่น กระดาษ ฮาร์ดไดรฟ์ เซิร์ฟเวอร์)

การจัดเก็บและการกําจัด

จัดเก็บและจัดการข้อมูลที่อยู่นิ่งอย่างเหมาะสม ข้อควรพิจารณารวมถึง:

  • การอนุญาตสําหรับการเข้าถึงและการจัดการ
  • การระบุบันทึกและระยะเวลาการเก็บรักษา
  • การเปลี่ยนแปลงของเทคโนโลยีและการเข้าถึงระหว่างการเก็บรักษา
  • กรอบเวลาและรูปแบบการดึงข้อมูล
  • วิธีการกําจัด

การลบข้อมูล

ลบข้อมูลที่ละเอียดอ่อนอย่างเหมาะสมเมื่อไม่จําเป็นอีกต่อไป ซึ่งสอดคล้องกับวัตถุประสงค์ทางธุรกิจ กฎหมาย และข้อตกลงของบุคคลที่สามของ Brask เก็บบันทึกการลบ

ข้อมูลระหว่างการขนส่ง

ความจําเป็น

ถ่ายโอนข้อมูลเฉพาะเมื่อจําเป็นอย่างยิ่งสําหรับกระบวนการทางธุรกิจ

ปัจจัยการถ่ายโอน

ก่อนที่จะเลือกวิธีการถ่ายโอนข้อมูลต้องพิจารณาสิ่งต่อไปนี้:

  • ลักษณะข้อมูล ความอ่อนไหว การรักษาความลับ และคุณค่า
  • ขนาดข้อมูล
  • ผลกระทบของการสูญเสียข้อมูลที่อาจเกิดขึ้น

การเข้ารหัส

เพื่อความปลอดภัยของข้อมูลระหว่างการส่ง:

  • เข้ารหัสการส่งสัญญาณภายนอกทั้งหมดแบบ end-to-end ด้วยคีย์ที่จัดการโดย Brask รวมถึงผู้จําหน่ายระบบคลาวด์และบุคคลที่สาม
  • การใช้โปรโตคอลที่แข็งแกร่งการแลกเปลี่ยนคีย์และการเข้ารหัสสําหรับการเชื่อมต่ออินเทอร์เน็ตและอินทราเน็ต

ช่องทางการส่งข้อความของผู้ใช้ปลายทาง

ไม่อนุญาตให้ส่งข้อมูลที่ถูกจํากัดและละเอียดอ่อนผ่านช่องทางการส่งข้อความอิเล็กทรอนิกส์ของผู้ใช้ปลายทาง เช่น อีเมลหรือแชท เว้นแต่จะเปิดใช้งานการเข้ารหัสจากต้นทางถึงปลายทาง

เริ่มแปลวิดีโอตอนนี้

ทดลองใช้ฟรี
สํารวจฟรี • ไม่ต้องใช้บัตรเครดิต • เข้าถึงได้ทันที