CloudBlue يبذل قدرًا كبيرًا من الجهد لضمان أمان وموثوقية الجميع CloudBlue منتجات. لتحقيق الأمان في دورة حياة تطوير البرامج (SDLC) ، نتبع نموذج نضج ضمان البرنامج منهجية (SAMM). يضمن SDLC الآمن الخاص بنا أن تكون أنشطة ضمان الأمان مثل اختبار الاختراق ومراجعة الكود وتحليل البنية جزءًا لا يتجزأ من جهود التطوير.

فريق الأمن

لدينا فريق متخصص مسؤول عن CloudBlue أمن المنتجات. منذ بداية التطوير ، يشارك فريق الأمان في مراجعات التصميم لتحديد متطلبات الأمان جنبًا إلى جنب مع المتطلبات الوظيفية ولإجراء تحليل مخاطر البنية.

يتعاون فريق الأمان مع المطورين بشكل يومي ويبحث باستمرار عن أي مشكلات أمنية في CloudBlue قاعدة البيانات. يقوم فريق الأمان أيضًا ببناء البنية التحتية الأمنية لـ Secure SDLC. لاكتشاف المشكلات الأكثر شيوعًا ، نستخدم المسح التلقائي المدمج في خطوط أنابيب تطوير البرامج لدينا:

  • في كل مرة يتم فيها دفع رمز جديد إلى أحد المستودعات ، يتم إجراء فحص تلقائي لاختبار أمان التطبيقات الثابتة (SAST).
  • للحالات التي تم نشرها من CloudBlue المنتجات ، يتم إجراء فحص اختبار أمان التطبيق الديناميكي (DAST) للوقوف على مشكلات الأمان في وقت التشغيل.
  • يستخدم تنفيذ تحليل تكوين البرامج (SCA) لضمان عدم شحن منتجنا مع التبعيات الضعيفة. يتتبع تلقائيًا تبعيات الطرف الثالث وتراخيصها لكل مكون. يجب إصلاح كل ثغرة أمنية معروفة قبل الإصدار.

بالإضافة إلى ذلك ، عند تطوير ميزة جديدة ، يقوم فريق الأمان بمراجعة كود المصدر يدويًا وإجراء اختبار ديناميكي باستخدام أدوات مختلفة متوافقة مع معايير الصناعة.

تدريبات أمنية

كجزء من ممارسة التعليم والتوجيه في SAMM ، يتم توجيه كل شخص يشارك في دورة حياة البرنامج حول كيفية تطوير ونشر البرامج الآمنة. يدرك مطورونا مخاطر الأمان الشائعة الموضحة في OWASP Top Ten ، وتخضع فرق البحث والتطوير لدينا لتدريب منتظم لتعزيز موضوعات الأمان باستخدام منصات التدريب التجارية بالإضافة إلى الفصول والمواد التي تم تطويرها داخليًا. يتم إجراء التدريب سنويًا ويطلب عند الطلب.

لقد اتخذنا أيضًا خطوة إلى الأمام من خلال تبني مبادرة Security Champions. أبطال الأمن هم أعضاء نشطون في فريق مهتم بالأمن ورغبة في المساهمة في أمن منتجاتنا. إنهم يعملون كعنصر داعم في عملية ضمان الأمن ولديهم دور نقطة الاتصال الفردية (SPOC) داخل فرقهم.

Open Web Application Security Project (OWASP)

المصدر المفتوح رائع! نعتقد أن استخدام المعايير والأدوات المفتوحة التي يقودها المجتمع هو جزء أساسي من تطوير البرامج الآمنة ، خاصة على المدى الطويل. لهذا السبب اعتمدنا العديد من أدوات OWASP ، وجعلناها جزءًا من Secure SDLC الخاص بنا ، وجعلنا OWASP SAMM جوهر SDLC الآمن الخاص بنا. باستخدام المصدر المفتوح ، نهدف إلى:

  • استفد من المصادر المفتوحة باستخدام المعايير والأدوات التي يقودها المجتمع.
  • المساهمة في المصادر المفتوحة من خلال التحقق من أنها تناسب حلول المؤسسات.

لجعل الجانب الأمني ​​من CloudBlue منتجات أكثر شفافية ، نتبعها معيار التحقق من أمان التطبيق (ASVS). ASVS هو إطار عمل يحركه المجتمع من متطلبات الأمان والضوابط التي تركز على تحديد ضوابط الأمان الوظيفية وغير الوظيفية المطلوبة لتصميم وتطوير واختبار تطبيقات الويب وخدمات الويب الحديثة. نحن لا نتعامل مع هذا المعيار باعتباره مصدرًا ثابتًا للحقيقة ، بل نتعامل معه كنقطة انطلاق لمناقشة موضوع أمني.

اختبار الاختراق الخارجي

عند شحنها إلى العملاء ، تصبح منتجاتنا جزءًا من بنيتهم ​​التحتية ، مما يزيد من احتمالية الهجوم. هذا هو السبب في أن عملائنا يطلبون بانتظام من فرق الأمان الخاصة بهم أو الفرق الخارجية إجراء اختبارات الاختراق على منتجاتنا لضمان عدم تأثر الأمن العام لبنيتهم ​​التحتية. تمنحنا تقارير مثل هذه الاختبارات فرصة لنرى من وجهة نظر العميل وفهم احتياجاتهم ومتطلباتهم بشكل أفضل.

التشفير

نتخذ مجموعة من الإجراءات لضمان تشفير البيانات الموجودة في منتجاتنا.

العشوائية

يتم إنشاء جميع القيم المطلوبة لتكون عشوائية ، مثل مفاتيح التشفير التي يتم إنشاؤها عشوائيًا ومتجهات التهيئة باستخدام مولد رقم زائف آمن مشفرًا.

بالإضافة إلى المصدر الصحيح للعشوائية ، يتم استخدام الحجم الأدنى التالي للبيانات العشوائية:

الهدفالحد الأدنى من الانتروبيا (بت)
مفاتيح التشفيرأكثر من 128 اعوام في خدمة الزبائن بكل فخر
ناقلات الرابعأكثر من 128 اعوام في خدمة الزبائن بكل فخر
الدورة IDأكثر من 80 اعوام في خدمة الزبائن بكل فخر

التشفير المتماثل

CloudBlue تستخدم التجارة خوارزمية معيار التشفير المتقدم (AES) لتشفير البيانات كما يوصى بها من قبل المعهد الوطني للمعايير والتكنولوجيا (NIST) لاستخدام التخزين على المدى الطويل ، ولأنها غالبًا ما يتم تضمينها كجزء من متطلبات امتثال العميل.

نستخدم أوضاع AES التالية:

  • AES في وضع Galois / Counter Mode (GCM)
  • AES في وضع Cipher Block Chaining (CBC) مع رمز مصادقة رسالة مجزأة (HMAC)

صفرالهدفتنسيق التخزين
AES-128-CBC مع IV عشوائيتخزين البيانات الحساسة$ AES-128-CBC $ {IV} $ {بيانات مشفرة في BASE64}
AES-128-GCM مع Nonce عشوائي فريدتخزين وإرسال البيانات الحساسة$ AES-128-GCM $ {Nonce} $ {بيانات مشفرة في BASE64}
AES-128-CBC-HMAC مع IV عشوائيتخزين وإرسال البيانات الحساسة$ AES-128-CBC $ {IV} $ {بيانات مشفرة في BASE64} $ {HMAC BASE64}

أمن النقل

لتوفير نقل آمن للبيانات عبر الشبكة ، CloudBlue تستخدم التجارة TLS 1.2 مع مجموعات التشفير التالية:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

شهادة

نحن نعمل باستمرار على توسيع تغطية الامتثال. حاليًا ، نحن معتمدون من قبل ISO27001: 2013.

CloudBlue لديها سياسات وإجراءات مطبقة لإثبات الامتثال للائحة العامة لحماية البيانات (GDPR) وشروط مدونة قواعد سلوك Cloud Security Alliance GDPR بواسطة CloudBlue والمعالجات الفرعية لدينا. لإظهار الامتثال ، CloudBlue قادر على تقديم الأدلة المدرجة أدناه:

  • التقييم الذاتي لـ STAR متاح على موقع Cloud Security Alliance
  • النسخة العامة من سياسة أمن المعلومات والسياسات الداعمة
  • شهادة ISO 27001 (تتطلب NDA)
  • بيان الخصوصية: https://corp.ingrammicro.com/en-us/legal/privacy

خصوصية البيانات وحماية البيانات

CloudBlue كونها مؤسسة مُدارة عالميًا تمتثل لقوانين ولوائح خصوصية البيانات المختلفة ، بما في ذلك اللائحة العامة لحماية البيانات (GDPR) ، وقانون خصوصية المستهلك في كاليفورنيا (CCPA) ومدونة قواعد السلوك الخاصة بـ Cloud Security Alliance GDPR. ندمج التدابير الأمنية التقنية والتنظيمية المطلوبة ونحمي حماية حقوق موضوع البيانات.

باستخدام الخدمات ، فإنك توافق على أنه يجوز لنا استخدام البيانات وفقًا لبيان الخصوصية المتاح لدينا هنا.

يقر كل طرف ويوافق على الامتثال لتشريعات حماية البيانات والخصوصية السارية على الوفاء بهذه الشروط ("قوانين حماية البيانات") ، على سبيل المثال لا الحصر ، حسب الاقتضاء ، قانون خصوصية المستهلك في كاليفورنيا ("CCPA") والقانون الأوروبي لائحة حماية البيانات العامة للاتحاد (اللائحة (الاتحاد الأوروبي) 2016/679) ("GDPR") ، بما في ذلك عند استخدام أو التعامل أو الكشف أو النقل أو المشاركة أو المعالجة بأي طريقة ولأي غرض ، أي معلومات تتعلق بمعلومات محددة أو قابلة للتحديد فرد ("بيانات شخصية") يتم تلقيها من الطرف الآخر أو نيابة عنه ، طوال مدة هذه الشروط. جميع البيانات الشخصية التي يكشف عنها أحد الأطراف ويعالجها الطرف الآخر كجزء من هذه الشروط هي معلومات سرية للطرف المفصح وتخضع لالتزامات السرية المنصوص عليها في البند 9 من هذه الشروط.

أنت تقر بأنه يمكنك الاستفادة من وظائف ميزات معينة للمنصة لإنشاء معلومات وبيانات المستخدم النهائي لعمليات الأعمال المطلوبة. في حالة طلب أي بيانات للمستخدم النهائي وإتاحتها أو الوصول إليها لك أو لموظفيك أو وكلائك أو مقاوليك ، فسوف تمتثل تمامًا لجميع القوانين واللوائح والأوامر الحكومية المعمول بها بما في ذلك تلك المتعلقة بالبيانات الشخصية و / أو معلومات التعريف الشخصية ( "PII") وخصوصية البيانات فيما يتعلق بأي من هذه البيانات التي تتلقاها أو يمكنك الوصول إليها بموجب هذه الشروط أو فيما يتعلق بأداء أي خدمات أخرى تتلقاها أنت أو عميل. ستحمي معلومات PII بخلاف ذلك ولن تستخدم هذه المعلومات أو تكشف عنها أو تنقلها عبر الحدود ما لم يصرح لك موضوع البيانات أو وفقًا للقوانين المعمول بها. إلى الحد الذي تتلقى فيه معلومات تحديد الهوية الشخصية المتعلقة بأداء هذه الشروط ، فإنك ستحمي الخصوصية والحقوق القانونية لأي طرف ثالث.

بغض النظر عن أي شيء يتعارض مع هذه الشروط ، CloudBlue يجوز نسخ وتعديل وتوزيع واستخدام البيانات الشخصية المستلمة من أو نيابة عنك بالقدر اللازم لغرض توفير المنصة والخدمات. أنت تتعهد وتقر بأن لديك بالفعل أو ستحصل ، حسب الاقتضاء ، وتحافظ على جميع الأذونات والموافقات والتراخيص التي تتطلبها القوانين المعمول بها لك لتقديم أو الترتيب لتوفير البيانات الشخصية إلى CloudBlue. أنت تقر وتتعهد بأن لديك القدرة الكاملة والحق القانوني لتقديم البيانات الشخصية وإتاحتها لـ CloudBlue كما هو متوخى في هذه الشروط. لن تقوم بأي فعل أو إغفال طرح CloudBlue في انتهاك لالتزاماته القانونية بموجب تشريعات حماية البيانات والخصوصية المعمول بها وفيما يتعلق بهذه الشروط.

إلى الحد الذي تنطبق فيه CCPA على أداء الأطراف لهذه الشروط ، فإن البيانات الشخصية كما هي مستخدمة في هذه الشروط تشمل جميع "المعلومات الشخصية" كما هو محدد في CCPA. يقر كل طرف ويوافق على ذلك ، فيما يتعلق بمشاركة هذه البيانات الشخصية مع CloudBlue بموجب هذه الشروط ، CloudBlue هو "مقدم خدمة" كما هو معرّف في قانون خصوصية المستهلك في كاليفورنيا. فيما يتعلق بالبيانات الشخصية التي تتكون من "معلومات شخصية" كما تم تعريف هذا المصطلح في قانون خصوصية المستهلك في كاليفورنيا ، CloudBlue يشهد بموجبه أنه يتفهم أنه محظور من (أ) بيع تلك البيانات الشخصية (كما هو محدد في قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، (ب) الاحتفاظ بهذه البيانات الشخصية أو استخدامها أو الكشف عنها لأي غرض بخلاف الغرض المحدد لأداء الخدمات أو على النحو الذي تسمح به CCPA بطريقة أخرى ، بما في ذلك الاحتفاظ بالبيانات الشخصية أو استخدامها أو الكشف عنها لغرض تجاري بخلاف توفير الخدمات ، و (ج) الاحتفاظ بالبيانات الشخصية أو استخدامها أو الكشف عنها خارج نطاق عملها المباشر علاقة معك.

CloudBlue يستخدم خوارزمية معيار التشفير المتقدم (AES) لتشفير البيانات في حالة السكون. يتم تشفير جميع البيانات على مستوى التخزين باستخدام AES256 افتراضيًا. يتم تشفير حركة المرور أثناء النقل باستخدام Transport Layer Security 1.2 (TLS) باستخدام تشفير AES-256 المتوافق مع معايير الصناعة. TLS عبارة عن مجموعة من بروتوكولات التشفير المتوافقة مع معايير الصناعة والمستخدمة لتشفير المعلومات التي يتم تبادلها عبر الشبكة.

يتم ضمان التوفر من خلال الاستفادة من بنيتنا التحتية على طبقة Azure المتميزة ، والتي توفر توفرًا عاليًا من خلال التكرار الإقليمي.

اللائحة العامة لحماية البيانات ومعالجة البيانات الشخصية

لأغراض معالجة البيانات الشخصية الصادرة من المنطقة الاقتصادية الأوروبية ، والتي تخضع للائحة العامة لحماية البيانات ، CloudBlue يوافق بموجب هذا البند 11.2 على تضمين اتفاقية معالجة البيانات (يشار إليها فيما بعد بـ "DPA") ، والتي تعد شروطها جزءًا لا يتجزأ من هذه الشروط ولا تنطبق إلا إذا وإلى الحد الأقصى CloudBlue تقوم بمعالجة البيانات الشخصية كجزء من توفير النظام الأساسي والخدمات (يشار إليها مجتمعة باسم "الخدمات السحابية").

المصطلحات المستخدمة في DPA ، ولكن لم يتم تعريفها هنا (إن وجدت) لها المعاني المنصوص عليها في هذه الشروط أو القانون العام لحماية البيانات (GDPR) أو قانون حماية خصوصية المستهلك (CCPA) حسب الاقتضاء على التوالي.

يقر كل طرف ويوافق على أنه ، إلى الحد الذي تخضع فيه البيانات الشخصية للائحة العامة لحماية البيانات (GDPR) ، يكون العميل هو "المتحكم في البيانات" لتلك البيانات الشخصية التي CloudBlue العمليات نيابة عنها و CloudBlue هو "معالج البيانات".

لدرجة أن CloudBlue "العمليات" (كما تم تعريف هذا المصطلح في اللائحة العامة لحماية البيانات) البيانات الشخصية الخاضعة للائحة العامة لحماية البيانات نيابة عن العميل ، CloudBlue يجب:

  • قم بمعالجة البيانات الشخصية التي يقدمها العميل فقط وفقًا لتعليماته ، وليس لأي أغراض أخرى بخلاف تلك التي يحددها العميل ، كما هو ضروري لأداء التزاماته المنصوص عليها في هذه الشروط ومن أجل الامتثال لالتزام قانوني.

ومع ذلك ، في أي وقت أثناء تنفيذ DPA وهذه الشروط ، CloudBlue يثبت أن تعليمات العميل تظهر بأي شكل من الأشكال على أنها غير قانونية أو غير متوافقة مع التشريعات المعمول بها ، CloudBlue يجب دون تأخير لا داعي له إخطار العميل وانتظار مزيد من التعليمات.

اتخذ خطوات معقولة لضمان موثوقية الموظفين الذين يمكنهم الوصول إلى البيانات الشخصية التي تمت معالجتها كجزء من أداء الالتزامات بموجب هذه الشروط وأن جميع الموظفين الذين CloudBlue يكشف عن البيانات الشخصية يتم إدراك أن البيانات الشخصية هي معلومات سرية وتخضع للالتزامات المنصوص عليها في DPA وهذه الشروط.

  • مع الأخذ في الاعتبار حالة الفن وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة وطبيعة البيانات الشخصية بالإضافة إلى مخاطر وشدة حقوق وحريات الأشخاص الطبيعيين ، تنفيذ الإجراءات الفنية والتنظيمية المناسبة لإدارة حماية البيانات هذه ضد المعالجة غير المصرح بها أو غير القانونية لتلك البيانات الشخصية وضد الفقد العرضي أو التدمير أو التلف الذي يلحق بالبيانات الشخصية. معلومات إضافية عن الإجراءات الأمنية التي تنفذها CloudBlue متاح بموجب الفقرة 10 أعلاه من هذه الشروط ، وبناءً على طلب كتابي إلى CloudBlue. بقبول هذه الشروط وإدارة حماية البيانات هذا ، يوافق العميل على الإجراءات الأمنية التي يتخذها وينفذها CloudBlue.
  • إبلاغ العميل في أقرب وقت ممكن بأي طلب من بيانات خاضعة لممارسة حقوقه في الوصول ، أو التصحيح ، أو التعديل ، أو تقييد المعالجة أو الحذف ("الحق في النسيان") ، وإمكانية نقل البيانات ، والاعتراض على معالجة البيانات الشخصية لهذا الشخص البيانات أو أي طلب موضوع بيانات آخر ، أو إشعارات الطرف الثالث ، أو خروقات البيانات الشخصية أو فقدان البيانات الشخصية للعميل ومساعدة العميل والتعاون معه من أجل إعاقة أي عواقب لذلك وضمان الامتثال لقوانين حماية البيانات المعمول بها. يتحمل العميل التكلفة غير المعقولة التي يتكبدها CloudBlue المتعلقة بهذه المساعدة والتعاون.
  • تقديم المساعدة المعقولة للعميل من أجل السماح له بالامتثال لالتزاماته بموجب قوانين حماية البيانات بما في ذلك ، على سبيل المثال لا الحصر ، طلبات موضوع البيانات ، إلى الحد الذي لا يتمكن فيه العميل من الوصول إلى المعلومات ذات الصلة وإلى الحد الأقصى المعلومات متاحة ل CloudBlue. CloudBlue يجب أن تقدم مساعدة معقولة للعميل في التعاون أو التشاور المسبق مع السلطة الإشرافية فيما يتعلق بأداء مهامها بموجب DPA ، إلى الحد المطلوب بموجب قوانين حماية البيانات. يتحمل العميل التكلفة المتعلقة بهذه المساعدة.
  • عند إنهاء هذه الشروط ، توقف عن معالجة جميع البيانات الشخصية للعميل ويجب حذف أو إعادة جميع الملفات التي تحتوي على البيانات الشخصية ، بناءً على طلب العميل ، ما لم يكن الاحتفاظ بالبيانات الشخصية مطلوبًا بموجب القانون. يتحمل العميل التكلفة المتعلقة بإعادة البيانات أو حذفها. CloudBlue يقدم المساعدة في الإنهاء خلال فترة ما بعد الإنهاء المسموح بها للعملاء (حسب الاقتضاء)
  • سيتم إبلاغ العملاء بأي تغييرات تتعلق بالخدمات السحابية ذات الصلة عبر البريد الإلكتروني أو مديري الحسابات الفنية
  • CloudBlue يظل مسؤولاً أمام عملائنا عن أداء التزامات المعالج الفرعي لدينا.
  • CloudBlue سوف تشارك الاتفاقيات المبرمة مع المعالجات الفرعية لدينا ، جزئيًا ، بناءً على طلب العميل ، عند الحاجة لإثبات الامتثال.
  • CloudBlue يمكن للعملاء الحصول مباشرة على نسخة من البيانات الشخصية التي قدموها ، فيما يتعلق بالخدمة المقدمة ، بتنسيق منظم وشائع الاستخدام وقابل للقراءة آليًا وقابل للتشغيل البيني
  • يمكن للمستخدمين المصرح لهم طلب ذلك من خلال بوابة العملاء CloudBlue حذف جميع سجلات العملاء عبر حذف قاعدة البيانات. CloudBlue سيتم حذف بيانات العميل فقط بموجب تعليمات صريحة من العملاء وفقًا لشروطنا القياسية CloudBlue سيعيد البيانات بتنسيق قياسي إلى العميل (مراقب البيانات) عند الطلب دون أي تكلفة إضافية.

يقر العميل ويوافق على ذلك CloudBlue قد تحتاج إلى التعاقد من الباطن مع أي من عمليات المعالجة الخاصة به فيما يتعلق بالبيانات الشخصية للعميل إلى الشركات التابعة له أو المتعاقدين الفرعيين مع الأطراف الثالثة الموجودين في بلدان مختلفة. لهذا الغرض ، بقبول الشروط والأحكام الواردة في DPA وهذه الشروط ، يمنح العميل بموجبه CloudBlue تفويض عام لاستخدام مقاولين من الباطن إذا لزم الأمر لضمان أداء الخدمات السحابية ، CloudBlueالتزامات بموجب هذه الشروط أو لضمان الامتثال للالتزامات القانونية. لتجنب الشك، CloudBlue يجب فقط التعاقد من الباطن على عمليات المعالجة الخاصة به بموجب DPA وهذه الشروط وفقًا للمتطلبات بموجب قوانين حماية البيانات المعمول بها. بناء على طلب كتابي من قبل العميل ، CloudBlue يجب أن تزود العميل بقائمة بالمقاولين الفرعيين المشاركين في معالجة البيانات الشخصية أدناه. يقر العميل ويوافق على ذلك CloudBlue قد تحتاج إلى نقل البيانات الشخصية أو الكشف عنها أو السماح بالوصول إليها بطريقة أخرى كجزء من توفير الخدمات السحابية للشركات التابعة لها أو المتعاقدين الفرعيين الموجودين في بلدان مختلفة بما في ذلك خارج المنطقة الاقتصادية الأوروبية ("EEA") لغرض ضمان أداء الخدمات السحابية و CloudBlueالتزاماتها بموجب اتفاقية حماية البيانات هذه وهذه الشروط أو لضمان الامتثال لالتزام قانوني. بقبول الشروط والأحكام الواردة في DPA وهذه الشروط ، يوافق العميل على عمليات نقل البيانات هذه. يمكن تقديم قائمة بمواقع نقل البيانات للعميل بناءً على طلب كتابي إلى CloudBlue. لتجنب الشك، CloudBlue يوافق على أن أي إفشاء أو وصول أو نقل خارج المنطقة الاقتصادية الأوروبية لبيانات العميل الشخصية التي تتم معالجتها بموجب هذه الاتفاقية سيتم تنفيذه وفقًا لقوانين حماية البيانات المعمول بها.

لا يجوز للعميل توفير معالجة أو نقل أو منح حق الوصول إلى CloudBlue أي بيانات شخصية ما لم يكن صاحب البيانات قد أعطى موافقته على معالجة بياناته الشخصية بموجب قوانين حماية البيانات ، إذا لزم الأمر. يقر العميل ويوافق على أنه يتحمل وحده المسؤولية عن توفير معلومات الشفافية اللازمة والحصول على جميع الموافقات اللازمة من قبل أصحاب البيانات لمعالجة البيانات الشخصية بموجب DPA وهذه الشروط. يضمن العميل ويقر بذلك أنه في حالة الحاجة إلى شفافية المعلومات والموافقة ، يكون العميل قد قدم هذه المعلومات وحصل على موافقة صاحب البيانات ، وبناءً على طلب كتابي ، سيتم تقديم نسخ من هذه الموافقات إلى CloudBlue قبل نقل البيانات الشخصية للمعالجة.

CloudBlue يوافق على الخضوع لعمليات التدقيق أو أن يكون لديه مدقق حسابات خارجي مستقل ومفتش ومنظم وممثل آخر ، يتم تعيينه كتابيًا من قبل العميل لإجراء تدقيق نيابة عن العميل من أجل التحقق من صحة CloudBlueامتثاله لالتزاماته بموجب قانون حماية البيانات هذا ، ومع ذلك ، قد يُطلب مثل هذا التدقيق فقط بإخطار كتابي مسبق مدته ثلاثون (30) يوم عمل ويتم تنفيذه خلال الأشهر التالية (يوليو وأغسطس وسبتمبر) ومرة ​​واحدة فقط كل اثني عشر (12) الشهور. يخضع مدقق حسابات أو مفتش أو منظم تابع لجهة خارجية أو ممثل آخر يعينه العميل لاتفاقية سرية مقدمة إلى CloudBlue قبل المراجعة. CloudBlue يجب أن تزود العميل ، لأغراض المراجعة وبناءً على طلب كتابي ، بالمعلومات المعقولة اللازمة لإثبات الامتثال CloudBlueالتزاماتها بموجب اتفاقية حماية البيانات هذه ، باستثناء أي معلومات أو مستندات أو سجلات تتعلق بعلاقات العمل الخاصة بـ CloudBlue مع أي طرف ثالث أو المستندات أو السجلات التي تم تدقيقها بالفعل من قبل العميل خلال الاثني عشر (12) شهرًا السابقة. يجب على العميل إجراء أي تفتيش في تاريخ يتفق عليه الطرفان ، خلال ساعات العمل العادية ودون التدخل في مسار CloudBlueالعمليات التجارية. يجب أن تكون جميع عمليات التدقيق هذه على حساب العميل وحده وتكلفته.

بغض النظر عن أي شيء يتعارض مع هذه الشروط ، يجب على العميل التعويض والاحتفاظ CloudBlue بلا لوم من أي مسؤولية أو خسائر أو مطالبات أو عقوبات أو أضرار أو تكاليف أو نفقات من أي نوع كانت ، بما في ذلك ما إذا فرضته السلطة الإشرافية على CloudBlue وتنشأ عن أي مطالبات أو إجراءات أو إجراءات أو تسويات ناتجة عن خرق أو عدم امتثال العميل لشروط وأحكام إدارة حماية البيانات هذه و / أو هذه الشروط و / أو قوانين حماية البيانات المعمول بها.

ستكون DPA سارية المفعول اعتبارًا من تاريخ تنفيذ هذه الشروط وستظل سارية المفعول بالكامل خلال مدة هذه الشروط. سيتم إنهاء DPA تلقائيًا مع إنهاء أو انتهاء صلاحية الشروط.

معلومات معالجة البيانات

تشمل فئات موضوعات البيانات التي قد تتم معالجة بياناتهم الشخصية بموجب هذه الاتفاقية على سبيل المثال لا الحصر:

  1. موظفي العميل الذين لديهم حسابات في المنصة
  2. الموزعين والبائعين الفرعيين والمستخدم النهائي

قد يتضمن نوع البيانات الشخصية التي تتم معالجتها ما يلي: الاسم الأول ، واسم العائلة ، والعنوان ، والبريد الإلكتروني ، ورقم الهاتف ، وأي معلومات أخرى قد تكون مطلوبة وإتاحتها لـ CloudBlue من قبل العميل لأغراض تقديم الخدمة.

ج. ستتم معالجة البيانات الشخصية بأي حال من الأحوال لأغراض أداء الخدمات.

د. ستتم معالجة البيانات الشخصية خلال مدة الشروط ووفقًا لما تقتضيه قوانين حماية البيانات.

E. الشخص الذي يمكن الاتصال به CloudBlue بخصوص هذا القسم الحادي عشر (11) هو:

الاسم: Aaron Mendelsohn Ingram Micro Data Protection Officer

عنوان البريد الإلكتروني: privacy@ingrammicro.com.

كيفية الإبلاغ عن مشكلة أمنية

حول السياسة

يعد توفير مستوى عالٍ من أمان المنتج أولوية قصوى لـ CloudBlue. نعتقد أن شفافية التقييم الأمني ​​ستساعدنا ، وفرق الأمن الخارجية ، وعملائنا على أن يكونوا على نفس الموجة عندما يتعلق الأمر بالأمن في CloudBlue. نحن على استعداد للعمل مع أي شخص يرسل تقارير الثغرات الأمنية بحسن نية كما هو موضح في هذا القسم. هذا هو سبب إضفاء الطابع الرسمي على عملية التعامل مع الثغرات الأمنية.

أبحاث

نحث الجميع على اتباع هذه القواعد أثناء البحث:

  • الامتثال للقوانين المعمول بها وجميع متطلبات ترخيص البرامج المعمول بها.
  • بذل كل جهد لتجنب انتهاكات الخصوصية وتعطيل أنظمة الإنتاج وتدهور الأداء وفقدان البيانات أثناء اختبار الأمان.
  • استخدم قنوات الاتصال المحددة لإبلاغنا بمعلومات الضعف.
  • احتفظ بالمعلومات حول أي ثغرات اكتشفتها سرية بينك وبين CloudBlue حتى نحصل على 90 يومًا لحل المشكلة.

معايير الضعف

القابلية للاستغلال هي معاييرنا العامة لبدء التعامل مع المشكلة باعتبارها ثغرة أمنية. بعبارة أخرى ، نحن نعتبر الخطأ ثغرة أمنية إذا كان الخطأ قد يتسبب في تأثير على سرية منتجنا أو سلامته أو توفره. في أي حالة أخرى ، نتعامل معها على أنها خطأ عادي ولا تنطبق الأطر الزمنية المتوفرة في قسم التحليل.

نعني بمصطلح "المهاجم" فاعلًا ضارًا يحاول التأثير سلبًا على سرية منتجنا أو سلامته أو توفره. نحن نفترض أن المهاجم هو خبير ذو مهارات عالية ولديه معرفة عميقة بمنتجنا وبنيته الداخلية ، وأن الإجراءات الأمنية التي تندرج تحت مبدأ الأمن من خلال الغموض لن يكون لها أي تأثير.

يجب إصلاح كل خطأ. ومع ذلك ، فإن إجراء إصلاح الخلل يختلف عن إصلاح الثغرة الأمنية. في قسم الاستثناءات أدناه ، يمكنك العثور على المشكلات التي يتم الإبلاغ عنها بشكل متكرر والتي لا تمثل ثغرات أمنية من وجهة نظرنا ويتم التعامل معها لاحقًا على أنها أخطاء عادية.

الاستثناءات

  • التعرض لتتبع المكدس.
  • تعرض عناوين IP الداخلية.
  • التصريحات التي تفيد بأن البرنامج قديم أو معرض للهجوم بدون رمز استغلال لإثبات صحة المفهوم.
  • نقاط الضعف التي لا يمكن استخدامها دون إشراك CloudBlue المستخدمون التجاريون ، على سبيل المثال ، self-xss أو وجود مستخدم يقوم بلصق كود JavaScript في وحدة تحكم المتصفح.
  • تقارير لم يتم التحقق من صحتها من أدوات فحص الثغرات الأمنية على الويب ، مثل Acunetix و Owasp Zap و Burp Suite.
  • عدم تطابق البروتوكول.
  • لوحات تسجيل الدخول المكشوفة.
  • علامات ملفات تعريف الارتباط مفقودة في ملفات تعريف الارتباط غير المصادقة.
  • المشكلات التي تؤثر فقط على وكلاء المستخدم أو إصدارات التطبيق القديمة. نحن نأخذ في الاعتبار فقط الثغرات الموجودة في أحدث إصدارات المتصفح لكل من Safari و Mozilla Firefox و Google Chrome و Microsoft Edge و Internet Explorer.
  • المشكلات التي تتطلب الوصول الفعلي إلى جهاز الكمبيوتر أو الجهاز الخاص بالضحية.
  • كشف المسار.
  • مشكلات الاستيلاء على الشعارات: اكتشاف خادم الويب الذي نستخدمه والإصدار المستخدم وما إلى ذلك.
  • تقارير مضاربة للغاية حول الضرر النظري.

إجراء تقديم التقارير

بلغ

للإبلاغ عن ثغرة أمنية تؤثر على CloudBlue المنتجات ، يرجى الاتصال بـ CloudBlue فريق أمان التطبيق. نرد على هذه التقارير في غضون ثلاثة أيام عمل.

الرجاء الإبلاغ عن المعلومات التالية:

  • وصف للثغرة الأمنية ، بما في ذلك رمز استغلال إثبات المفهوم أو آثار الشبكة (إن وجدت).
  • تفاصيل المنتج المتأثر ، بما في ذلك إصدار المنتج والمكون المتأثر.
  • الدعاية عن الثغرات الأمنية ، أو ما إذا كان قد تم الكشف عنها علنًا بالفعل.

يتم تشجيع الجميع على الإبلاغ عن نقاط الضعف المكتشفة ، بغض النظر عن عقود الخدمة أو حالة دورة حياة المنتج. CloudBlue ترحب بتقارير الضعف من الباحثين ومجموعات الصناعة وفرق الاستجابة للطوارئ والشركاء وأي مصدر آخر CloudBlue لا يتطلب اتفاقية عدم إفشاء كشرط أساسي لتلقي التقارير. CloudBlue يحترم مصالح الطرف المبلغ (يمكن جعل التقارير مجهولة عند الطلب) ويوافق على التعامل مع أي ثغرة يُعتقد بشكل معقول أنها مرتبطة بها CloudBlue المنتجات في قسم النطاق. CloudBlue يتبع ممارسات الإفصاح المنسق عن نقاط الضعف (CVD) ولحماية النظام البيئي ، نطلب من أولئك الذين يقومون بالإبلاغ إلينا أن يفعلوا الشيء نفسه.

لمزيد من المعلومات حول CVD ، يرجى الرجوع إلى المستند التالي: دليل CERT للإفصاح المنسق عن نقاط الضعف.

تحليل

أولا، CloudBlue يتحقق فريق أمان التطبيق من الثغرة الأمنية ويعيد إنتاجها. إذا لزم الأمر ، CloudBlue سيطلب المزيد من المعلومات من المراسل.

خلال هذه المرحلة ، فإن CloudBlue يقوم فريق أمان التطبيقات بتنفيذ الإجراءات التالية:

  • يحلل التأثير بناءً على متطلبات الأمان الحالية ، ونطاق ، وسياق الثغرة الأمنية.
  • ينفذ مرحلة استغلال الضعف.
  • تحسب شدة الثغرة الأمنية باستخدام نتيجة CVSS v3.1.

بناءً على النتائج ، يقوم فريق Application Security بعد ذلك بتعيين أحد مستويات الخطورة التالية للثغرة الأمنية:

  • حرجة: ثغرات لا يمكن تخفيفها بواسطة حلول الأمان وتتطلب إصدار الإصلاح العاجل في غضون أسبوع واحد.
  • متوسط: نقاط الضعف التي يمكن تخفيفها بواسطة حلول الأمان الحالية ، على سبيل المثال ، WAF ، ولكنها تتطلب إصدار الإصلاح العاجل في غضون ثلاثة أسابيع.
  • منخفض: نقاط الضعف والمشكلات التي يمكن معالجتها في أقرب إصدار من منتجنا. قد يتم إصدار إصدار الإصلاح العاجل في أكثر من ثلاثة أسابيع.

معالجة

CloudBlue يقوم بمعالجة الثغرات الأمنية الداخلية بالتعاون مع مجموعات التطوير المسؤولة. خلال هذا الوقت ، يتم الحفاظ على الاتصال المنتظم بين CloudBlue والطرف المبلّغ لإبلاغ بعضهما البعض عن الوضع الحالي والتأكد من أن الطرف المبلّغ يتفهم CloudBlueموقف. إذا كان ذلك متاحًا ، فقد يتم توفير إصلاح برنامج تم إصداره مسبقًا للطرف المبلغ عنه للتحقق منه.

إفشاء

بعد تحليل المشكلة بنجاح وإذا كان الإصلاح ضروريًا ، فسيتم تطوير الإصلاحات المقابلة وإعدادها للتوزيع. CloudBlue ستستخدم عمليات إعلام العميل الحالية لإدارة إصدار التصحيحات ، والتي قد تتضمن إخطارًا مباشرًا للعميل أو إصدارًا عامًا لاستشارة أمنية تحتوي على جميع المعلومات الضرورية.

An CloudBlue تحتوي المذكرة الاستشارية للأمان عادةً على المعلومات التالية:

  • وصف الثغرة الأمنية ونقاط CVSS v.3.1 الخاصة بها.
  • وصف التأثير.
  • قائمة المنتجات المتأثرة المعروفة والبرامج أو إصدارات الأجهزة.
  • معلومات عن العوامل المخففة والحلول البديلة.
  • موقع الإصلاحات المتاحة.

مجال

  • CloudBlue كوميرسبلاتفورم
  • CloudBlue منصة الاتصال

خارج النطاق

بيئات البنية التحتية مع المكونات المتعلقة بعمليات المنتج:

  • خطأ في تكوين نظام التشغيل ونقاط الضعف.
  • أي خدمات أو خدمات تابعة لجهات خارجية يستضيفها موفرو الطرف الثالث.
  • النتائج الخاصة بالتطبيقات أو الأنظمة غير المدرجة في قسم "النطاق".
  • UI و UX bugs والأخطاء الإملائية.
  • ثغرات أمنية في رفض الخدمة على مستوى الشبكة (DoS / DDoS).
  • النتائج من الاختبارات المادية مثل الوصول إلى المكتب ، على سبيل المثال ، فتح الأبواب أو الباب الخلفي.
  • النتائج مستمدة في المقام الأول من الهندسة الاجتماعية ، على سبيل المثال ، التصيد الاحتيالي.

لحماية خصوصيتك ، من فضلك ، لا تمر CloudBlue أي معلومات يمكننا التعرف عليها على أنها:

  • معلومات التعريف الشخصية (PII) ؛
  • بيانات حامل البطاقة الائتمانية.

معلومات الإتصال

إذا كنت تعتقد أنك وجدت ثغرة أمنية في أحد منتجاتنا ، فيرجى إرسال بريد إلكتروني إلينا على الأمان @cloudblueكوم.

الرجاء تضمين التفاصيل التالية في تقريرك:

  • وصف الموقع والتأثير المحتمل للثغرة الأمنية.
  • وصف مفصل للخطوات المطلوبة لإعادة إنتاج الثغرة الأمنية. إن كود استغلال إثبات المفهوم ولقطات الشاشة ولقطات الشاشة المضغوطة كلها مفيدة لنا.
  • اسمك أو اسمك ورابط للاعتراف في قاعة المشاهير لدينا أو طلب عدم الكشف عن هويتك.

يرجى استخدام مفتاح PGP الخاص بنا عندما يكون ذلك ممكنًا لتشفير تقريرك:

—–BEGIN PGP PUBLIC KEY BLOCK-–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D + vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf / SS / bpxlUmiHr1 / oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 + Yem + OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D + vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf / dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw ==
 = fpiJ
 —–نهاية كتلة مفاتيح PGP العامة—–

CloudBlue، تستخدم شركة Ingram Micro Business ملفات تعريف الارتباط لتحسين إمكانية استخدام موقعنا. من خلال الاستمرار في استخدام هذا الموقع و / أو تسجيل الدخول ، فإنك تقبل استخدام ملفات تعريف الارتباط هذه. لمزيد من المعلومات ، قم بزيارة موقعنا سياسة الخصوصية.
أنا أتفق