سياسة الخصوصية
تعمل MetLife Inc. على مستوى العالم من خلال الشركات التابعة، والفروع، والمشاريع المشتركة (ويُشار إليها مجتمعة بـ "متلايف "أو "الشركة"). يقدم العملاء والموظفون وشركاء الأعمال حول العالم معلومات شخصية وسرية أخرى للشركة بشكل يومي من أجل تنفيذ عملياتها العالمية. تلتزم متلايف بشدة بحماية المعلومات السرية الخاصة بالشركة وعملائها وموظفيها وشركائها التجاريين، وكذلك بالاستخدام المسؤول للمعلومات الشخصية، واحترام حقوق الخصوصية الفردية، ومعالجة البيانات الشخصية بما يتوافق مع القوانين والأنظمة المعمول بها.
يصف هذا المستند الجوانب الرئيسية لبرنامج الخصوصية العالمي، وحماية البيانات، وأمن المعلومات التابع لـ متلايف (ويُشار إليه بـ "البرنامج"). أهداف البرنامج هي:
- حماية خصوصية وأمن المعلومات الشخصية للأفراد والمعلومات السرية لعملائنا من خلال اعتماد وتنفيذ ضوابط إدارية وتقنية (بما في ذلك ضوابط الأمن السيبراني) وضمانات مادية؛
- الحماية من التهديدات أو المخاطر المعروفة وغير المعروفة التي تهدد توفر وسرية وسلامة المعلومات الشخصية والمعلومات السرية الأخرى؛
- الحماية من فقدان أو تدمير أو الوصول غير المصرح به إلى المعلومات الشخصية والمعلومات السرية الأخرى.
يُدار البرنامج من قبل مجموعة الامتثال للخصوصية ("PCG") ومكتب أمن المعلومات ("InfoSec").
مجموعة امتثال الخصوصية في متلايف
مجموعة امتثال الخصوصية في متلايف ("PCG")، وهي جزء من برنامج إدارة مخاطر الامتثال في إدارة المخاطر العالمية، تُشرف على برنامج الامتثال العالمي للخصوصية وحماية البيانات في متلايف، وهي مسؤولة عن وضع وصيانة السياسة العالمية الداخلية للخصوصية وحماية البيانات ("السياسة العالمية للخصوصية")، ودعم تنفيذها والامتثال المستمر لها، وتقديم المشورة لإدارة الأعمال بشأن مخاطر الخصوصية. تضع السياسة العالمية للخصوصية مبادئ ومعايير دنيا على مستوى المؤسسة لتسهيل الامتثال للقوانين والأنظمة المتعلقة بالخصوصية في الدول التي تمارس فيها متلايف أعمالها.
تتابع مجموعة PCG اتجاهات وتطورات ومخاطر الخصوصية وحماية البيانات الناشئة، جزئيًا من خلال عضويتها النشطة ومشاركتها في المنظمات المهنية. وتضم موظفين ذوي كفاءة عالية في مجال الخصوصية، يحمل معظمهم شهادات معترف بها من الجمعية الدولية لمتخصصي الخصوصية ("IAPP")، ويشاركون في مؤتمرات وتدريبات مهنية للبقاء على اطلاع على أحدث التطورات في هذا المجال.
يتمتع الرئيس التنفيذي للخصوصية ("CPO") في متلايف بالسلطة والمسؤولية عن إدارة برنامج امتثال الخصوصية. ويُعد الـ CPO مسؤولًا تنفيذيًا رفيع المستوى، مسؤولًا عن وضع وصيانة الرؤية والاستراتيجية الخاصة ببرنامج امتثال الخصوصية في متلايف. ويحصل على الدعم من مجموعة PCG وقادة الخصوصية المعينين إقليميًا.
تعمل مجموعة PCG بالشراكة مع مسؤولي حماية البيانات المعينين محليًا ("DPOs")، والذين تتم استشارتهم في المسائل المتعلقة بحماية البيانات والخصوصية والمتعلقة بمعالجة المعلومات الشخصية.
1 الموظفون والأفراد غير الموظفين الذين يعملون نيابة عن متلايف
أمن المعلومات
تهدف مبادرة InfoSec إلى حماية معلومات وأصول التكنولوجيا التابعة لـ متلايف، بالإضافة إلى المعلومات الشخصية والسرية، والعمليات التجارية التي تعتمد على التكنولوجيا، من المخاطر والتهديدات الأمنية المعروفة وغير المعروفة، كما تقدم خدمات تحديد أولويات المخاطر التقنية، وإعداد التقارير، وتخفيفها على مستوى المؤسسة. تسعى InfoSec لتحقيق هذه المهمة من خلال وضع برامج للحماية من التهديدات، ومراقبتها و/أو الإبلاغ عنها، والتي تهدد معلومات وأصول متلايف التقنية، والمتعلقة بمخاطر الانقطاع التشغيلي أو الوصول أو التعديل أو التدمير أو التعرض أو الكشف غير المصرح به أو العرضي. ويرتكز هذا البرنامج على تعزيز الوعي بالممارسات الأمنية السليمة لتكنولوجيا المعلومات والأمن المادي، إلى جانب دمجها في العمليات التجارية لحماية بيانات متلايف.
السلطة والمسؤولية عن إدارة برنامج أمن المعلومات (InfoSec) تقع ضمن اختصاص المدير التنفيذي الأعلى لأمن المعلومات على مستوى الشركة في متلايف ("المدير التنفيذي الأعلى لأمن المعلومات"). ويُعد المدير التنفيذي الأعلى لأمن المعلومات مسؤولاً تنفيذياً رفيع المستوى يتولى مسؤولية وضع والحفاظ على رؤية واستراتيجية برنامج أمن المعلومات لضمان حماية المعلومات والأصول التكنولوجية عبر جميع الشركات التابعة لـ متلايف، وضمان الإبلاغ عن المخاطر التقنية ومعالجتها وإدارتها.
الضوابط الإدارية
يتضمن برنامج متلايف مجموعة من السياسات والمعايير والإجراءات المكتوبة، والمتاحة بسهولة أمام موظفي متلايف.
تُحدد بعض السياسات والمعايير على مستوى الشركة الأم وتُطبق بشكل عام على جميع الشركات التابعة والأعمال التجارية الخاصة بـ متلايف. ويمكن لكل من الشركات التابعة والأعمال التجارية التابعة لـ متلايف تبني سياسات ومعايير إضافية حسبما تقتضيه طبيعة عملياتها. تكون سياسات ومعايير وإجراءات متلايف متاحة لموظفي الشركة. سياسة الخصوصية العالمية وحماية البيانات في متلايف.
تتضمن السياسة العالمية للخصوصية وحماية البيانات في متلايف المعايير التالية بناءً على مبادئها الرئيسية:
(i) إعلام الأفراد بالاستخدام والغرض من معالجة المعلومات الشخصية؛
(ii) الحد من كمية المعلومات الشخصية التي يتم جمعها ومعالجتها؛
(iii) إجراء تقييمات مخاطر الخصوصية للمشاريع أو المنتجات أو التقنيات قبل معالجة المعلومات الشخصية؛
(iv) إجراء العناية الواجبة والمراقبة المستمرة للأطراف الثالثة التابعة للشركة؛
(v) التأكد من أن النقل عبر الحدود للمعلومات الشخصية يتوافق مع القوانين واللوائح المعمول بها؛
vi) ) احترام حقوق الخصوصية الفردية؛
(vii) دمج الخصوصية من البداية إلى النهاية في تطوير التقنيات والحلول التجارية؛
(viii) تنفيذ الضوابط والإبلاغ عن الأحداث التي تؤثر على توفر وسرية وسلامة المعلومات الشخصية؛
(ix) الاحتفاظ بالبيانات الشخصية والتخلص منها وفقًا لسياسات الاحتفاظ والتخلص من متلايف، والالتزامات القانونية/التنظيمية، والأغراض التجارية المشروعة؛
(x) تصعيد حوادث البيانات الشخصية (ويُشار إليها أيضًا بـ PDIs) والإبلاغ عنها واحتواؤها وتقييمها وفقًا للالتزامات القانونية والتنظيمية.
السياسات والإجراءات العالمية والمحلية للخصوصية
يخضع موظفو متلايف وشركاؤها للقوانين المحلية المعنية بالخصوصية في البلدان التي تمارس فيها متلايف أعمالها، ويجب عليهم الالتزام بها. وإذا كانت القوانين أو اللوائح الخاصة بالخصوصية في أي بلد تعمل فيه متلايف تفرض متطلبات أعلى من تلك المنصوص عليها في سياسة الخصوصية العالمية، يتعين على الموظفين في ذلك البلد اتباع تلك المتطلبات من خلال السياسات والمعايير والإجراءات المحلية.
مدونة السلوك الأخلاقي لشركة متلايف وسياساتها
مدونة السلوك الأخلاقي لشركة متلايف (المدونة) تُلزم الموظفين بحماية المعلومات الشخصية. وتوفر المدونة، إلى جانب سياسات متلايف، المعلومات التي يحتاجها الموظفون لأداء وظائفهم بطريقة أخلاقية ومتوافقة مع معايير الشركة والقوانين واللوائح المعمول بها. ويُطلب من الموظفين حماية المعلومات الشخصية، والحد من استخدامها، واحترام خصوصية موظفي متلايف، وعملائها، وشركائها التجاريين، وكل الأفراد الذين تتم معالجة معلوماتهم الشخصية.
سياسة أمن المعلومات لدى متلايف
تحدد سياسة أمن المعلومات لدى متلايف المبادئ الأساسية لحماية موارد المعلومات التابعة للمؤسسة، وتوضح الضوابط المطلوبة لضمان امتثال متلايف للوائح الداخلية والخارجية. يتحمل جميع الموظفين مسؤولية الالتزام بسياسة أمن المعلومات الخاصة بالشركة. وتنطبق هذه السياسة على جميع موارد الاتصال الإلكتروني، بما في ذلك على سبيل المثال لا الحصر شبكة الشركة، وأجهزة الكمبيوتر، ومحطات العمل، والبرمجيات، والأجهزة، والإنترنت/الإنترانت، وأنظمة الرسائل الإلكترونية (البريد الإلكتروني، الفيديو)، وأجهزة الفاكس، والأجهزة المحمولة. تتم مراجعة سياسات ومعايير متلايف واعتمادها سنويًا، وهي متاحة للموظفين من خلال الإنترانت الخاصة بالشركة.
الاتصال عبر البريد الإلكتروني
يحظر الإفصاح عن أي معلومات سرية أو شخصية تتعلق بعمليات متلايف أو موظفيها أو خدماتها أو أنظمتها لأي مستلم غير مخول بالحصول على هذه المعلومات. تتضمن سياسات أمن المعلومات لدى متلايف إرشادات حول استخدام موارد الاتصال، وضوابط التشفير، واتفاقيات التبادل مع المنظمات الأخرى، وطرق حماية البيانات الحساسة المُرسلة خارج متلايف، بما في ذلك استخدام بروتوكول أمان طبقة النقل (TLS) وSend Secure لتشفير المعلومات السرية. يهدف التشفير إلى منع قراءة أو إتلاف المعلومات أثناء انتقالها من متلايف عبر الإنترنت إلى صندوق بريد المستلم. بالإضافة إلى ذلك، تطبق متلايف تدابير منع فقدان البيانات (DLP) على البريد الإلكتروني الصادر، تهدف إلى منع الكشف غير المصرح به للمعلومات السرية والشخصية.
البرمجيات
تُعد البرمجيات التي يتم تطويرها في متلايف من ممتلكات الشركة. تؤخذ قرارات الترقية إلى إصدارات جديدة من البرمجيات بناءً على مدى أمان الإصدار (أي عدد وخطورة الثغرات الأمنية الموجودة فيه). وتتم هذه الترقيات وفقًا لمتطلبات إدارة التغيير المنصوص عليها في سياسة أمن المعلومات الخاصة بـمتلايف.
الأجهزة المزودة بإمكانات التصوير أو التسجيل الصوتي أو الفيديو أو الإرسال
يخضع استخدام أجهزة التصوير أو التسجيل الصوتي أو الفيديو في مكان العمل لسياسة تنص على أنه لا يجوز للموظفين استخدام أجهزة التسجيل أو الإرسال لتسجيل أو إعادة إرسال أي مستندات أو معلومات سرية أو شخصية تخص متلايف، إلا لأغراض تتعلق بأعمال الشركة ووفقًا لسياساتها وممارساتها.
التدريب والتوعية بالخصوصية وأمن المعلومات
تدعم متلايف السياسات المكتوبة الخاصة بها من خلال برامج تواصل وتدريب توجه الموظفين إلى التعامل مع المعلومات التي يتم جمعها عن العملاء، والموظفين، والشركاء التجاريين، وغيرهم من الأفراد على أنها معلومات سرية.
وتطلب متلايف من الأطراف الثالثة التي يتم مشاركة معلومات سرية وشخصية معها في سياق التعاملات التجارية أن تحمي تلك المعلومات من الاستخدام أو الكشف غير السليم.
تُطبق ممارسات إدارة دورة حياة السياسات لتنظيم عمليات الاقتراح (مثل التعديلات المقترحة على السياسات والمعايير الحالية)، وتحليل الأثر، وإدارة التغيير، والموافقات، والتصويت، والتواصل. وتنعقد لجان التصويت والسياسات والتواصل بشكل منتظم لدعم هذه الأنشطة.
تلتزم متلايف بتوفير برامج تدريب إلكترونية إلزامية لجميع الموظفين، تشمل – على سبيل المثال لا الحصر – الخصوصية، ومدونة قواعد السلوك الأخلاقي للأعمال، وأمن المعلومات. يتم تحديث هذه الدورات بشكل منتظم، وقد تم تصميمها لتعزيز سياسات متلايف وثقافتها فيما يتعلق بسرية المعلومات الشخصية والسرية. عند التوظيف، يُطلب من الموظفين الجدد إكمال هذه الدورات الإلزامية لضمان فهمهم للسلوكيات المتوقعة، بما يتوافق مع السياسات والقوانين واللوائح المعمول بها. كما تستمر متلايف في تقديم تدريبات وتحديثات مستمرة للموظفين حول القضايا الناشئة والمعلومات وأفضل الممارسات. تشمل السياسات ومواضيع التدريب، على سبيل المثال لا الحصر:
- مشاركة المعلومات على أساس "الحاجة إلى المعرفة فقط": ينبغي الوصول إلى المعلومات الشخصية والسرية واستخدامها والإفصاح عنها من قبل موظفي متلايف أو مزودي الخدمة فقط عند الحاجة الفعلية للعمل وبموافقة إدارية مناسبة؛
- تأمين المكاتب والمكاتب المنزلية: يجب تأمين أي معلومات سرية عند مغادرة الموظف لمكتبه أو في نهاية يوم العمل؛
- بالنسبة للموظفين العاملين عن بُعد: يجب الاتصال بشبكة VPN الخاصة بمتلايف، واستخدام شبكات موثوقة فقط، والالتزام بمبادئ الخصوصية التي تتبعها متلايف.
تقوم متلايف بالتواصل مع موظفيها بشكل دوري حول المخاطر الناشئة ومتطلبات السياسات وأهمية حماية معلومات الشركة والمعلومات الشخصية من خلال رسائل البريد الإلكتروني التذكيرية، ومنشورات الإنترانت، والتدريبات الطارئة، والقنوات الداخلية التي تديرها كل من مجموعة الحوكمة المؤسسية (PCG) وإدارة أمن المعلومات (InfoSec).
برنامج إدارة دورة حياة المعلومات (ILM)
عد المعلومات أصل من أصول الشركة، وإدارتها بالشكل الصحيح يساعد متلايف على تحسين الكفاءة التشغيلية ورضا العملاء، واتخاذ قرارات أعمال مستنيرة، والامتثال للقوانين واللوائح. لدى متلايف برنامج عالمي لإدارة دورة حياة المعلومات يشمل كافة أنواع المعلومات بغض النظر عن كيفية إنشائها أو موقعها أو طريقة تخزينها. يتم تصنيف المعلومات لدى متلايف إلى فئتين: سجلات وغير سجلات. ويعمل البرنامج ضمن إطار حوكمة يتضمن:
- توفير القيادة والتوجيه اللازمين لإدارة المعلومات كأصل مؤسسي؛
- ضمان التزام خطوط الأعمال والوظائف المؤسسية والمناطق الجغرافية بسياسة إدارة المعلومات؛
- دعم الإدارة الفعالة للمعلومات من خلال السياسات والمعايير والإجراءات وجدول الاحتفاظ بالسجلات؛
- مراقبة الامتثال للالتزامات القانونية والتنظيمية المتعلقة بالاحتفاظ بالسجلات والتخلص منها.
تعمل وحدة برنامج إدارة دورة حياة المعلومات (ILM) بالتعاون مع مجموعة الحوكمة المؤسسية (PCG) وإدارة أمن المعلومات (InfoSec) على تمكين الموظفين من إدارة المعلومات بشكل استراتيجي وشامل خلال دورة حياتها، والتي تشمل الإنشاء، التخزين، الاستخدام، التعاون، الحفظ، الأرشفة والتخلص من المعلومات. فيما يلي الجوانب الرئيسية لبرنامج ILM.
ملكية المعلومات
تُعتبر المعلومات الخاصة بمتلايف ملكًا لمتلايف، ولا تعود لأي موظف أو طرف ثالث، ما لم يتم الاتفاق خلاف ذلك بين الطرف المعني ومتلايف. يتحمل جميع الموظفين والأطراف الثالثة الذين لديهم إمكانية الوصول إلى معلومات متلايف – بما في ذلك الأنظمة والتطبيقات – مسؤولية إدارة هذه المعلومات وفقًا لإطار الحوكمة الخاص بـمتلايف، والذي يتضمن السياسات والمعايير والإجراءات وجدول الاحتفاظ بالسجلات. ويجب إدارة جميع المعلومات التي يتم إنشاؤها أو استلامها من أطراف ثالثة بما يتماشى مع هذا الإطار. عند انتهاء علاقة العمل أو التعاقد، لا يحق للموظف أو الطرف الثالث الاحتفاظ بأي معلومات خاصة بمتلايف، إلا إذا كان ذلك مطلوبًا بموجب القانون. ويجب إعادة جميع النسخ الأصلية والمستندات إلى متلايف أو إتلافها.
جدول الاحتفاظ بالسجلات في متلايف
يُحدد جدول الاحتفاظ بالسجلات العالمي لدى متلايف متطلبات الاحتفاظ بالسجلات المؤسسية والتخلص منها، بما يتوافق مع المتطلبات القانونية والتنظيمية واحتياجات الأعمال. وتقوم وحدة ILM بإعادة التصديق على هذا الجدول سنويًا لضمان توافقه مع المتطلبات القانونية واحتياجات العمل. يتم الاحتفاظ بسجلات متلايف حتى يتم استيفاء متطلبات الاحتفاظ المذكورة في الجدول. السجلات غير المصنفة لها فترة احتفاظ قصوى تبلغ ست سنوات ولكن يمكن التخلص منها في أي وقت قبل ذلك عندما لا تكون هناك حاجة إليها.
التخلص من المعلومات
عند استيفاء متطلبات الاحتفاظ بالسجلات، تُلزم سياسة إدارة دورة حياة المعلومات (ILM) لدى متلايف بالتخلص الآمن من المعلومات عندما لم تعد مطلوبة لتلبية المتطلبات التنظيمية أو احتياجات العمل، ما لم يكن هناك أمر قانوني بالحفاظ عليها أو التزام بالحفظ.
مزودو إدارة السجلات
لدى متلايف مزودو خدمات إدارة السجلات يقدمون خدمات آمنة لتخزين واسترجاع والتخلص من السجلات الورقية والإلكترونية بعد استيفاء متطلبات الاحتفاظ بها، ما لم يكن هناك التزام بالحفظ أو أمر قانوني بالحفاظ عليها.
برنامج التقطيع الكامل وإرشادات المكتب النظيف
تتبع عمليات متلايف في الولايات المتحدة "برنامج التقطيع الكامل"، حيث تُستخدم صناديق تمزيق أو خزائن آمنة للتخلص الآمن من المعلومات الورقية التي تم استيفاء فترة الاحتفاظ بها أو التي لم تعد مطلوبة لأغراض العمل، ما لم يكن هناك التزام بالحفظ أو أمر قانوني يستوجب الحفاظ عليها. على مستوى العالم، يُطلب من الموظفين الالتزام بإرشادات المكتب النظيف الخاصة بمتلايف للمساعدة في تقليل مخاطر سرقة المعلومات أو الاحتيال أو خرق أمني ناتج عن ترك معلومات حساسة دون رقابة.
دورة تدريبية حول إدارة دورة حياة المعلومات (ILM)
توفر متلايف دورة تدريبية إلزامية حول إدارة دورة حياة المعلومات لموظفيها. تساعد الدورة الموظفين على فهم كيفية إدارة المعلومات خلال دورة حياتها، ودور برنامج ILM في ضمان احتفاظ الموظفين وشركاء العمل بالمعلومات الصحيحة، للفترة الزمنية المناسبة وللغرض الصحيح.
إجراءات مركز الاتصال
يتبع مستشارو مركز الاتصال في متلايف إجراءات موثقة للتحقق من هوية المتصلين قبل الكشف عن أي معلومات سرية تتعلق بالأفراد. قبل الكشف عن أي معلومات عن أصحاب الوثائق أو المؤمن لهم أو المطالبين أو المستفيدين أو غيرهم، يتبع المستشارون إجراءات التحقق لتأكيد هوية المتصل.
الضوابط الفنية والأمن السيبراني
تقوم متلايف بمراجعة وتحديث السياسات والإجراءات الخاصة بها للحفاظ على ملاءمتها للتطورات في قوانين ولوائح الأمن السيبراني، والتهديدات الناشئة، والتقنيات الجديدة والمتغيرة. تعمل إدارة أمن المعلومات (InfoSec) بالتعاون مع قسم تكنولوجيا المعلومات والإدارة على تنفيذ ضوابط على أنظمة وتطبيقات وقواعد بيانات تكنولوجيا المعلومات، بالإضافة إلى ترتيبات مزودي الخدمة والتطبيقات.
يعتمد نهج متلايف في تأمين بيئتها على إطار عمل الأمن السيبراني الصادر عن المعهد الوطني للمعايير والتقنية (NIST) المعروف باسم Cybersecurity Framework (CSF). ويستند هذا الإطار إلى معايير وإرشادات وممارسات قائمة تساعد متلايف على إدارة وتقليل مخاطر الأمن السيبراني. تشمل الوظائف الأساسية لهذا الإطار: التعرف، الحماية، الاكتشاف، الاستجابة، والتعافي. تتماشى ضوابط ومبادرات إدارة أمن المعلومات مع هذه الوظائف الأساسية.
كجزء من وظيفة "الوقاية" في إطار العمل CSF، تعتمد متلايف نهجًا من ثلاث طبقات لحماية البيانات. المنطقة منزوعة السلاح (DMZ): وهي طبقة العرض، حيث توجد الخوادم التي تواجه الإنترنت. وتوفر منطقة يمكن لمتلايف وضع خوادم المحتوى فيها لتكون متاحة لعملاء الشركة، مع تقليل التعرض لبيانات متلايف في حالة حدوث اختراق. عادةً ما يكون مرور البيانات من الإنترنت مقتصرًا على المنطقة منزوعة السلاح فقط. الطبقة الثانية: المعروفة باسم Bastion، وهي طبقة التطبيقات، حيث توجد خوادم تطبيقات الإنترنت، وتستطيع التواصل، ضمن حدود، مع كل من DMZ والشبكة الداخلية. الطبقة الثالثة: طبقة البيانات، وتقع داخل الشبكة الداخلية لمتلايف. تحتوي هذه الطبقة على خوادم التطبيقات وقواعد البيانات والمنطق التشغيلي، وتوجد خلف جدارين ناريين. تستخدم متلايف جدران حماية مزدوجة في كل من DMZ وBastion. تستخدم إدارة أمن المعلومات عمليات المسح الأمني لرصد عدم الامتثال للسياسات والثغرات على مستويات متعددة من البنية التحتية التكنولوجية، وكذلك على تطبيقات متعددة. تم تحديد مؤشرات أداء لعمليات أمنية رئيسية تعتبر حاسمة لأمن بيئة تكنولوجيا المعلومات (مثل تقارير مكافحة البرامج الضارة وإجمالي الرسائل غير المرغوب فيها)، وتم مواءمتها مع وظيفة "الاكتشاف" في CSF. وتشرف إدارة أمن المعلومات على هذه العمليات من خلال تقارير المخاطر الداخلية لتكنولوجيا المعلومات.
كجزء من وظيفة "الاستجابة" في إطار CSF، لدى متلايف فريق الاستجابة لحوادث الأمن السيبراني (CSIRT) المكلف بالاستجابة للتهديدات الداخلية والخارجية واتخاذ الإجراءات المناسبة. يتحمل الفريق مسؤولية الحفاظ على الرؤية والوعي الظرفي بالتهديدات والثغرات والحوادث. ينفذ الفريق تدابير استباقية استجابةً للتغيرات في بيئة التهديدات ويعمل على احتواء الحوادث الأمنية بسرعة. وتشمل الأهداف الرئيسية للفريق: الكشف السريع، والتقييم، والاحتواء، والقضاء، والتعافي من الحوادث الأمنية، مع التعاون الوثيق مع الفرق الأخرى في متلايف طوال دورة حياة الحادث. يتكون الفريق من متخصصين في الاستجابة والتحقيق الجنائي، ويدير العديد من العقود مع أطراف خارجية لمساعدة متلايف في الاستجابة للحوادث في أي مكان تعمل فيه.
متطلبات PCI DSS
معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو مجموعة من المعايير العالمية صُممت للشركات التي تُعالج أو تُخزن أو تنقل معلومات بطاقات الدفع، وذلك للحفاظ على بيئة آمنة تحمي بيانات حامل البطاقة. تأسست صناعة بطاقات الدفع من قبل خمس علامات تجارية رئيسية: Visa وMasterCard وDiscover وAmerican Express وJCB، وهي الجهة التي تفرض أيضًا متطلبات المعيار.
تقبل متلايف وشركاتها التابعة بطاقات الائتمان والخصم كوسيلة دفع لبعض منتجاتها وخدماتها باستخدام شبكات تلك العلامات التجارية، وبهذا، فهي تلتزم بمعيار PCI DSS.
الضوابط التقنية
نفذ متلايف الضوابط التقنية التالية بما يتماشى مع حماية الأنظمة من التهديدات والوصول غير المصرح به:
أمان الوصول، إعادة المصادقة، والإلغاء
تحمى السجلات الإلكترونية باستخدام برامج حاسوبية متعددة تتضمن ميزات أمان مثل كلمات المرور، وأرقام التعريف الشخصية، ومعرّفات المستخدمين، للحماية من الوصول غير المصرح به.
بناءً على مستوى المخاطر، يجب أن تخضع أنظمة وتطبيقات وقواعد بيانات تكنولوجيا المعلومات في متلايف لعمليات إعادة مصادقة دورية للوصول. يجب على المديرين إعادة التأكيد على أحقية الموظفين في الاستمرار بالوصول إلى هذه الأنظمة والتطبيقات وقواعد البيانات. كما توجد عملية إعادة مصادقة على مستوى المنصة عند تغيّر مسؤوليات الموظف. يُزال وصول أي موظف يغادر الشركة إلى المنصات فور معالجة إجراءات المغادرة من قبل إدارة الموارد البشرية.
برامج الحماية من البرمجيات الخبيثة و الإعدادات الأساسية
تقوم متلايف بحماية نقاط الدخول الإلكترونية، بالإضافة إلى الخوادم والبريد الإلكتروني ومحطات العمل، من خلال برامج مكافحة البرمجيات الخبيثة. وتتبع متلايف أفضل الممارسات في القطاع لتكوين الإعدادات الأولية وإدارة الثغرات الأمنية بهدف دمج الضوابط الأمنية.
الحماية من التصيّد الاحتيالي والاحتيال الإلكتروني
تستخدم متلايف مزود خدمة يقوم بمسح الإنترنت بانتظام لرصد المواقع التي تنتحل صفة مواقع متلايف الرسمية. والهدف من هذا المسح هو تحديد المواقع التي قد تسعى للحصول على معلومات سرية من عملاء متلايف الذين يعتقدون أنهم يتعاملون مع الموقع الرسمي. وعند اكتشاف أي نشاط احتيالي محتمل، يتم إخطار متلايف لاتخاذ الإجراء المناسب، بما في ذلك المساعدة في إغلاق هذه المواقع. كما تتعاون متلايف مع مزود رائد في هذا القطاع لإجراء تدريبات منتظمة على التصيّد لاختبار وعي الموظفين.
اختبار التطبيقات
تستعين متلايف بفحوصات مستقلة لاكتشاف ثغرات التطبيقات واختبارات الاختراق الأخلاقية للتحقق من فعالية الضوابط الأمنية المطبقة لحماية المعلومات السرية والشخصية.
استمرارية الأعمال / التعافي من الكوارث / المرونة السيبرانية
للتقليل من الخسائر المحتملة وضمان استئناف العمليات بما يتماشى مع أهداف استمرارية الأعمال، تعتمد متلايف خططًا مركزية لاستمرارية الأعمال والتعافي من الكوارث، مصممة بما يتناسب مع تأثير أي فشل في النظام على سير العمل. وتشمل هذه الخطط آليات للنسخ الاحتياطي والتعافي من الكوارث، وهي موثقة ومجربة بانتظام وتشمل تدريبات لإدارة الأزمات واستعادة أنظمة تقنية المعلومات واستئناف الأعمال والاستجابة للحوادث الأمنية.
تعتمد استراتيجية النسخ الاحتياطي في متلايف على تحقيق أعلى قدر من الكفاءة في الاستعادة السريعة مع الحفاظ على حماية المعلومات الشخصية. ويتم نسخ الأنظمة الأساسية من مراكز البيانات الأساسية إلى مراكز البيانات الثانوية، كما تطبق متلايف استراتيجية نسخ احتياطي متقدمة على مستوى المؤسسة باستخدام تقنيات النسخ غير القابلة للتغيير، بما يتماشى مع أفضل الممارسات في القطاع لضمان مرونة الأنظمة وقدرتها على التعافي من الحالات الطارئة بأدنى تأثير ممكن.
حماية البيانات من الفقدان
توظف متلايف بنية تحتية شاملة لحماية البيانات من الفقدان، على مستوى محيط الشبكة ومحطات العمل، حيث تراقب وتنبه عند محاولة نقل بيانات سرية من متلايف عبر الإنترنت أو عبر قنوات غير آمنة مثل تحميلات الويب أو الأجهزة القابلة للإزالة أو الطباعة الفعلية أو البريد الإلكتروني.
التشفير
تقوم متلايف بتشفير البيانات المخزنة على أجهزة الحاسوب الشخصية، بما في ذلك أجهزة الكمبيوتر المحمولة وأجهزة سطح المكتب والأجهزة المحمولة والخوادم. كما تتم إدارة الهواتف المحمولة باستخدام نظام إدارة الأجهزة المحمولة الذي يقوم بتشفير الجهاز. ويتم فرض تشفير البريد الإلكتروني مركزيًا باستخدام بروتوكول TLS أو خدمة الرسائل المشفرة عبر ميزة "الإرسال الآمن". أما المواقع الخارجية، فتستخدم أحدث إصدارات TLS الآمنة.
المصادقة الثنائية
تفرض متلايف رقابة صارمة على الدخول إلى شبكاتها وتطبيقاتها الحساسة عبر استخدام المصادقة الثنائية، حيث تستخدم تقنيات الرموز (Tokens) المختلفة لتمكين الموظفين من الوصول الآمن إلى أنظمة متلايف من خارج مكاتبها.
إدارة الثغرات
تعتمد متلايف على عدة أدوات لإدارة الثغرات، تقوم بتصفية وترتيب التنبيهات الأمنية حسب مستوى الخطورة. يساعد ذلك في تمييز التنبيهات التي تخص بنية متلايف التحتية عن تلك التي لا تخصها، مما يتيح التركيز على التهديدات الأكثر أهمية.
تقييم المخاطر
قامت متلايف بتطوير إطار عمل لإدارة مخاطر تقنية المعلومات لتقييم المخاطر المتعلقة ببنيتها التحتية التكنولوجية. ويشمل هذا البرنامج تقييم المخاطر الخاصة بوحدات تقنية المعلومات ونُظمها، مع تحديد أولويات هذه المخاطر ومدى إدارتها بشكل مناسب من قبل الإدارة.
كما تقيّم متلايف مدى كفاءة السياسات والمعايير والإجراءات الأمنية والنُظم المتبعة وغيرها من الترتيبات ذات الصلة للتحكم في المخاطر. وتقوم بمراجعتها بشكل مستمر وتحديثها عند الحاجة. ويمكن للموظفين تقديم طلبات تغيير تتم مراجعتها والموافقة عليها من خلال النظام الخاص بسياسات أمن تقنية المعلومات.
الرصد والاختبار والتدقيق
تقوم متلايف برصد فعالية ممارساتها في أمن المعلومات. ويتم تقييم التطبيقات التجارية الجديدة أو تلك التي تخضع لتحديثات كبيرة من خلال عملية تقييم داخلية لتطبيقات الأعمال. تخضع التطبيقات الجديدة والتغييرات الجوهرية للتطبيقات القائمة إلى مراجعة تتطلب موافقة أصحاب المصلحة الرئيسيين والإدارة العليا عند نقاط تحول رئيسية من النشر إلى مرحلة الإنتاج. كما تُفحص الخوادم بشكل منتظم للتأكد من توافقها مع المعايير الأمنية الحديثة.
تتعاون متلايف مع شركات أمنية رائدة في هذا المجال من الأطراف الثالثة التي تقوم بتقييم التهديدات والثغرات الأمنية بشكل دوري لتحسين برنامج الأمن السيبراني. وتشمل هذه الخدمات اختبارات الاختراق والمراجعات الأمنية الدورية.
تستخدم متلايف برامج مراقبة الشبكة لاكتشاف أي نشاط غير طبيعي، مثل محاولات الوصول غير المصرح به إلى الأنظمة الداخلية من خارج شبكة متلايف. يتم تصعيد الحوادث إلى الإدارة التنفيذية في متلايف وفقًا لإجراءات التعامل مع الحوادث. بالإضافة إلى الإجراءات الداخلية، تتم مراقبة جميع مكونات نظام كشف التسلل (IDS) مركزيًا على مدار الساعة وطوال أيام الأسبوع من قبل مزوّد خدمات أمني مُدار. وعند رصد أي حركة مرور شبكية مشبوهة، يتم إخطار الفرق الأمنية المختصة فورًا.
علاوة على ذلك، تجري وحدة التدقيق الداخلي في متلايف عمليات تدقيق دورية لضمان أمان وسرية معلومات متلايف والمعلومات الشخصية التي تحتفظ بها.
الضوابط الأمنية المادية
تتضمن منشآت متلايف، بما في ذلك المكاتب ومراكز البيانات، ضوابط أمنية مادية تهدف إلى منع الدخول غير المصرح به.
وتُقيد المنشآت المخصصة لمعالجة البيانات الحاسوبية فعليًا، ويُسمح بالدخول فقط للأشخاص الذين لديهم مهام عمل مشروعة في هذه المواقع. تستخدم مباني متلايف التي تحتوي على مرافق تقنية حيوية أقفالاً إلكترونية وميكانيكية، وحراس أمن مدربين، وبطاقات تعريف مصورة تستخدم في أنظمة الدخول الإلكترونية، وأنظمة مراقبة بالفيديو لحماية المنشآت من الوصول غير المصرح به. يجب الإبلاغ فورًا عن أي حادثة وصول غير مصرح به إلى إدارة أمن الموقع لاتخاذ الإجراءات اللازمة.
التعامل مع حوادث البيانات الشخصية
تحافظ متلايف على سياسات وإجراءات تحدد ما يجب أن يقوم به الموظفون ووحدات العمل عند وقوع حادث متعلق بالبيانات الشخصية. وتضع هذه الإجراءات إطارًا منظمًا يهدف إلى ضمان استجابة منسقة وفعّالة على مستوى المؤسسة.
عند الإبلاغ عن حادث بيانات شخصية (PDI)، يتم تحليله من قبل لجنة حوكمة الخصوصية (PCG) ومسؤولي حماية البيانات (DPOs) بالتعاون مع الإدارة القانونية في متلايف. تختلف تعريفات خرق البيانات من بلد إلى آخر، وكذلك تختلف التزامات الإبلاغ للسلطات ومتطلبات إخطار الأفراد المتأثرين. وإذا كان من الضروري أو المرغوب فيه إخطار الأفراد أو الجهات الرقابية، تعمل الجهات المعنية مثل لجنة الامتثال ومسؤولي حماية البيانات مع وحدات الأعمال على تنفيذ ذلك، بما في ذلك تقديم خدمات مراقبة الائتمان إن لزم الأمر.
يهدف نهج الاستجابة للحوادث إلى ضمان:
(i) تنبيه الأشخاص المعنيين في متلايف،
(ii) تقييم الحادث وإدارته واحتواؤه ومعالجته بشكل مناسب، و
(iii) مراجعة الأسباب الجذرية والدروس المستفادة وتنفيذ إجراءات التصحيح لمنع تكرار الحادث.
يتلقى الموظفون تدريبًا على كيفية التعرف على حوادث البيانات الشخصية والإبلاغ عنها ومنعها.
مزودو الخدمات من الأطراف الثالثة
تمارس متلايف العناية الواجبة عند اختيار مزودي الخدمة، بما يشمل مراجعة التطبيقات والضوابط التقنية العامة ومرافق تكنولوجيا المعلومات المستخدمة في تقديم الخدمات.
تتحمل الوحدات المؤسسية ووحدات الأعمال في متلايف مسؤولية التأكد من امتثال علاقاتهم مع مزودي الخدمة لمتطلبات سياسة إدارة المخاطر والمصادر العالمية للأطراف الثالثة (TPRM). ويُطلب من مزودي الخدمة الذين يعملون نيابة عن متلايف حماية أمن وسرية أنظمة ومعلومات متلايف.
عند اختيار مزودين قد يكون لديهم وصول إلى معلومات شخصية أو سرية، يجب على موظفي متلايف اتباع سياسة TPRM وإجراءاتها، وطرح استفسارات حول سياسات وإجراءات الأمان لدى مزود الخدمة أثناء عملية الاختيار، وإجراء تقييم دقيق في حال كان للمزود أو موظفيه وصول إلى بيانات سرية أو شخصية. من خلال هذه العملية، يمكن لـ متلايف تقييم ما إذا كانت السياسات والإجراءات والضوابط والموظفون لدى المزود كافية لمعالجة هذه المعلومات وفقًا لمعايير متلايف والأنظمة القانونية والتنظيمية المعمول بها.
يجب أن يوقّع مزودو خدمات متلايف على عقد كتابي معتمد من متلايف يتضمن بنودًا تحكم سرية المعلومات الخاصة بـ متلايف واستخدامها فقط لأداء الخدمات المتعاقد عليها.
وفقًا للمعايير (مثل حدود الأهمية) المنصوص عليها في إجراءات إدارة المخاطر والمصادر العالمية للأطراف الثالثة، قد يُطلب تقديم طلب عرض أسعار (RFP). يتضمن طلب العرض شروطًا توضح وجوب امتثال المزودين لمتطلبات الأمان والخصوصية الخاصة بـ متلايف، وتنطبق هذه الشروط أيضًا على أي طرف ثالث يتعامل معهم. عادةً ما يرافق طلب العرض نموذج عقد من متلايف يتضمن الأحكام اللازمة لحماية البيانات. بالإضافة إلى ذلك، يُطلب من المزودين المحتملين عادةً تقديم مراجع.
تجري متلايف مراجعة امتثال المزودين لمتطلبات الخصوصية من خلال تقييم المخاطر. كما تقوم وحدة أمن المعلومات (InfoSec) بمراجعة الضوابط الأمنية لضمان أن البيانات التي تتم معالجتها في مواقع المزودين تتم حمايتها من الوصول أو الاستخدام غير المصرح به.
من خلال عملية إدارة المخاطر للأطراف الثالثة، يُطلب من مزودي الخدمة تحديث الوثائق التقييمية بشكل دوري وإعادة تقييم ضوابطهم الداخلية. ويُخضع المزودون المصنفون على أنهم عاليي الخطورة أو حيويين لرقابة مستمرة من خلال أدوات وخدمات متخصصة في القطاع.
مزودو الخدمة من خارج الدولة
نتيجة لتقييم المخاطر المستمر، وضعت متلايف مجموعة من الإرشادات لترتيبات التعامل مع مزودي الخدمات غير المحليين.
يتوجب على إدارات الأعمال في متلايف الإبلاغ عن أي ترتيبات خارجية تشمل تطبيقاتهم وبياناتهم.
تشمل متطلبات متلايف لمزودي الخدمة من خارج الدولة ما يلي:
- تقييم مخاطر الطرف الثالث؛
- آليات نقل البيانات عبر الحدود عندما يُطلب ذلك قانونيًا أو عند الاقتضاء؛
- إجراء فحص عن خلفية موظفي مزود الخدمة، حيثما يسمح القانون المحلي؛
- إدارة منح ومراجعة وإزالة الوصول إلى بيانات متلايف وأنظمتها وفقًا لمعايير الأمان الخاصة بها؛
- تدريب الموظفين العاملين في مشاريع متلايف على الوعي الأمني والخصوصية؛
- تقديم وصف للإجراءات المتبعة لضمان سرية معلومات متلايف، بما يشمل:
- الضوابط المادية (مثل مكاتب عمل منفصلة، خزائن قابلة للإغلاق، حراسة المباني)
- الضوابط التقنية (مثل التشفير، المصادقة الثنائية)
- الضوابط الإدارية (مثل مراجعة السجلات، الإجراءات الموثقة، التدقيق)
- الضوابط المادية (مثل مكاتب عمل منفصلة، خزائن قابلة للإغلاق، حراسة المباني)
تنطبق المتطلبات التعاقدية ليس فقط على العلاقة بين مزود الخدمة ومتلايف، بل تشمل أيضًا أي مقاولين فرعيين يعملون على خدمات متعلقة بـمتلايف.