यह सुरक्षा नीति ("नीति") [आपकी कंपनी का नाम] (इसके बाद "कंपनी" कहा जाएगा) द्वारा सुरक्षा, गोपनीयता, अखंडता,और डेटा की उपलब्धतायह सभी कर्मचारियों, भागीदारों, आपूर्तिकर्ताओं, ग्राहकों और किसी भी तीसरे पक्ष को लागू होता है जो कंपनी के सूचना प्रणालियों, डेटा,या परिसरकंपनी की सेवाओं, उत्पादों या प्रणालियों के साथ जुड़कर, आप इस नीति की शर्तों का अनुपालन करने के लिए सहमत हैं।
इस नीति में कंपनी के ऑटो पार्ट्स के सभी पहलुओं को शामिल किया गया है, जिनमें निम्नलिखित शामिल हैं, लेकिन इन तक सीमित नहीं हैंः ग्राहक डेटा (व्यक्तिगत जानकारी, आदेश विवरण, भुगतान रिकॉर्ड);आपूर्तिकर्ता डेटा (भाग विनिर्देश), मूल्य निर्धारण, वितरण जानकारी); आंतरिक व्यावसायिक डेटा (सामग्री, बिक्री, वित्तीय रिकॉर्ड); सूचना प्रणाली (वेबसाइट, ईआरपी प्रणाली, स्टॉक प्रबंधन प्लेटफॉर्म, डेटाबेस);भौतिक संपत्ति (भण्डार), भंडारण सुविधाएं, ऑटो पार्ट्स इन्वेंट्री) और नेटवर्क बुनियादी ढांचा।
कंपनी लक्षित सुरक्षा उपायों को लागू करने के लिए डेटा को तीन स्तरों में वर्गीकृत करती हैः
-
गोपनीय डेटा: ग्राहक भुगतान की जानकारी, आपूर्तिकर्ता व्यापारिक रहस्य, आंतरिक मूल्य निर्धारण रणनीतियाँ, और स्वामित्व वाली ऑटो पार्ट तकनीकी विनिर्देश। यह डेटा पारगमन और विश्राम में एन्क्रिप्ट किया जाता है,केवल अधिकृत कर्मियों तक ही सीमित पहुंच के साथ.
-
आंतरिक डेटा: इन्वेंट्री रिकॉर्ड, बिक्री रिपोर्ट और गैर सार्वजनिक परिचालन डेटा। कार्य जिम्मेदारियों के आधार पर पहुंच दी जाती है, और डेटा साझा करना व्यावसायिक आवश्यकता तक सीमित है।
-
सार्वजनिक डेटा: उत्पाद कैटलॉग, सार्वजनिक मूल्य निर्धारण और कंपनी की संपर्क जानकारी। ये डेटा कंपनी के आधिकारिक चैनलों पर उपलब्ध कराए जाते हैं लेकिन अनधिकृत संशोधन के लिए निगरानी की जाती है।
कंपनी यह सुनिश्चित करने के लिए सख्त पहुंच नियंत्रण तंत्र लागू करती है कि केवल अधिकृत व्यक्ति ही संवेदनशील डेटा और प्रणालियों तक पहुंच सकते हैंः
-
सभी सिस्टम एक्सेस के लिए अद्वितीय उपयोगकर्ता खातों और सख्त पासवर्ड आवश्यकताएं (न्यूनतम लंबाई, जटिलता, नियमित अद्यतन) ।
-
भूमिका-आधारित अभिगम नियंत्रण (RBAC) कार्य कार्यों के आधार पर अनुमतियां प्रदान करने के लिए; अभिगम अधिकारों की तिमाही समीक्षा की जाती है और जब अब आवश्यकता नहीं होती है तो तुरंत रद्द कर दिया जाता है।
-
महत्वपूर्ण प्रणालियों (जैसे, भुगतान प्रसंस्करण, स्टॉक प्रबंधन, ग्राहक डेटा प्लेटफॉर्म) तक पहुँच के लिए बहु-कारक प्रमाणीकरण (एमएफए) ।
कंपनी, ग्राहकों, आपूर्तिकर्ताओं और भागीदारों के बीच प्रेषित सभी डेटा सुरक्षित प्रोटोकॉल (एसएसएल/टीएलएस 1.2+) के माध्यम से संरक्षित हैं। सर्वर, क्लाउड प्लेटफार्मों पर संग्रहीत गोपनीय डेटा,या भौतिक उपकरणों को उद्योग मानक एल्गोरिदम का उपयोग करके एन्क्रिप्ट किया जाता हैमहत्वपूर्ण डेटा का नियमित बैकअप किया जाता है, बैकअप फ़ाइलें सुरक्षित रूप से संग्रहीत की जाती हैं और पुनर्प्राप्ति के लिए परीक्षण किया जाता है।
कंपनी सभी सूचना प्रणालियों (हार्डवेयर, सॉफ्टवेयर, फर्मवेयर) को नियमित रूप से सुरक्षा कमजोरियों को दूर करने के लिए बनाए रखती है और अपडेट करती है।महत्वपूर्ण सुरक्षा पैच जारी होने के 72 घंटों के भीतर लागू किए जाते हैं, और गैर-महत्वपूर्ण पैच को नियोजित रखरखाव खिड़कियों के दौरान तैनात किया जाता है ताकि व्यापार में व्यवधान को कम से कम किया जा सके।
नेटवर्क सुरक्षा उपायों में निम्नलिखित शामिल हैंः
-
फ़ायरवॉल और घुसपैठ का पता लगाने/रोकथाम प्रणाली (आईडीएस/आईपीएस) अनधिकृत नेटवर्क पहुँच की निगरानी और ब्लॉक करने के लिए।
-
सामान्य परिचालन नेटवर्क से महत्वपूर्ण प्रणालियों (जैसे भुगतान प्रसंस्करण) को अलग करने के लिए नेटवर्क विभाजन, संभावित उल्लंघनों के प्रभाव को कम करना।
-
कमजोरियों की पहचान करने और उन्हें दूर करने के लिए नियमित नेटवर्क सुरक्षा स्कैन और प्रवेश परीक्षण।
कंपनी के सभी उपकरण (कंप्यूटर, सर्वर, मोबाइल डिवाइस) अप-टू-डेट एंटीवायरस, एंटी-मैलवेयर और एंटी-रैंसमवेयर सॉफ्टवेयर से लैस हैं।कर्मचारियों को अनधिकृत सॉफ्टवेयर डाउनलोड करने से मना किया गया है, संदिग्ध ईमेल या अटैचमेंट खोलना, या दुर्भावनापूर्ण मैलवेयर संक्रमण के जोखिम को कम करने के लिए अविश्वसनीय वेबसाइटों तक पहुंचना।
ऑटो पार्ट्स इन्वेंट्री, भंडारण सुविधाओं और साइट पर डेटा परिसंपत्तियों की सुरक्षा के लिए भौतिक सुरक्षा उपायों को लागू किया जाता हैः
-
कीकार्ड, बायोमेट्रिक या सुरक्षा कर्मियों के माध्यम से गोदामों, सर्वर कक्षों और कार्यालय क्षेत्रों तक नियंत्रित पहुंच।
-
इन्वेंट्री भंडारण क्षेत्रों, प्रवेश/निकास बिंदुओं और महत्वपूर्ण सुविधाओं की 24/7 वीडियो निगरानी, जिसमें कम से कम 30 दिनों तक फुटेज रखा जाता है।
-
ऑटो पार्ट्स की आवाजाही पर नजर रखने के लिए इन्वेंट्री ट्रैकिंग सिस्टम, चोरी या अनधिकृत निकासी को रोकने के लिए।
-
संवेदनशील डेटा युक्त भौतिक माध्यमों (हार्ड ड्राइव, कागजी रिकॉर्ड) का सुरक्षित निपटान, डेटा संरक्षण नियमों के अनुपालन में।
कंपनी लागू डेटा संरक्षण और सुरक्षा नियमों का पालन करती है, जिसमें निम्नलिखित शामिल हैं, लेकिन इन तक सीमित नहीं हैंः
-
यूरोपीय संघ में ग्राहकों और भागीदारों के लिए सामान्य डेटा संरक्षण विनियमन (GDPR) ।
-
कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA) / कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA) कैलिफ़ोर्निया, संयुक्त राज्य अमेरिका में ग्राहकों के लिए।
-
प्रासंगिक स्थानीय ऑटो उद्योग विनियम और डेटा सुरक्षा मानक।
कंपनी नियमित रूप से इस नीति की समीक्षा और अद्यतन करती है ताकि बदलते नियमों और उद्योग की सर्वोत्तम प्रथाओं के अनुपालन को सुनिश्चित किया जा सके।
कंपनी ने डेटा उल्लंघनों, सिस्टम समझौता या अन्य सुरक्षा घटनाओं को शीघ्रता से संबोधित करने के लिए एक औपचारिक सुरक्षा घटना प्रतिक्रिया योजना स्थापित की हैः
-
सुरक्षा संबंधी चिंताओं के लिए एक विशेष संपर्क बिंदु के साथ कर्मचारियों के लिए घटना का पता लगाने और रिपोर्ट करने की प्रक्रियाएं।
-
सुरक्षा घटनाओं के प्रभाव को सीमित करने के लिए रोकथाम के उपाय, इसके बाद जांच, सुधार और वसूली।
-
प्रभावित पक्षों (ग्राहकों, आपूर्तिकर्ताओं, नियामकों) को कानून द्वारा निर्धारित समय सीमा के भीतर सूचित करना।
-
मूल कारणों की पहचान करने और सुरक्षा उपायों में सुधार के लिए घटना के बाद समीक्षाएं।
सभी कर्मचारियों को वार्षिक सुरक्षा जागरूकता प्रशिक्षण प्राप्त होता है, जिसमें डेटा सुरक्षा, फ़िशिंग की रोकथाम, पासवर्ड प्रबंधन और घटना रिपोर्टिंग जैसे विषय शामिल होते हैं।नए कर्मचारी कंपनी के सिस्टम या डेटा तक पहुंचने से पहले अनिवार्य सुरक्षा प्रशिक्षण पूरा करते हैं.
आपूर्तिकर्ताओं, भागीदारों और अन्य तृतीय पक्षों को जो कंपनी के सिस्टम या डेटा तक पहुंच प्राप्त करते हैं, उन्हें इस नीति और अनुबंधों में निर्दिष्ट किसी भी अतिरिक्त सुरक्षा आवश्यकताओं का अनुपालन करने के लिए सहमत होना चाहिए।कंपनी अनुपालन सुनिश्चित करने के लिए महत्वपूर्ण तृतीय पक्षों के नियमित सुरक्षा आकलन करती है.
कंपनी की सुरक्षा टीम और प्रबंधन द्वारा इस नीति की कम से कम वार्षिक समीक्षा की जाती है। नए सुरक्षा खतरों, तकनीकी परिवर्तनों या नियामक आवश्यकताओं को संबोधित करने के लिए अपडेट किए जा सकते हैं।नीति के संशोधित संस्करणों को कंपनी की आधिकारिक वेबसाइट पर पोस्ट किया जाएगा, प्रभावी होने की तारीख स्पष्ट रूप से इंगित की गई है।
प्रश्नों, चिंताओं, या सुरक्षा घटनाओं की रिपोर्ट के लिए, कृपया कंपनी की सुरक्षा टीम से संपर्क करेंः
ईमेलः [security@yourcompany.com]
फ़ोनः [+XXX-XXXX-XXXX]
प्रभावी होने की तिथि: [MM/DD/YYYY]
[आपकी कंपनी का नाम]
