سياسة الاحتفاظ بالبيانات

تحدد سياسة الاحتفاظ بالبيانات (المشار إليها فيما يلي بـ "السياسة") المبادئ والممارسات التي تتبعها Credenti Credenti فيما يليCredenti" أو "نحن" أو "لنا") في جمع البيانات الشخصية والتنظيمية والاحتفاظ بها والتخلص منها. تم تصميم هذه السياسة لضمان الامتثال للالتزامات القانونية والتنظيمية المعمول بها والالتزامات التعاقدية وأفضل الممارسات في هذا المجال.

التعاريف

  • البيانات: أي معلومات، في شكل رقمي أو مادي، يتم جمعها أو تخزينها أو معالجتها أو نقلها بواسطة Credenti .
  • الموظف: أي فرد يعمل لدى Credenti بما في ذلك المقاولون والموظفون المؤقتون والأشخاص الآخرون الذين يؤدون أعمالًا تحت إشراف Credenti.
  • مسؤول حماية البيانات (DPO): الشخص الذي عينته Credenti استراتيجية حماية البيانات والامتثال والاتصال التنظيمي وفقًا للقوانين المعمول بها.
  • GDPR: اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679، وهو قانون شامل للخصوصية يحكم حماية البيانات والخصوصية في الاتحاد الأوروبي.
  • موضوع البيانات: شخص طبيعي محدد أو قابل للتحديد يتم معالجة بياناته الشخصية من قبل Credenti نيابة عنها.
  • البيانات الشخصية: أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد، بما في ذلك الأسماء وأرقام الهوية وبيانات الموقع والمعرفات عبر الإنترنت أو غيرها من السمات.
  • المعالجة: أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية، سواء بوسائل آلية أم لا، مثل الجمع والتسجيل والتنظيم والتخزين والتعديل والاسترجاع والاستشارة والاستخدام والكشف والنشر أو التدمير.
  • المعالج: شخص طبيعي أو اعتباري، أو سلطة عامة، أو وكالة، أو هيئة أخرى تقوم بمعالجة البيانات الشخصية نيابة عن المراقب.
  • فئات خاصة من البيانات الشخصية / البيانات الشخصية الحساسة: البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني، الآراء السياسية، المعتقدات الدينية أو الفلسفية، العضوية النقابية، البيانات الجينية، البيانات البيومترية للتعريف، البيانات المتعلقة بالصحة، أو البيانات المتعلقة بالحياة الجنسية أو الميل الجنسي للشخص الطبيعي.
  • SIEM (إدارة المعلومات والأحداث الأمنية): منصة أو حل تقني يوفر تحليلاً في الوقت الفعلي للتنبيهات الأمنية والسجلات التي تولدها التطبيقات وأجهزة الشبكة والأنظمة. تُستخدم أدوات SIEM عادةً لجمع البيانات وتوحيدها وتخزينها وتحليلها لأغراض مراقبة الأمن والامتثال التنظيمي.

1. الغرض

توفر سياسة الاحتفاظ بالبيانات ("السياسة") إرشادات بشأن التخزين السليم والتدمير في الوقت المناسب لجميع المعلومات والبيانات والوثائق، بغض النظر عن تنسيقها، التي يتم إنشاؤها في سياق أعمال الشركة.

مالك هذا المستند هو مسؤول حماية البيانات في Credenti.

يتم مراجعة هذه الإرشادات سنويًا من قبل مسؤول حماية البيانات، كما يمكن مراجعتها وتحديثها باستمرار، إذا رأى مسؤول حماية البيانات ذلك ضروريًا.

الغرض من هذه السياسة هو تحديد فترات الاحتفاظ وإجراءات معالجة البيانات التي تقوم بها Credenti يتعلق بمنتجاتها وخدماتها. يقتصر الاحتفاظ على المدة اللازمة للوفاء بالمتطلبات التعاقدية والقانونية والتشغيلية.

2- النطاق

تنطبق هذه السياسة على جميع البيانات التي يتم جمعها أو معالجتها أو تخزينها بواسطة Credenti، بما في ذلك على سبيل المثال لا الحصر:

  • سجلات مصادقة النظام وأحداث الوصول
  • هوية المستخدم وبيانات تعريف الجهاز
  • سياسات الوصول وملفات التكوين
  • سجلات الأنشطة الإدارية

3. فترات الاحتفاظ

ما لم ينص على خلاف ذلك صراحة في اتفاقية ملزمة، Credenti بالبيانات وفقًا للجداول المصنفة التالية. تم وضع هذه الجداول لضمان الامتثال للالتزامات القانونية والتنظيمية ذات الصلة مع مراعاة الكفاءة التشغيلية وقيود أداء النظام. على وجه الخصوص، نظرًا للحجم الكبير والطبيعة المؤقتة لأنواع معينة من السجلات، مثل سجلات أنشطة المستخدمين والسجلات الإدارية، يتم الاحتفاظ بهذه الفئات لفترات أقصر. يُنصح العملاء بشدة بتنفيذ إجراءات التصدير والأرشفة في الوقت المناسب من خلال الاستفادة من حلول إدارة المعلومات والأحداث الأمنية الخارجية (SIEM) أو الأنظمة المماثلة لتسهيل الاحتفاظ طويل الأجل والتحليل والامتثال.

تنطبق هذه السياسة على جميع نماذج Credenti ، بما في ذلك السحابة متعددة المستأجرين والسحابة الخاصة المخصصة والبيئات المحلية.

  • سجلات أنشطة المستخدم: تتضمن سجلات جلسات المستخدمين واستخدام التطبيقات وأحداث تسجيل الدخول/الخروج. يتم الاحتفاظ بها لمدة لا تتجاوز 90 يومًا. يُنصح بشدة بتفريغها إلى أنظمة SIEM خارجية أو أنظمة الاحتفاظ بالسجلات.
  • السجلات الإدارية: تشمل الإجراءات التي يتم تنفيذها داخل وحدات التحكم الإدارية، مثل توفير المستخدمين وتحديثات السياسات وتغييرات التكوين. يتم الاحتفاظ بها لمدة 90 يومًا. يجب على العملاء تنفيذ إعادة توجيه السجلات إلى أنظمة خارجية للوصول الموسع.
  • سجلات المصادقة والوصول: تتعلق بأنشطة الوصول القائمة على بيانات الاعتماد، بما في ذلك أحداث النقر على الشارة، وعمليات المصادقة البيومترية، واستخدام مفتاح المرور. يتم الاحتفاظ بها لمدة 90 يومًا من تاريخ جمعها.
  • بيانات تعريف المستخدم: تشير إلى سجلات الهوية مثل بيانات ملف تعريف المستخدم وارتباطات الأجهزة وحالات التسجيل. يتم الاحتفاظ بها طوال مدة حساب العميل أو حتى إنهاء الحساب.
  • بيانات التكوين والسياسة: تشمل الإعدادات والقوالب وقواعد الوصول وسياسات الجلسة. يتم الاحتفاظ بها طوال مدة حساب العميل أو حتى إنهاء الحساب.

يمكن إجراء تعديلات على فترات الاحتفاظ القياسية بناءً على الطلب، شريطة أن تكون هذه التغييرات مدعومة بالمتطلبات القانونية أو التنظيمية المعمول بها ومتوافقة مع إمكانيات المنصة. يجب توثيق الطلبات والموافقة عليها من خلال اتفاقية رسمية لمعالجة البيانات أو تقديم الخدمات.

4. الاحتفاظ ببيانات الموظفين

Credenti بالبيانات المتعلقة بالموظفين فقط بالقدر اللازم للعمليات التجارية أو الالتزامات التنظيمية أو الحوكمة الداخلية. يخضع الاحتفاظ بهذه البيانات ومعالجتها لقوانين العمل المعمول بها ولوائح حماية البيانات.

  • سجلات الأنشطة الإدارية: يتم الاحتفاظ بها لمدة 24 شهراً
  • سجلات الوصول المعتمدة: يتم الاحتفاظ بها لمدة 12 شهراً من تاريخ آخر استخدام
  • بيانات التعريف الوظيفية: يتم حذفها في غضون 90 يومًا بعد انتهاء الخدمة ما لم تنص الالتزامات القانونية على خلاف ذلك.

تخضع جميع بيانات الموظفين لنفس الضوابط المطبقة على بيانات العملاء، بما في ذلك التشفير وقيود الوصول وإجراءات التدقيق.

5. إجراءات تقليل البيانات وحذفها

Credenti مبدأ تقليل البيانات إلى الحد الأدنى من خلال الاحتفاظ فقط بالبيانات الضرورية للأغراض المحددة. وفقًا للقانون المعمول به، بما في ذلك على سبيل المثال لا الحصر اللائحة العامة لحماية البيانات (GDPR)، لا يجوز الاحتفاظ بالبيانات الشخصية لفترة أطول من اللازم للأغراض التي تم جمعها من أجلها. وبمجرد تحقيق هذه الأغراض، يجب محو البيانات الشخصية بشكل آمن، ما لم يكن هناك حاجة إلى فترة احتفاظ أطول أو ما لم يسمح القانون بذلك.

Credenti طرق حذف البيانات وتدميرها التي تستخدمها Credenti على إمكانات المحو الآمن التي توفرها Amazon Web Services (AWS)، مزود البنية التحتية لدينا. وتشمل هذه الطرق، على سبيل المثال لا الحصر، حذف مفتاح التشفير الذي تديره AWS (تقطيع التشفير)، وسياسات دورة حياة التخزين، وإجراءات الكتابة فوق الآمنة أو إيقاف التشغيل. تم تصميم جميع الطرق لتكون متوافقة مع المعايير الصناعية المعترف بها والالتزامات التنظيمية.

Credenti أن محو البيانات الشخصية من خلال آليات AWS يتوافق مع إحدى الطرق القانونية المعترف بها التالية:

  • إخفاء الهوية: يتضمن ذلك الإزالة أو التحويل الدائم لجميع عناصر البيانات الشخصية التي يمكن أن تحدد هوية شخص طبيعي. يضمن إخفاء الهوية بشكل صحيح عدم إمكانية تتبع البيانات بأي وسيلة إلى فرد معين، حتى من قبل الطرف المسؤول عن إخفاء الهوية. والجدير بالذكر أن البيانات المشفرة أو الرمزية لا تعتبر مجهولة الهوية إذا كانت هناك وسيلة لعكس العملية.
  • التدمير: يشير هذا المصطلح إلى الإزالة الكاملة والنهائية للبيانات الشخصية بحيث لا يمكن إعادة تكوينها أو استعادتها. عند الاقتضاء، يمكن تحقيق التدمير من خلال المحو التشفيري (المعروف أيضًا باسم التقطيع التشفيري)، والذي يتضمن حذف مفاتيح التشفير المستخدمة لتأمين البيانات، مما يجعلها غير قابلة للوصول بشكل دائم. يتم تنفيذ عمليات الحذف هذه باستخدام آليات مدعومة من AWS مصممة لتلبية المعايير القانونية والتقنية المعمول بها. يعتمد مستوى الدقة التقنية المطبقة على تصنيف وحساسية البيانات المعنية.

يتم تنفيذ الطرق المحددة التي يتم من خلالها حذف أو إتلاف البيانات الشخصية في أنظمة Credentiباستخدام القدرات الأساسية التي توفرها Amazon Web Services (AWS). يحدد مسؤول حماية البيانات (DPO) Credentiالمعايير الداخلية وسياسات الحوكمة التي تطبق هذه الآليات المدعومة من AWS بطريقة تفي بالالتزامات التنظيمية ذات الصلة ومعايير الأمان والالتزامات التعاقدية.

عندما تتم معالجة البيانات الشخصية أو تخزينها باستخدام مزود خدمة تابع لجهة خارجية (مثل منصات البرمجيات كخدمة أو تعهيد العمليات التجارية)، Credenti التحقق من طريقة إجراء الحذف وتوثيقها. في مثل هذه الحالات، يجب أن يتم تضمين شرط الحذف الآمن للبيانات الشخصية بشكل صريح في الاتفاقيات التعاقدية مع مزود الخدمة، لضمان قيام Credenti المعالج المعين من قبلها بإجراء الحذف بطريقة قانونية وفعالة.

6. الامتثال التنظيمي والقانوني

تهدف هذه السياسة إلى ضمان الامتثال لقوانين حماية البيانات وأمن المعلومات المعمول بها، بما في ذلك على سبيل المثال لا الحصر:

  • اللائحة العامة لحماية البيانات (GDPR)
  • Privacy المستهلك في كاليفورنيا (CCPA)
  • قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)
  • برنامج إدارة المخاطر والتراخيص الفيدرالي (FedRAMP)
  • سياسة أمن خدمات معلومات العدالة الجنائية (CJIS)
  • معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS)

7. مراجعة السياسات وتعديلاتها

تتم مراجعة هذه السياسة على الأقل مرة واحدة سنويًا أو حسب ما تقتضيه التغييرات في القوانين أو اللوائح أو المتطلبات التشغيلية. سيتم إبلاغ الأطراف المعنية بأي تغييرات جوهرية في هذه السياسة عبر القنوات الرسمية أو نشرها علنًا على بوابة الثقة الخاصة بنا.

معلومات الاتصال

يجب توجيه أي أسئلة حول هذه السياسة إلى credenti أو عن طريق الكتابة إلينا على العنوان 5177 Richmond Ave, STE 1160, Houston, TX 77056. يرجى ملاحظة أن الاتصالات عبر البريد الإلكتروني قد لا تكون آمنة. وبناءً على ذلك، يجب ألا تضمّن معلومات شخصية أو حساسة أخرى في مراسلاتك الإلكترونية إلينا.