के लिए डेटा सुरक्षा नीति Rask एअर इंडिया
ब्रास्क इंक
लक्ष्य
यह नीति डेटा सुरक्षा के लिए प्रक्रियाओं और तकनीकी नियंत्रणों की रूपरेखा तैयार करती है।
गुंजाइश
उत्पादन प्रणाली जो संभालती है Rask एआई ग्राहक डेटा को इस नीति का पालन करना चाहिए।
परिभाषाएँ
उत्पादन डेटा: वह डेटा जो व्यवसाय संचालन और ग्राहक सेवाओं के लिए सक्रिय रूप से उपयोग और रखरखाव किया जाता है।
उत्पादन प्रणाली: सिस्टम और बुनियादी ढांचा जो बनाते हैं, प्राप्त करते हैं, संग्रहीत करते हैं या संचारित करते हैं Rask एआई ग्राहक डेटा।
भूमिकाएं और जिम्मेदारियां
Brask ML इन्फ्रास्ट्रक्चर विभाग इस नीति का रखरखाव और अद्यतन करता है। सीईओ और कानूनी विभाग इस नीति और किसी भी बदलाव को मंजूरी देते हैं।
बीमा पॉलिसी
ब्रास्क नीति के लिए आवश्यक है कि:
- वर्गीकरण और अनुमोदित एन्क्रिप्शन मानकों के अनुसार डेटा को संभालें और सुरक्षित रखें।
- एक ही वर्गीकरण के डेटा को एक साथ स्टोर करें; संवेदनशील और गैर-संवेदनशील डेटा को मिलाने से बचें। किसी रिपॉजिटरी में उच्चतम वर्गीकरण के आधार पर सुरक्षा नियंत्रण लागू करें।
- आपात स्थिति (जैसे, फोरेंसिक विश्लेषण, आपदा वसूली) को छोड़कर, कर्मचारियों के पास उत्पादन डेटा तक सीधी प्रशासनिक पहुंच नहीं है।
- सभी उत्पादन प्रणालियों पर अनावश्यक सेवाओं को अक्षम करें।
- उत्पादन प्रणालियों के लिए सभी पहुँच लॉग इन करें।
- सभी उत्पादन प्रणालियों (गतिविधि और फ़ाइल अखंडता निगरानी, भेद्यता स्कैनिंग, मैलवेयर का पता लगाने) पर सुरक्षा निगरानी सक्षम करें।
डेटा संरक्षण कार्यान्वयन और प्रक्रियाएं
ग्राहक डेटा सुरक्षा
Rask एआई अतिरेक और आपदा वसूली के लिए कई क्षेत्रों में दोहराए गए डेटा के साथ एडब्ल्यूएस का उपयोग करता है।
ब्रूस कर्मचारी उत्पादन डेटा की सुरक्षा के लिए इन प्रक्रियाओं का पालन करते हैं:
- अनुचित परिवर्तन या विनाश को रोकने के लिए नियंत्रणों को लागू करें और उनकी समीक्षा करें।
- पहुँच लॉग और स्वचालित सुरक्षा निगरानी का समर्थन करने के लिए गोपनीय डेटा संग्रहीत करें.
- अधिकृत ग्राहकों के लिए ग्राहक उत्पादन डेटा तक पहुंच को विभाजित और प्रतिबंधित करें।
- ब्रास्क-प्रबंधित कुंजियों का उपयोग करके आराम से सभी उत्पादन डेटा एन्क्रिप्ट करें।
- एन्क्रिप्शन कुंजियों और कुंजी बनाने वाली मशीनों को अनधिकृत पहुंच से सुरक्षित रखें; केवल विशेषाधिकार प्राप्त खाते ही प्रमुख सामग्री तक पहुंच सकते हैं।
प्रवेश
उत्पादन के लिए कर्मचारी पहुंच डिफ़ॉल्ट रूप से अक्षम है और अनुमोदन की आवश्यकता है। आवश्यकतानुसार अस्थायी पहुंच प्रदान की जाती है और सुरक्षा टीम द्वारा मामले के मामले में समीक्षा की जाती है।
अलगाव
- ग्राहक डेटा को तार्किक रूप से अद्वितीय ग्राहक पहचानकर्ताओं का उपयोग करके डेटाबेस/डेटास्टोर स्तर पर अलग किया जाता है।
- एपीआई परत एक चुने हुए खाते के साथ क्लाइंट प्रमाणीकरण की आवश्यकता के द्वारा अलगाव को लागू करती है।
- एक बार प्रमाणित होने के बाद, ग्राहक का विशिष्ट पहचानकर्ता एक्सेस टोकन में शामिल होता है।
- API इस टोकन का उपयोग प्रमाणित खाते में डेटा एक्सेस प्रतिबंधित करने के लिए करता है।
- सभी डेटाबेस/डेटास्टोर प्रश्नों में उचित डेटा पृथक्करण सुनिश्चित करने के लिए खाता पहचानकर्ता शामिल है।
निगरानी
Rask एआई क्लाउड सेवाओं की निगरानी के लिए अमेज़ॅन क्लाउडवॉच का उपयोग करता है। सिस्टम विफलता के मामले में, प्रमुख कर्मियों को सुधारात्मक कार्रवाई के लिए पाठ, चैट या ईमेल के माध्यम से सूचित किया जाता है।
गोपनीयता/गैर-प्रकटीकरण समझौता (एनडीए)
ब्रूस आंतरिक और बाहरी पार्टियों पर लागू कानूनी रूप से लागू शर्तों के साथ गोपनीय जानकारी की रक्षा के लिए एनडीए का उपयोग करता है। प्रमुख तत्वों में शामिल हैं:
- सूचना परिभाषा
- अनुबंध की अवधि
- समाप्ति पर कार्रवाई
- अनधिकृत प्रकटीकरण को रोकने के लिए जिम्मेदारियां
- सूचना और आईपी का स्वामित्व
- अनुमत उपयोग और अधिकार
- लेखापरीक्षा और निगरानी गतिविधियाँ
- अनधिकृत प्रकटीकरण की रिपोर्ट करना
- समाप्ति पर जानकारी की वापसी या विनाश
- समझौते के उल्लंघन के लिए कार्रवाई
- आवधिक समीक्षा
आराम पर डेटा
एनक्रिप्शन
के अनुसार सभी डेटाबेस, डेटा स्टोर और फाइल सिस्टम को एन्क्रिप्ट करें Rask एआई एन्क्रिप्शन नीति।
प्रतिधारण देखिए।
संग्रहीत डेटा को श्रेणीबद्ध करें और प्रति अवधारण शेड्यूल लागू करें Rask एआई संपत्ति प्रबंधन और डेटा प्रतिधारण नीतियां।
प्रतिधारण के लिए विचार:
- कानूनी और संविदात्मक आवश्यकताएं
- डेटा प्रकार (जैसे, लेखांकन रिकॉर्ड, डेटाबेस रिकॉर्ड, ऑडिट लॉग)
- भंडारण मीडिया प्रकार (जैसे, कागज, हार्ड ड्राइव, सर्वर)
भंडारण और निपटान
आराम से डेटा को ठीक से स्टोर और संभालें। विचारों में शामिल हैं:
- पहुंच और प्रबंधन के लिए प्राधिकरण
- अभिलेखों की पहचान और अवधारण अवधि
- प्रतिधारण के दौरान प्रौद्योगिकी परिवर्तन और पहुंच
- पुनर्प्राप्ति समय सीमा और प्रारूप
- निपटान के तरीके
डेटा हटाना
ब्रास्क के व्यावसायिक उद्देश्यों, कानूनों और तृतीय-पक्ष समझौतों के अनुरूप, संवेदनशील डेटा को ठीक से हटाएं जब अब आवश्यक न हो। हटाने का रिकॉर्ड रखें।
ट्रांज़िट में डेटा
आवश्यक वस्तु
डेटा केवल तभी स्थानांतरित करें जब व्यावसायिक प्रक्रियाओं के लिए कड़ाई से आवश्यक हो।
स्थानांतरण कारक
डेटा ट्रांसफर की विधि चुनने से पहले, निम्नलिखित पर विचार किया जाना चाहिए:
- सूचना प्रकृति, संवेदनशीलता, गोपनीयता और मूल्य
- डेटा का आकार
- संभावित डेटा हानि का प्रभाव
एनक्रिप्शन
ट्रांज़िट में डेटा की सुरक्षा सुनिश्चित करने के लिए:
- क्लाउड और तृतीय-पक्ष विक्रेताओं सहित ब्रास्क-प्रबंधित कुंजियों के साथ सभी बाहरी प्रसारणों को एंड-टू-एंड एन्क्रिप्ट करना।
- इंटरनेट और इंट्रानेट कनेक्शन के लिए मजबूत प्रोटोकॉल, कुंजी एक्सचेंजों और सिफर का उपयोग करना।
एंड-यूज़र मैसेजिंग चैनल
प्रतिबंधित और संवेदनशील डेटा को इलेक्ट्रॉनिक एंड-यूज़र मैसेजिंग चैनल जैसे ईमेल या चैट पर भेजने की अनुमति नहीं है, जब तक कि एंड-टू-एंड एन्क्रिप्शन सक्षम न हो।
अभी वीडियो का अनुवाद करना प्रारंभ करें
