เอกสารการปฏิบัติตามข้อกําหนดของ PhotoRobot Enterprise

เอกสารนี้แสดงถึงเอกสารการปฏิบัติตามข้อกําหนดของ PhotoRobot Enterprise: เวอร์ชัน 1.0 — PhotoRobot Edition; uni-Robot Ltd. สาธารณรัฐเช็ก

เอกสารการปฏิบัติตามข้อกําหนดขององค์กรให้ข้อมูลสรุปและบริบทที่พร้อมสําหรับการจัดซื้อจัดจ้าง ใช้เมทริกซ์สําหรับการประเมินอย่างรวดเร็วและส่วนอธิบายเพื่อความเข้าใจ  ที่ลึกซึ้งยิ่งขึ้น

‍

‍

บทนํา - เอกสารการปฏิบัติตามข้อกําหนดขององค์กร

เอกสารการปฏิบัติตามข้อกําหนดขององค์กรนี้ให้ภาพรวมที่มีโครงสร้าง ละเอียด และเป็นมิตรกับการจัดซื้อจัดจ้างของท่าทีการปฏิบัติตามข้อกําหนดของ PhotoRobot ในโดเมนด้านกฎระเบียบ ความปลอดภัย ความเป็นส่วนตัว และการดําเนินงานที่สําคัญ เอกสารนี้แตกต่างจากตารางใช่/ไม่ใช่แบบธรรมดา ประกอบด้วยคําอธิบายตามบริบท บันทึกการจัดตําแหน่ง การอ้างอิงการควบคุม และลิงก์ไปยังกรอบการกํากับดูแลพื้นฐาน มีจุดประสงค์เพื่อเป็นแหล่งข้อมูลความพร้อมของผู้ขายอย่างรวดเร็วสําหรับผู้ซื้อและผู้ประเมินระดับองค์กร โดยเฉพาะอย่างยิ่งในสหรัฐอเมริกา

‍

‍

วิธีใช้เอกสารนี้

ทีมจัดซื้อควรเริ่มต้นด้วยเมทริกซ์สรุป จากนั้นตรวจสอบส่วนอธิบายสําหรับข้อกําหนดแต่ละข้อ แต่ละส่วนย่อยประกอบด้วย:

• คําอธิบายของพื้นที่ควบคุม
• ตําแหน่งการปฏิบัติตามข้อกําหนดของ PhotoRobot
• การอ้างอิงถึงนโยบายภายในที่เกี่ยวข้อง
• บันทึกการดําเนินงานและรายละเอียดการใช้งาน
• การพิจารณาในระดับภูมิภาค (สหรัฐฯ เทียบกับนานาชาติ)

เอกสารนี้เสริมแทนที่จะแทนที่ภาพรวมความปลอดภัยของสหรัฐอเมริกาและการแนะนําชุดกฎหมายและความปลอดภัยระหว่างประเทศ

‍

‍

สรุปเมทริกซ์การปฏิบัติตามข้อกําหนด

‍

‍

การจัดแนวหลักการ SOC 2

แม้ว่า PhotoRobot จะยังไม่ได้รับการรับรอง SOC 2 อย่างเป็นทางการ แต่สภาพแวดล้อมการควบคุมภายในได้รับการออกแบบโดยเจตนาเพื่อให้สอดคล้องกับเกณฑ์การบริการความน่าเชื่อถือด้านความปลอดภัย ความพร้อมใช้งาน และการรักษาความลับ:

• การเข้าถึงถูกจํากัดและบันทึกตามนโยบายการควบคุมการเข้าถึง
• โครงสร้างพื้นฐานได้รับการตรวจสอบอย่างต่อเนื่องตามนโยบายการบันทึกและการตรวจสอบ
• การดําเนินการเปลี่ยนแปลงเป็นไปตามเวิร์กโฟลว์การอนุมัติที่มีโครงสร้างตามที่กําหนดโดยนโยบายการจัดการการเปลี่ยนแปลง
• ความพร้อมใช้งานได้รับการสนับสนุนผ่านความซ้ําซ้อน ระบบป้องกันความล้มเหลว และแนวทางปฏิบัติในการกู้คืนจากภัยพิบัติ

การจัดตําแหน่งนี้ช่วยลดภาระการประเมินสําหรับลูกค้าองค์กรที่มีความคาดหวัง SOC 2 ได้อย่างมาก

‍

‍

การปฏิบัติตาม GDPR

PhotoRobot ทํางานภายใต้มาตรฐาน GDPR ทั่วโลกโดยไม่คํานึงถึงตําแหน่งที่ตั้งของลูกค้า ซึ่งหมายความว่า:

• มีการบันทึกฐานการประมวลผลที่ถูกต้องตามกฎหมาย
• ใช้หลักการลดขนาดข้อมูล
• มีการบังคับใช้กําหนดการเก็บรักษา
• รองรับการลบและสิทธิ์การเข้าถึง
• แนวทางปฏิบัติด้านวิศวกรรมความเป็นส่วนตัวมีอิทธิพลต่อการออกแบบระบบ

แนวทางนี้ช่วยลดความยุ่งยากในการปฏิบัติตามข้อกําหนดสําหรับลูกค้าข้ามชาติ

‍

‍

การจัดตําแหน่ง CCPA / CPRA

PhotoRobot สนับสนุนความโปร่งใสของผู้บริโภคและสิทธิ์ในการควบคุมที่สอดคล้องกับข้อกําหนดของแคลิฟอร์เนีย:

• ความสามารถในการเข้าถึง การลบ และการเลือกไม่ใช้ข้อมูล
• การเปิดเผยข้อมูลที่ชัดเจนเกี่ยวกับการใช้ข้อมูล
• การหลีกเลี่ยงการขายข้อมูลส่วนบุคคล
• การผสานรวมความเป็นส่วนตัวตามการออกแบบ

แม้ว่า CCPA / CPRA จะไม่ได้นําไปใช้กับการดําเนินงานทั่วโลกทั้งหมด แต่หลักการของพวกเขาเป็นพื้นฐานที่แข็งแกร่งสําหรับลูกค้าในสหรัฐอเมริกา

‍

‍

ความเข้ากันได้ของ HIPAA

PhotoRobot ไม่ใช่เอนทิตีที่ครอบคลุม แต่สามารถทํางานในการกําหนดค่าที่เข้ากันได้กับ HIPAA ผ่าน:

• ข้อตกลงผู้ร่วมธุรกิจ (BAA)
• โหมดการบันทึกที่จํากัด
• การควบคุมความเป็นส่วนตัวที่ได้รับการปรับปรุง
• สถาปัตยกรรมโฮสติ้งที่ได้รับอนุมัติ

ตัวเลือกนี้มีให้สําหรับลูกค้าองค์กรในการดูแลสุขภาพหรืออุตสาหกรรมใกล้เคียง

‍

‍

โมเดลการปรับใช้

การปรับใช้ภายในองค์กร

PhotoRobot นําเสนอโซลูชั่นในองค์กรสําหรับลูกค้าที่ต้องการ:

• การควบคุมถิ่นที่อยู่ของข้อมูลที่สมบูรณ์
• สภาพแวดล้อมเครือข่ายที่แยกจากกัน
• การผสานรวมแบบกําหนดเองกับระบบภายใน

‍

การปรับใช้แบบไฮบริด

สถาปัตยกรรมไฮบริดรองรับ:

• การประมวลผลในเครื่องสําหรับเวิร์กโฟลว์ที่ไวต่อเวลาแฝง
• การประสานงานหรือการจัดเก็บข้อมูลบนคลาวด์
• การซิงโครไนซ์ที่ปลอดภัยซึ่งควบคุมโดยนโยบายสถาปัตยกรรมความปลอดภัย

‍

‍

แผนโฮสติ้งในสหรัฐอเมริกาเท่านั้น

มีการวางแผนภูมิภาคโครงสร้างพื้นฐานเฉพาะของสหรัฐฯ สถาปัตยกรรมสร้างขึ้นเพื่อการแยกระดับภูมิภาคและรองรับ:

• ข้อผูกมัดตามสัญญาสําหรับถิ่นที่อยู่ของข้อมูล
• ปรับปรุงประสิทธิภาพสําหรับลูกค้าในสหรัฐอเมริกา
• การปฏิบัติตามกฎระเบียบในอนาคต

‍

‍

การควบคุมการเข้ารหัส

ข้อมูลลูกค้าทั้งหมดได้รับประโยชน์จาก:

• การเข้ารหัส AES-256 ที่ไม่ได้ใช้งาน
• การเข้ารหัส TLS 1.2+ ระหว่างการส่ง
• จัดการนโยบายการหมุนเวียนลับ
• จํากัดการเข้าถึงคีย์การเข้ารหัส

‍

‍

การควบคุมการเข้าถึง

การเข้าถึงระดับผู้ดูแลระบบถูกจํากัดอย่างเข้มงวด:

• MFA ที่จําเป็นสําหรับบัญชีที่มีสิทธิพิเศษทั้งหมด
• การเข้าถึงตามบทบาทที่บังคับใช้โดยนโยบาย
• การหมดอายุของเซสชันอัตโนมัติและการตรวจจับความผิดปกติ
• การตรวจสอบการเข้าถึงเป็นประจําตามนโยบายการควบคุมการเข้าถึง

‍

‍

ความพร้อมในการตอบสนองต่อเหตุการณ์

PhotoRobot รักษากระบวนการ IR ที่มีโครงสร้าง จัดทําเป็นเอกสาร และทําซ้ําได้ โดยมี:

• การตรวจจับผ่านการตรวจสอบอัตโนมัติ
• ตรรกะการจําแนกประเภท
• เวิร์กโฟลว์การกักกัน
• ขั้นตอนการกําจัดและการฟื้นฟู
• บทวิจารณ์หลังเหตุการณ์
• การติดตามการดําเนินการแก้ไข

‍

‍

การสํารองข้อมูลและการกู้คืนจากภัยพิบัติ

ตามนโยบายการสํารองข้อมูลและความต่อเนื่องทางธุรกิจ PhotoRobot รักษา:

• การสํารองข้อมูลตามกําหนดเวลาที่เข้ารหัส
• ที่เก็บข้อมูลซ้ําซ้อนข้ามโซน
• ผ่านการทดสอบขั้นตอนการฟื้นฟู
• กําหนดวัตถุประสงค์ RTO และ RPO

‍

‍

สรุป

เอกสารการปฏิบัติตามข้อกําหนดขององค์กรนี้ให้ข้อมูลสรุปที่ครอบคลุมและพร้อมสําหรับการจัดซื้อจัดจ้างของวุฒิภาวะการปฏิบัติตามข้อกําหนดของ PhotoRobot การผสมผสานระหว่างการจัดตําแหน่งระดับสูง การควบคุมที่เป็นเอกสาร และการป้องกันการปฏิบัติงานช่วยให้ลูกค้าองค์กรสามารถประเมิน PhotoRobot ได้อย่างมั่นใจและมีประสิทธิภาพ