تاريخ السريان: 1 مايو 2020
1. تم دمج نظرة عامة على الأمان هذه في شروط الخدمة الخاصة بقائمتي وجعلها جزءًا منها على النحو المنصوص عليه في https://www.mydigimenu.com/privacy-policy التي وافق عليها العميل وقبلها أو اتفاقية مبيعات رئيسية موقعة أو أخرى مكتوبة مماثلة اتفاقية بين قائمتي والعميل ("الاتفاقية"). في هذه النظرة العامة الأمنية لخدمة My Menu Service ، (نظرة عامة على الأمان) ، ستشير الإشارات إلى "My Menu" بشكل جماعي إلى QSI ME DMCC ، صندوق بريد 53675 ، دبي ، الإمارات العربية المتحدة والشركات التابعة لها. ستشير مصطلحات "العميل" إليك وإلى العميل والشركات التابعة له.
2. الغرض. تلتزم My Menu بالحفاظ على ثقة العملاء. الغرض من هذه النظرة العامة على الأمان هو وصف برنامج الأمان لخدمة My Menu Service (يشار إليها إجمالاً بـ "الخدمات"). توضح نظرة عامة على الأمان هذه الحد الأدنى من معايير الأمان التي تحافظ عليها My Menu من أجل حماية بيانات العميل (كما هو محدد في الاتفاقية) من الاستخدام غير المصرح به أو الوصول أو الكشف أو السرقة أو التلاعب. مع تحول وتطور تهديدات الأمان ، تستمر قائمتي في تحديث برنامجها واستراتيجيتها الأمنية للمساعدة في حماية بيانات العميل. تحتفظ قائمتي بالحق في تحديث نظرة عامة على الأمان من وقت لآخر ؛ ومع ذلك ، لن يؤدي أي تحديث إلى تقليل الحماية الشاملة المنصوص عليها في "نظرة عامة على الأمان" بشكل جوهري. أي مصطلح مكتوب بحروف كبيرة غير معرّف في هذه النظرة العامة على الأمان سيكون له المعنى الموضح في الاتفاقية أو ملحق حماية البيانات.
3. الخدمات المغطاة. تصف نظرة عامة على الأمان هذه البنية والضوابط الإدارية والفنية والمادية بالإضافة إلى شهادات تدقيق الأمان من الجهات الخارجية التي تنطبق على الخدمات.
4. منظمة وبرامج الأمن. تحتفظ My Menu ببرنامج أمان للتقييم القائم على المخاطر. يتضمن إطار عمل برنامج أمان My Menu ضمانات إدارية وفنية ومادية مصممة بشكل معقول لحماية سرية بيانات العميل وسلامتها وتوفرها. يهدف برنامج أمان My Menu إلى أن يكون مناسبًا لطبيعة My Menu Service وحجم وتعقيد عمليات أعمال My Menu. يحتوي My Menu على فريق مخصص منفصل يدير برنامج أمان My Menu. يسهل هذا الفريق ويدعم عمليات التدقيق والتقييم المستقلة من قبل أطراف ثالثة.
5. السرية. تحتوي قائمتي على عناصر تحكم في مكانها للحفاظ على سرية بيانات العميل التي يتيحها العميل للخدمات ، وفقًا للاتفاقية. يلتزم جميع موظفي My Menu وموظفي العقود بالسياسات الداخلية لـ My Menu فيما يتعلق بالحفاظ على سرية بيانات العميل والالتزام تعاقديًا بهذه الالتزامات.
6. الشهادات الأمنية.
6.1 شهادات AWS .
تستخدم الخدمات مراكز بيانات AWS وتستفيد منها. تستخدم My Menu مراكز بيانات AWS وتعززها ، مع سمعتها بأنها قابلة للتطوير بدرجة عالية وآمنة وموثوقة. تتوفر معلومات حول شهادات تدقيق AWS على موقع ويب AWS Security https://aws.amazon.com/security وموقع الويب AWS Compliance https://aws.amazon.com/compliance .
7. العمارة وفصل البيانات.
خدمات قائمتي. تستضيف Amazon Web Services ("AWS") منصة الاتصالات السحابية لخدمات My Menu Services. يقع الموقع الحالي للبنية التحتية لمركز بيانات AWS المستخدمة في توفير My Menu Services في الولايات المتحدة. يتوفر مزيد من المعلومات حول الأمان الذي توفره AWS من صفحة ويب أمان AWS المتوفرة على https://aws.amazon.com/security . بالإضافة إلى ذلك ، يتوفر نظرة عامة على عملية أمان AWS على https://aws.amazon.com/whitepapers/overview-of-security-processes . تعد بيئة إنتاج My Menu داخل AWS ، حيث توجد بيانات العميل والتطبيقات التي تواجه العملاء ، عبارة عن سحابة افتراضية خاصة (VPC) معزولة منطقيًا.
يتم تقييد الوصول إلى الشبكة بين مضيفي الإنتاج ، باستخدام جدران الحماية للسماح فقط للخدمات المصرح لها بالتفاعل في شبكة الإنتاج. يتم استخدام جدران الحماية لإدارة فصل الشبكة بين مناطق الأمان المختلفة في بيئات الإنتاج والشركات. تتم مراجعة قواعد جدار الحماية بانتظام. تفصل قائمتي بيانات العميل باستخدام معرفات منطقية تضع علامة على جميع بيانات الاتصالات بمعرف العميل المرتبط لتحديد الملكية بوضوح. تم تصميم واجهات برمجة التطبيقات في My Menu وتصميمها بحيث يتم تصميمها وبناؤها لتحديد والسماح بالوصول فقط إلى هذه العلامات وإليها وفرض ضوابط الوصول لضمان تلبية متطلبات السرية والنزاهة لكل عميل بشكل مناسب. تم وضع هذه الضوابط بحيث لا يمكن الوصول إلى اتصالات أحد العملاء من قبل عميل آخر.
8. الأمن المادي. تخضع مراكز بيانات AWS التي تستضيف My Menu Services لرقابة صارمة على كل من المحيط وفي نقاط الدخول من قبل موظفي الأمن المحترفين الذين يستخدمون المراقبة بالفيديو وأنظمة كشف التسلل والوسائل الإلكترونية الأخرى. يجب أن يجتاز الموظفون المعتمدون المصادقة ذات العاملين مرتين على الأقل للوصول إلى طوابق مركز البيانات. يُطلب من جميع الزوار والمقاولين إبراز هويتهم وتسجيل الدخول ومرافقتهم باستمرار من قبل الموظفين المعتمدين. تم تصميم هذه المرافق لتحمل الطقس السيئ والظروف الطبيعية الأخرى التي يمكن التنبؤ بها بشكل معقول. يحتوي كل مركز بيانات على أنظمة طاقة كهربائية زائدة عن الحاجة تتوفر 24 ساعة في اليوم ، سبعة (7) أيام في الأسبوع. تتوفر مصادر الطاقة غير المنقطعة والمولدات الموجودة في الموقع لتوفير طاقة احتياطية في حالة حدوث عطل كهربائي. مزيد من التفاصيل حول الأمان المادي لمراكز بيانات AWS التي تستخدمها My Menu لخدمات My Menu Services ، متوفرة على https://aws.amazon.com/whitepapers/overview-of-security-processes .
9. الأمن حسب التصميم. يحدد معيار دورة حياة تطوير أمان قائمتي (TSDL) العملية التي تقوم من خلالها My Menu بإنشاء منتجات آمنة والأنشطة التي يجب أن تقوم بها فرق المنتج في مراحل مختلفة من التطوير (المتطلبات والتصميم والتنفيذ والنشر). يقوم مهندسو أمان My Menu بالعديد من الأنشطة الأمنية للخدمات بما في ذلك:
مراجعات الأمن الداخلي قبل إطلاق المنتجات ؛
إجراء نماذج تهديد لـ My Menu Services بما في ذلك توثيق أي اكتشاف للهجمات.
10. ضوابط الوصول.
توفير الوصول. لتقليل مخاطر التعرض للبيانات ، تتبع My Menu مبادئ الامتياز الأقل من خلال نموذج التحكم في الوصول المستند إلى الفريق عند توفير الوصول إلى النظام. يُسمح لموظفي My Menu بالوصول إلى بيانات العميل بناءً على وظائفهم ودورهم ومسؤولياتهم ، ويتطلب هذا الوصول موافقة مدير الموظف. تتم مراجعة حقوق الوصول إلى بيئات الإنتاج بشكل نصف سنوي على الأقل. تتم إزالة وصول الموظف إلى بيانات العميل على الفور عند إنهاء عمله. من أجل الوصول إلى بيئة الإنتاج ، يجب أن يكون لدى المستخدم المصرح له اسم مستخدم فريد وكلمة مرور متصلين بالشبكة الافتراضية الخاصة (VPN) في قائمتي. قبل منح المهندس إمكانية الوصول إلى بيئة الإنتاج ، يجب أن تتم الموافقة على الوصول من قبل الإدارة ويطلب من المهندس إكمال التدريبات الداخلية لهذا الوصول بما في ذلك التدريبات على أنظمة الفريق ذات الصلة. تسجل قائمتي الإجراءات والتغييرات عالية الخطورة في بيئة الإنتاج.
11. إدارة التغيير. تحتوي My Menu على عملية رسمية لإدارة التغيير لإدارة التغييرات التي تطرأ على البرامج والتطبيقات وبرامج النظام التي سيتم نشرها داخل بيئة الإنتاج. يتم توثيق طلبات التغيير باستخدام نظام تسجيل رسمي وقابل للتدقيق. قبل إجراء تغيير شديد الخطورة ، يتم إجراء تقييم للنظر في تأثير ومخاطر التغيير المطلوب ، والأدلة التي تقر بإجراء اختبار قابل للتطبيق للتغيير ، والموافقة على النشر في الإنتاج من قبل المعتمدين (المعتمدين) المناسبين وإجراءات التراجع. تتم مراجعة التغيير واختباره قبل نشره في الإنتاج.
12. التشفير في العبور. بالنسبة لخدمات My Menu ، تدعم منصة My Menu السحابية TLS 1.2 لتشفير حركة مرور الشبكة المنقولة بين تطبيق العميل والبنية التحتية السحابية لقائمي.
13. إدارة الحوادث الأمنية. تستخدم My Menu منصات AWS وأدوات الجهات الخارجية لاكتشاف هجمات رفض الخدمة الموزعة (DDoS) والتخفيف من حدتها والمساعدة في منعها.
14. النسخ الاحتياطي والاسترداد. تقوم My Menu بإجراء نسخ احتياطية منتظمة لمعلومات حساب My Menu بيانات مهمة أخرى باستخدام تخزين Amazon cloud. يتم الاحتفاظ ببيانات النسخ الاحتياطي بشكل متكرر عبر مناطق التوفر ويتم تشفيرها أثناء النقل وفي وضع الراحة باستخدام معيار التشفير المتقدم 256 بت (AES-256) من جانب الخادم.