سیاست حفاظت از داده‌ها و امنیت اطلاعات - گروه مشاوران آبتین

در گروه مشاوران آبتین (“شرکت” یا “ما”)، حفاظت از داده‌ها و امنیت اطلاعات بخشی جدایی‌ناپذیر از تعهدات حرفه‌ای ما نسبت به مشتریان، همکاران، و شرکای تجاری است.

هدف این سیاست، تعریف اصول، ساختار و الزامات فنی و سازمانی برای اطمینان از محرمانگی، صحت، و دسترس‌پذیری اطلاعات در تمامی فرآیندهای کاری ماست.

این سند با قوانین جمهوری اسلامی ایران، مقررات بین‌المللی از جمله مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR)، و استانداردهای ISO 27001  و ISO 27701  هم‌راستا می‌باشد.

دامنه‌ی کاربرد

این سیاست برای تمامی اشخاص زیر لازم‌الاجراست:

  • کارکنان دائم، پیمانکاران و مشاوران گروه مشاوران آبتین
  • کلیه واحدها، دفاتر و شرکت‌های تابعه داخل و خارج از کشور
  • طرف‌های ثالثی که به اطلاعات شرکت دسترسی دارند (نظیر ارائه‌دهندگان خدمات فناوری اطلاعات یا پردازشگر داده)

اصول بنیادین حفاظت از داده‌ها

کلیه فعالیت‌های مرتبط با جمع‌آوری، ذخیره، انتقال یا پردازش داده‌ها باید بر اساس اصول زیر انجام شود:

  1. قانون‌مندی و شفافیت:
    هرگونه پردازش داده باید مبتنی بر مبنای قانونی مشخص، منصفانه و شفاف باشد.
  2. محدودیت هدف:
    داده‌ها فقط برای مقاصد مشخص و مشروع جمع‌آوری شده و نباید برای اهداف ناسازگار استفاده شوند.
  3. حداقل‌سازی داده:
    تنها داده‌هایی جمع‌آوری می‌شود که برای هدف مورد نظر ضروری است.
  4. دقت و به‌روزرسانی:
    داده‌های شخصی باید صحیح و در صورت لزوم به‌روز باشند.
  5. امنیت و محرمانگی:
    تدابیر فنی و سازمانی برای جلوگیری از دسترسی، افشا، تغییر یا از بین رفتن غیرمجاز اطلاعات الزامی است.
  6. محدودیت نگهداری:
    داده‌ها فقط تا زمانی نگهداری می‌شوند که برای هدف پردازش مورد نیاز است.
  7. پاسخ‌گویی و انطباق:
    تمامی کارکنان و مدیران موظف‌اند شواهد انطباق با این سیاست را ارائه دهند.

چارچوب مدیریت حفاظت از داده‌ها

برای اجرای مؤثر این سیاست، گروه مشاوران آبتین ساختار زیر را ایجاد کرده است:

  • افسر حفاظت از داده‌ها (Data Protection Officer – DPO): مسئول نظارت بر رعایت قوانین داخلی و بین‌المللی.
  • کمیته امنیت اطلاعات: متشکل از نمایندگان بخش‌های فناوری، حقوقی، منابع انسانی و عملیات.
  • برنامه آموزش و آگاهی: دوره‌های منظم برای کارکنان درباره تهدیدات سایبری، حریم خصوصی و مدیریت داده‌ها.
  • ممیزی‌های دوره‌ای: بررسی‌های داخلی و خارجی طبق استانداردهای ISO 27001 و 27701.

امنیت اطلاعات

شرکت متعهد به اجرای تدابیر امنیتی زیر است:

  • رمزگذاری داده‌ها در حالت انتقال و ذخیره  (Encryption in Transit & at Rest)
  • احراز هویت چندمرحله‌ای (MFA) برای سیستم‌های حساس
  • کنترل دسترسی مبتنی بر نقش  (RBAC)
  • مانیتورینگ مداوم شبکه و سامانه‌ها
  • تست نفوذ (Penetration Testing) و ارزیابی آسیب‌پذیری منظم
  • برنامه تداوم کسب‌وکار و بازیابی پس از بحران  (BCP/DRP)

انتقال بین‌المللی داده‌ها

در صورت انتقال داده‌ها به خارج از مرزهای ایران، شرکت متعهد است که:

  • تنها به کشورهایی داده منتقل شود که سطح حفاظت کافی دارند؛
  • در سایر موارد، از قراردادهای انتقال استاندارد (SCC) یا قوانین سازمانی الزام‌آور (BCR) استفاده شود؛
  • کاربران از این انتقال آگاه شده و رضایت صریح آنان اخذ گردد.

حقوق افراد

مطابق قوانین ایران و استانداردهای جهانی، هر شخصی که داده‌هایش توسط آبتین پردازش می‌شود، از حقوق زیر برخوردار است:

  • دسترسی به داده‌های خود
  • درخواست اصلاح یا حذف داده‌ها
  • محدودسازی یا اعتراض به پردازش
  • دریافت نسخه قابل‌انتقال از داده‌ها
  • طرح شکایت نزد افسر حفاظت از داده یا مراجع ذی‌صلاح

گزارش‌دهی و مدیریت رخدادها

کلیه رخدادهای امنیتی یا نقض داده باید ظرف حداکثر ۷۲ ساعت از زمان کشف، به DPO گزارش شود.
واحد فناوری اطلاعات موظف است تحلیل فنی، مستندسازی و اقدامات اصلاحی لازم را انجام دهد.

آموزش و انطباق مستمر

همه کارکنان باید دوره‌های سالانه امنیت اطلاعات را بگذرانند.
شرکت، سیاست‌ها و دستورالعمل‌های امنیتی را دست‌کم هر ۱۲ ماه یک‌بار بازبینی و به‌روزرسانی می‌کند.