بيان التدابير الفنية والتنظيمية

راجع الإصدارات السابقة والسياسات الأخرى في أرشيفات السياسة(opens in a new tab or window) الخاصة بنا.

تم تضمين بيان التدابير الفنية والتنظيمية هذا بالإشارة إليه في ملحق معالجة البيانات الخاص بنا. وهو يوضح الحد الأدنى من معايير الأمان التي تُطبقها Canva على خدماتها بموجب اتفاقية خدمة الاشتراك(opens in a new tab or window). المصطلحات المكتوبة بأحرف كبيرة المستخدمة في بيان التدابير الفنية والتنظيمية هذا ولكن لم يتم تعريفها، لها معانٍ واردة في ملحق معالجة البيانات(opens in a new tab or window)، بما في ذلك "البيانات" (التي تقتصر، لتجنب الشك، على بيانات عملاء المؤسسة، ما لم ينص على خلاف ذلك في اتفاقيتك معنا).

1. تدابير إخفاء الهوية وتشفير البيانات الشخصية

تُشفر Canva البيانات المنقولة بين العملاء وتطبيق Canva عبر الشبكات العامة باستخدام بروتوكول أمان طبقة النقل (TLS 1.2) أو البرتوكول الأعلى. ويتم تشفير بيانات العملاء المخزنة على خوادم Canva باستخدام معيار التشفير المتقدم (AES 256) أو المعيار الأقوى.


2. تدابير ضمان السرية المستمرة لأنظمة وخدمات المعالجة ونزاهتها وتوفرها ومرونتها

يعمل لدى Canva موظفون مسؤولون عن الإشراف على الأمن والخصوصية. وقد عينت رؤساء للأمن والخصوصية والبيانات، إلى جانب لجنة أمن المعلومات التي تجتمع كل ثلاثة أشهر لمناقشة مخاطر الخصوصية والأمن المدارة في سجلات المخاطر الخاصة بها.


3. تدابير ضمان القدرة على استعادة التوفر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع حادث مادي أو فني

من أجل دعم توفر الخدمة، تستخدم Canva التوسع التلقائي لخدمات أمازون ويب (AWS)، ومناطق توفر خدمات أمازون ويب (AWS) بها، وإجراء مراقبة واسعة النطاق للتطبيقات والبنية التحتية، وقوائم دعم التطبيقات على مدار 24 ساعة طوال أيام الأسبوع.

تحتفظ Canva بنسخ احتياطية من البيانات المخزنة، بما في ذلك بيانات العملاء، التي تدعم الوظائف الأساسية لتطبيق Canva. يتم تخزين النسخ الاحتياطية في موقع منفصل جغرافيًا عن موقع تخزين البيانات الأساسي.

تحتفظ Canva بإمكانية الاستجابة للحوادث الأمنية التي تتضمن خطة موثقة للاستجابة لحوادث البيانات الشخصية في الحوادث الأمنية التي تنطوي على بيانات. ويحدد ذلك كيفية احتوائنا للحوادث والاستجابة لها وتقييمها والإبلاغ عنها، إضافة إلى مناصب ومسؤوليات موظفي Canva وضرورة إجراء المراجعات بعد الحادث.


4. إجراءات الاختبار المنتظم وتقييم فاعلية التدابير الفنية والتنظيمية وتقديرها من أجل ضمان معالجة آمنة

تستعين Canva بخبير أمني متخصص تابع لجهة خارجية لإجراء اختبار اختراق سنوي لتطبيقاتها وبنيتها التحتية. تستخدم Canva أيضًا خدمة تابعة لجهة خارجية لفحص الثغرات الأمنية في التطبيق وتدير برنامج مكافأة اكتشاف الخلل الموجّه إلى العامة.


5. تدابير تحديد هوية المستخدم والمصادقة

عندما يحتوي حساب العميل على كلمة مرور للمصادقة، تُخزن Canva كلمة المرور مُضافًا إليها وحدات بيانية (Salted) ومجزأة (Hashed) باستخدام وظيفة تجزئة كلمات المرور المتوافقة مع معايير القطاع. تدعم Canva تكامل تسجيل الدخول الأحادي (SSO) مع موفِّر هوية العميل باستخدام لغة ترميز تأكيد الأمان (SAML).


6. تدابير حماية البيانات خلال الإرسال

وفقًا للبند 1، تُشفر Canva البيانات المنقولة بين العملاء وتطبيق Canva عبر الشبكات العامة باستخدام بروتوكول أمان طبقة النقل (TLS 1.2) أو البرتوكول الأعلى.


7. تدابير حماية البيانات خلال التخزين

وفقًا للبند 1، يتم تشفير بيانات العملاء المخزنة على خوادم Canva باستخدام معيار التشفير المتقدم (AES 256) أو المعيار الأقوى.


8. تدابير ضمان الأمن المادي للمواقع التي تتم فيها معالجة البيانات الشخصية

تتم استضافة الخدمة وتخزين البيانات داخل مراكز البيانات التي تقدمها خدمات أمازون ويب (AWS). وعلى هذا النحو، تعتمد Canva على الضوابط المادية والبيئية والمتعلقة بالبنية التحتية لخدمات أمازون ويب (AWS). تُراجع Canva بشكل دوري الشهادات وتصديقات الجهة الخارجية المُقدمة من خدمات أمازون ويب (AWS) فيما يتعلق بفاعلية ضوابط مركز البيانات الخاص بها.


9. تدابير ضمان تسجيل الأحداث

تحتفظ Canva بسجلات تدقيق أمان التطبيقات والبنية التحتية. يتم تحليل سجلات التدقيق للكشف عن أي نشاط شاذ.


10. تدابير ضمان تكوين النظام، بما في ذلك التكوين الافتراضي

تعمل Canva على تقوية البنية التحتية لخادمها باستخدام معيار تقوية يعتمد على المعايير المعمول بها في القطاع. تُطبق Canva تصحيحات أمنية على خوادمها وفقًا لإجراءات إدارة الثغرات الأمنية الخاصة بها.


11. تدابير حوكمة تكنولوجيا المعلومات وأمن تكنولوجيا المعلومات الداخلية وإدارتها

يعتمد وصول موظفي Canva إلى بيانات العملاء على مناصبهم ويتبع مبدأ أدنى الامتيازات. لا يتم تزويد الموظفين إلا بإمكانية الوصول الكافية إلى بيانات العميل حتى يتمكنوا من أداء مسؤولياتهم بفاعلية. يتطلب الوصول إلى الشبكة عن بعد لأنظمة Canva اتصالاً مشفرًا عبر بروتوكولات آمنة واستخدام مصادقة متعددة العوامل. لقد أنشأت Canva إجراءات لإدارة كلمات المرور لموظفيها وستحافظ عليها، وهي مصممة لضمان أن تكون كلمات المرور شخصية لكل فرد، ولا يمكن للأشخاص غير المصرح لهم الوصول إليها، بما في ذلك على الأقل:

- حماية كلمات المرور من خلال تشفيرها عند تخزينها في أنظمة الكمبيوتر أو أثناء نقلها عبر الشبكة،

- وتغيير كلمات مرور الشركات الافتراضية،

- والتوعية بشأن ممارسات كلمة المرور الجيدة.

يتطلب وصول الموظفين إلى البنية التحتية للإنتاج استخدام مصادقة متعددة العوامل (MFA).

يخضع موظفو Canva لالتزامات السرية وسياسة التعامل مع البيانات الشخصية. تطلب Canva من موظفيها الخضوع لتدريب عن التوعية بأمن المعلومات، سواء في بداية عملهم أو سنويًا بعد ذلك. تطلب Canva أيضًا من موظفيها الخضوع لتدريب عن قانون الخصوصية سنويًا (بما في ذلك الالتزام بقانون حماية خصوصية الأطفال عبر الإنترنت (COPPA) وقانون الخصوصية والحقوق التعليمية للأسرة (FERPA) فيما يتعلق ببيانات الطلاب).

طبقت Canva الخصوصية حسب التصميم، بما في ذلك، على سبيل المثال لا الحصر، تقييمات تأثير الخصوصية.


12. تدابير الاعتماد/ضمان الإجراءات والمنتجات

تحتفظ Canva بشهادة ISO 27001، وتخضع لمراقبة خارجية دورية وعمليات تدقيق لإعادة الاعتماد للتأكد من أن نظام إدارة أمن المعلومات (ISMS) الخاص بها يلبي متطلبات هذا المعيار.

تحتفظ Canva بسياسة أمن المعلومات التي تلبي متطلبات معيار ISO 27001، وبرنامج التدقيق الداخلي الذي يقيم نظام إدارة أمن المعلومات (ISMS) في Canva وضوابط أمن المعلومات، ولجنة الإدارة المسؤولة عن الإشراف على نظام إدارة أمن المعلومات (ISMS) في Canva.


13. تدابير ضمان التقليل من حجم البيانات

تُتيح Canva للزائرين استخدام وظائف معينة لمنصتها بشكل مجهول وتقلل البيانات التي تطلبها من العملاء إلى ما هو ضروري فقط لتقديم الخدمة المطلوبة.


14. تدابير ضمان جودة البيانات

تضمن Canva جودة بياناتها من خلال التحقق من عناوين البريد الإلكتروني التي تقوم بالتسجيل في منصة canva.com. تُتيح Canva أيضًا للمستخدمين تحديث المعلومات الموجودة في حساباتهم بأنفسهم أو عبر الطلبات المقدمة إلى وظيفة دعم العملاء، أي فريق رضاء العملاء.


15. تدابير ضمان الاحتفاظ المحدود بالبيانات

تحتفظ Canva بسياسة للاحتفاظ بالبيانات، تُحدد فترات الاحتفاظ لأنواع مختلفة من البيانات بناءً على المتطلبات القانونية ومصالح Canva المبررة وأغراض التجميع.


16. تدابير ضمان المساءلة

عينت Canva ممثلين محليين في أوروبا والمملكة المتحدة. ممثل Canva المحلي في المنطقة الاقتصادية الأوروبية هو المكتب الأوروبي لحماية البيانات (EDPO) وعنوانه المسجل هو Avenue Huart Hamoir 71, 1030 Brussels, Belgium. ممثلنا المحلي في المملكة المتحدة هو المكتب الأوروبي لحماية البيانات في المملكة المتحدة (EDPO UK) وعنوانه المسجل هو 8 Northumberland Avenue, London WC2N 5BY, United Kingdom. يتم إجراء تقييمات تأثير حماية البيانات لأنشطة المعالجة عالية المخاطر وتحتفظ Canva بسجلات لأنشطة المعالجة الخاصة بها.


17. تدابير السماح بنقل البيانات وضمان حذفها

لدى Canva عملية تلقائية لحذف بيانات العميل عند الطلب في غضون 28 يومًا، وتتيح إمكانية تنزيل بيانات العميل لتقديمها لمقدمي الخدمات البديلين.


سياسات أخرى