यदि आपकी कंपनी ग्राहक के व्यक्तिगत डेटा के साथ काम करती है, भुगतान स्वीकार करती है या सुरक्षा ऑडिट के अधीन है, तो प्रॉक्सी सर्वरों के उपयोग का दस्तावेजीकरण एक अनिवार्य आवश्यकता बन जाती है। सही दस्तावेज़ीकरण की कमी GDPR के तहत 20 मिलियन यूरो तक के जुर्माने या PCI DSS प्रमाणन के नुकसान का कारण बन सकती है।
इस मार्गदर्शिका में, हम यह समझेंगे कि अनुपालन आवश्यकताओं के लिए प्रॉक्सी के उपयोग का सही दस्तावेजीकरण कैसे करें, कौन सी नीतियाँ बनानी हैं और एक्सेस लॉग कैसे बनाए रखें। आप कार्यान्वयन के लिए तैयार दस्तावेज़ टेम्पलेट और चेकलिस्ट प्राप्त करेंगे।
क्यों प्रॉक्सी का दस्तावेजीकरण अनुपालन के लिए महत्वपूर्ण है
प्रॉक्सी सर्वर अक्सर कॉर्पोरेट सुरक्षा दस्तावेज़ीकरण में "अंधे क्षेत्र" बन जाते हैं। कंपनियाँ डेटाबेस के साथ काम करने की प्रक्रियाओं का सावधानीपूर्वक वर्णन करती हैं, लेकिन यह दस्तावेज़ित करना भूल जाती हैं कि उनके कर्मचारी या सिस्टम प्रॉक्सी के माध्यम से बाहरी संसाधनों तक कैसे पहुँचते हैं।
यह समस्या कई स्थितियों में महत्वपूर्ण हो जाती है:
- सूचना सुरक्षा ऑडिट: ISO 27001 या SOC 2 के ऑडिटर्स यह पुष्टि करने की मांग करते हैं कि डेटा तक पहुँचने के सभी चैनल दस्तावेज़ित और नियंत्रित हैं। प्रॉक्सी एक पहुँच चैनल है।
- घटनाओं की जांच: डेटा लीक या धोखाधड़ी के संदेह के मामले में, आपको यह साबित करने की आवश्यकता होती है कि किसने, कब और क्यों प्रॉक्सी का उपयोग करके विशिष्ट संसाधनों तक पहुँच प्राप्त की।
- GDPR की जांच: यदि आप अन्य देशों में प्रॉक्सी के माध्यम से EU नागरिकों के डेटा को संसाधित करते हैं, तो आपको डेटा के सीमा पार हस्तांतरण की वैधता का दस्तावेजीकरण करना होगा।
- PCI DSS प्रमाणन: उन कंपनियों के लिए जो कार्ड से भुगतान स्वीकार करती हैं, कार्ड डेटा तक पहुँचने के सभी बिंदुओं को दस्तावेज़ित किया जाना चाहिए, जिसमें प्रॉक्सी सर्वर भी शामिल हैं।
एक वास्तविक उदाहरण: 2022 में, एक यूरोपीय फिनटेक कंपनी को उनके जोखिम निगरानी प्रणाली द्वारा प्रॉक्सी का उपयोग कैसे किया जाता है, इस पर दस्तावेज़ीकरण की कमी के लिए नियामक से चेतावनी मिली। जुर्माना केवल 12 महीनों के लिए तत्काल पूर्ण दस्तावेज़ों और पूर्ववर्ती लॉग्स के निर्माण के बाद ही टाला जा सका।
महत्वपूर्ण: दस्तावेज़ीकरण प्रॉक्सी के उपयोग की शुरुआत से पहले किया जाना चाहिए, न कि ऑडिट के समय। पूर्ववर्ती दस्तावेज़ों का निर्माण हमेशा ऑडिटर्स में संदेह पैदा करता है।
कौन से नियामक आवश्यकताएँ प्रॉक्सी को प्रभावित करती हैं
विभिन्न नियामक मानक प्रॉक्सी सर्वरों के उपयोग के दस्तावेज़ीकरण के लिए विशिष्ट आवश्यकताएँ निर्धारित करते हैं। यहाँ कुछ मुख्य हैं, जिनका व्यवसायों को सामना करना पड़ता है:
GDPR (जनरल डेटा प्रोटेक्शन रेगुलेशन)
यदि आप EU नागरिकों के व्यक्तिगत डेटा को संसाधित करने के लिए प्रॉक्सी का उपयोग करते हैं, तो आपको दस्तावेज़ित करना होगा:
- प्रॉक्सी के उपयोग के उद्देश्य (अनुच्छेद 5.1.b — उद्देश्य की सीमा)
- प्रॉक्सी सर्वरों का भौगोलिक स्थान (अनुच्छेद 44 — सीमा पार डेटा ट्रांसफर)
- प्रॉक्सी के माध्यम से डेटा के ट्रांसफर के दौरान डेटा की सुरक्षा के लिए सुरक्षा उपाय (अनुच्छेद 32)
- डेटा प्रोसेसर के रूप में प्रॉक्सी प्रदाता के साथ अनुबंध (अनुच्छेद 28)
- उत्तरदायित्व सुनिश्चित करने के लिए एक्सेस लॉग (अनुच्छेद 5.2)
व्यावहारिक उदाहरण: यदि आपकी मार्केटिंग टीम रहायशी प्रॉक्सी का उपयोग विभिन्न EU देशों में प्रतिस्पर्धियों का विश्लेषण करने के लिए करती है, और इस दौरान कीमतों या उत्पादों के बारे में डेटा एकत्र करती है (जो अप्रत्यक्ष रूप से व्यक्तिगत डेटा हो सकता है), तो आपको प्रॉक्सी के GDPR-संगत उपयोग के लिए एक नीति की आवश्यकता है।
PCI DSS (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड)
भुगतान संसाधित करने वाली कंपनियों के लिए, PCI DSS संस्करण 4.0 की आवश्यकताएँ शामिल हैं:
- आवश्यकता 1.2.1: कार्ड डेटा के वातावरण और बाहरी नेटवर्क के बीच सभी अनुमत कनेक्शनों का दस्तावेजीकरण (प्रॉक्सी एक ऐसा कनेक्शन है)
- आवश्यकता 10.2: प्रॉक्सी प्रबंधन सहित सभी प्रशासनिक अधिकारों वाले उपयोगकर्ताओं की गतिविधियों के लॉग रखना
- आवश्यकता 12.3: प्रौद्योगिकियों के उपयोग की नीति, जिसमें प्रॉक्सी सर्वर शामिल हैं
ISO 27001 (सूचना सुरक्षा प्रबंधन प्रणाली)
मानक A.13.1.1 (सुरक्षा नेटवर्क तत्वों का प्रबंधन) के संदर्भ में दस्तावेज़ीकरण की आवश्यकता है:
- सभी प्रॉक्सी सर्वरों और उनकी कॉन्फ़िगरेशन की सूची
- प्रॉक्सी तक पहुँच प्रबंधन प्रक्रियाएँ
- उपयोग की निगरानी और विसंगतियों का पता लगाना
- नीतियों की नियमित समीक्षा (कम से कम वार्षिक)
152-ФЗ "व्यक्तिगत डेटा के बारे में" (रूस)
रूसी कानून दस्तावेज़ीकरण की आवश्यकता करता है:
- व्यक्तिगत डेटा की सुरक्षा के लिए खतरे का मॉडल (प्रॉक्सी सुरक्षा का एक साधन या संभावित खतरा)
- सूचना प्रणाली के निर्माण या आधुनिकीकरण के लिए तकनीकी कार्य (यदि प्रॉक्सी इसका हिस्सा है)
- सूचना प्रणालियों के वर्गीकरण और श्रेणीकरण के अधिनियम
| मानक | मुख्य दस्तावेज़ | अपडेट की आवृत्ति |
|---|---|---|
| GDPR | डेटा प्रोसेसिंग रजिस्टर (ROPA) | परिवर्तनों पर |
| PCI DSS | डेटा प्रवाह का आरेख | वार्षिक |
| ISO 27001 | सूचना सुरक्षा नीति | वार्षिक |
| 152-ФЗ | खतरे का मॉडल | हर 3 साल |
प्रॉक्सी सर्वरों के उपयोग के लिए नीति टेम्पलेट
प्रॉक्सी के उपयोग की नीति एक मूल दस्तावेज़ है, जो नियमों, जिम्मेदारियों और प्रक्रियाओं को परिभाषित करता है। यहाँ नीति की संरचना है, जो अनुपालन आवश्यकताओं के अनुसार अनुकूलित की गई है:
1. सामान्य प्रावधान
दस्तावेज़ का नाम: प्रॉक्सी सर्वरों के उपयोग की नीति
संस्करण: 1.0
स्वीकृति की तिथि: [तारीख]
स्वीकृत करने वाला व्यक्ति: [पद और नाम, उदाहरण: सूचना सुरक्षा निदेशक]
अगले संशोधन की तिथि: [12 महीने बाद की तारीख]
नीति का उद्देश्य: बाहरी संसाधनों तक पहुँच और डेटा संसाधन के दौरान सुरक्षा, गोपनीयता और नियामक आवश्यकताओं के अनुपालन को सुनिश्चित करने के लिए प्रॉक्सी सर्वरों के उपयोग के नियमों को परिभाषित करना।
क्षेत्राधिकार: यह नीति सभी कर्मचारियों, ठेकेदारों और स्वचालित प्रणालियों पर लागू होती है जो इंटरनेट संसाधनों तक पहुँच या डेटा संसाधन के लिए प्रॉक्सी सर्वरों का उपयोग करती हैं।
2. प्रॉक्सी के उपयोग के लिए अनुमत उद्देश्य
प्रॉक्सी सर्वरों का उपयोग केवल निम्नलिखित व्यावसायिक उद्देश्यों के लिए किया जा सकता है:
- प्रतिस्पर्धियों की निगरानी: बाजार का विश्लेषण करने के लिए प्रतिस्पर्धियों की कीमतों, उत्पादों और विपणन गतिविधियों के बारे में सार्वजनिक रूप से उपलब्ध जानकारी एकत्र करना (विभाग: विपणन, उत्पाद)।
- वेब सेवाओं का परीक्षण: विभिन्न भौगोलिक क्षेत्रों से अपने वेब संसाधनों की उपलब्धता और कार्यक्षमता की जाँच करना (विभाग: विकास, QA)।
- विज्ञापन अभियानों की सत्यापन: विभिन्न क्षेत्रों और विभिन्न उपकरणों पर विज्ञापन के प्रदर्शन की जाँच करना (विभाग: विपणन)।
- DDoS से सुरक्षा: बाहरी API के लिए कॉल करते समय कॉर्पोरेट सिस्टम के IP पते को छिपाना (विभाग: IT)।
- गोपनीयता सुनिश्चित करना: अनुसंधान या संवेदनशील जानकारी के साथ काम करते समय कर्मचारियों के व्यक्तिगत डेटा की सुरक्षा करना (विभाग: सुरक्षा, अनुपालन)।
प्रतिबंधित: कॉर्पोरेट सुरक्षा नीतियों को दरकिनार करने, प्रतिबंधित संसाधनों तक पहुँच प्राप्त करने, अनधिकृत गतिविधियों को छिपाने या किसी भी ऐसे कार्यों के लिए प्रॉक्सी का उपयोग करना जो कानून का उल्लंघन करते हैं।
3. प्रॉक्सी के प्रकार और उनका उपयोग
| प्रॉक्सी का प्रकार | अनुमत कार्य | डेटा की आवश्यकताएँ |
|---|---|---|
| रहायशी प्रॉक्सी | प्रतिस्पर्धियों की निगरानी, विज्ञापन की सत्यापन, विभिन्न क्षेत्रों से परीक्षण | केवल सार्वजनिक डेटा, बिना व्यक्तिगत डेटा के |
| मोबाइल प्रॉक्सी | मोबाइल एप्लिकेशन का परीक्षण, मोबाइल विज्ञापन की जाँच | केवल सार्वजनिक डेटा, बिना व्यक्तिगत डेटा के |
| डेटा सेंटर प्रॉक्सी | स्वचालित पार्सिंग, संसाधनों की बड़े पैमाने पर उपलब्धता की जाँच | केवल सार्वजनिक डेटा, उच्च गति |
4. प्रॉक्सी तक पहुँच प्राप्त करने की प्रक्रिया
किसी भी कर्मचारी को, जिसे प्रॉक्सी सर्वरों तक पहुँच की आवश्यकता है, निम्नलिखित प्रक्रिया से गुजरना चाहिए:
- अनुरोध प्रस्तुत करना: व्यवसायिक तर्क, प्रॉक्सी का प्रकार और उपयोग की अवधि के साथ पहुँच अनुरोध फॉर्म भरना।
- प्रबंधक के साथ सहमति: विभाग के प्रत्यक्ष प्रबंधक द्वारा अनुमोदन।
- अनुपालन की जाँच: सूचना सुरक्षा या अनुपालन विभाग द्वारा नीति के अनुसार अनुरोध का मूल्यांकन।
- प्रवेश विवरण जारी करना: IT विभाग प्रत्येक उपयोगकर्ता के लिए अद्वितीय प्रवेश विवरण के साथ पहुँच प्रदान करता है।
- प्रशिक्षण: कर्मचारी प्रॉक्सी के सुरक्षित उपयोग पर संक्षिप्त प्रशिक्षण प्राप्त करता है (यह वीडियो या दस्तावेज़ के रूप में हो सकता है)।
अनुरोध पर विचार करने की अवधि: प्रस्तुत करने के क्षण से 3 कार्य दिवसों से अधिक नहीं।
5. जिम्मेदारी और भूमिकाएँ
- सूचना सुरक्षा निदेशक (CISO): नीति की स्वीकृति, अनुपालन की निगरानी, ऑडिट का समन्वय।
- IT विभाग: तकनीकी कार्यान्वयन, पहुँच जारी करना, प्रॉक्सी अवसंरचना की निगरानी।
- अनुपालन अधिकारी: प्रॉक्सी के उपयोग के नियामक आवश्यकताओं के अनुपालन की जाँच, दस्तावेज़ीकरण बनाए रखना।
- विभाग के प्रमुख: अपने कर्मचारियों के अनुरोधों को अनुमोदित करना, लक्षित उपयोग की निगरानी करना।
- अंतिम उपयोगकर्ता: नीति का पालन करना, किसी भी घटना या संदिग्ध गतिविधि की तुरंत रिपोर्ट करना।
एक्सेस और निगरानी लॉग: क्या रिकॉर्ड करना है
प्रॉक्सी के उपयोग के लॉग (लॉग्स) रखना केवल एक तकनीकी आवश्यकता नहीं है, बल्कि अधिकांश अनुपालन मानकों की एक अनिवार्य आवश्यकता है। लॉग यह ट्रैक करने की अनुमति देते हैं कि किसने, कब और किन उद्देश्यों के लिए प्रॉक्सी का उपयोग किया, साथ ही विसंगतियों या अनधिकृत पहुँच का पता लगाने में मदद करते हैं।
एक्सेस लॉग के अनिवार्य फ़ील्ड
प्रत्येक लॉग प्रविष्टि में निम्नलिखित डेटा होना चाहिए:
| फ़ील्ड | विवरण | उदाहरण |
|---|---|---|
| Timestamp | कनेक्शन की तिथि और समय (UTC) | 2024-01-15 14:23:45 UTC |
| User ID | उपयोगकर्ता की अद्वितीय पहचान | user_12345 या ivanov@company.com |
| Proxy IP | उपयोग की गई प्रॉक्सी का IP पता | 185.123.45.67 |
| Proxy Location | प्रॉक्सी का भौगोलिक स्थान | DE, Frankfurt |
| Target URL | लक्ष्य संसाधन (डोमेन, गोपनीयता के लिए पूर्ण URL के बिना) | example.com |
| Session Duration | सत्र की अवधि | 00:15:32 |
| Data Volume | प्रेषित डेटा की मात्रा | 15.3 MB |
| Purpose Code | नीति से उपयोग का उद्देश्य कोड | COMP_MONITOR (प्रतिस्पर्धियों की निगरानी) |
| Status | सत्र की समाप्ति की स्थिति | SUCCESS / ERROR / BLOCKED |
लॉग संग्रहण का स्वचालन
अधिकांश प्रॉक्सी प्रदाता उपयोग की सांख्यिकी प्राप्त करने के लिए API प्रदान करते हैं। इन डेटा को अपने SIEM सिस्टम (सुरक्षा सूचना और घटना प्रबंधन) या केंद्रीकृत लॉग संग्रहण में एकीकृत करें।
लॉग संग्रहण और विश्लेषण के लिए अनुशंसित उपकरण:
- ELK Stack (Elasticsearch, Logstash, Kibana): छोटे और मध्यम व्यवसायों के लिए मुफ्त समाधान, वास्तविक समय में प्रॉक्सी के उपयोग को दृश्य बनाने की अनुमति देता है।
- Splunk: घटनाओं के सहसंबंध और विसंगतियों की पहचान के लिए शक्तिशाली क्षमताओं के साथ व्यावसायिक प्लेटफ़ॉर्म।
- Graylog: सरल इंटरफेस के साथ Splunk का ओपन-सोर्स विकल्प।
- Azure Monitor / AWS CloudWatch: उन कंपनियों के लिए क्लाउड समाधान जो संबंधित प्लेटफार्मों का उपयोग करती हैं।
अलर्ट (सूचनाएँ) सेट करना
स्वचालित सूचनाएँ नीति के उल्लंघन या संदिग्ध गतिविधियों का पता लगाने में मदद करती हैं:
- असामान्य डेटा मात्रा: यदि किसी कर्मचारी ने सत्र के दौरान प्रॉक्सी के माध्यम से 1 GB से अधिक डेटा स्थानांतरित किया (डेटाबेस डाउनलोड करने का संकेत हो सकता है)।
- काम के समय के बाहर पहुँच: बिना पूर्व सहमति के रात के समय या सप्ताहांत में प्रॉक्सी का उपयोग।
- भौगोलिक स्थान में बदलाव: एक उपयोगकर्ता ने एक छोटे समय में 5+ विभिन्न देशों से प्रॉक्सी का उपयोग किया।
- प्रतिबंधित संसाधनों तक पहुँच: कंपनी की ब्लैकलिस्ट में डोमेन से कनेक्ट करने का प्रयास।
- कई असफल प्रयास: एक घंटे में 10 से अधिक असफल प्रमाणीकरण प्रयास (संभावित रूप से पहचान पत्र का समझौता)।
सलाह: विभाग के प्रमुखों के लिए प्रॉक्सी के उपयोग की जानकारी के साथ साप्ताहिक स्वचालित रिपोर्ट सेट करें। यह जागरूकता और अनुशासन बढ़ाता है।
प्रॉक्सी के माध्यम से व्यक्तिगत डेटा की सुरक्षा का दस्तावेजीकरण
यदि आपके सिस्टम प्रॉक्सी के माध्यम से व्यक्तिगत डेटा को संसाधित करते हैं (उदाहरण के लिए, उपयोगकर्ताओं की सत्यापन, धोखाधड़ी लेनदेन की जाँच या विश्लेषण एकत्र करने के लिए), तो आपको इन डेटा की सुरक्षा के उपायों का दस्तावेजीकरण करना होगा।
डेटा प्रोसेसिंग इम्पैक्ट असेसमेंट (DPIA) प्रॉक्सी के लिए
GDPR उन प्रसंस्करण गतिविधियों के लिए डेटा सुरक्षा पर प्रभाव का आकलन (DPIA) करने की आवश्यकता करता है, जो व्यक्तियों के अधिकारों और स्वतंत्रताओं के लिए उच्च जोखिम प्रस्तुत कर सकती हैं। प्रॉक्सी का उपयोग इस आवश्यकता के अंतर्गत आ सकता है, यदि:
- आप संवेदनशील व्यक्तिगत डेटा (स्वास्थ्य, वित्त, जैविक पहचान) को संसाधित करते हैं
- आप प्रॉक्सी का उपयोग उन देशों में करते हैं जहाँ डेटा सुरक्षा का स्तर अपर्याप्त है (गैर-EU)
- आप बड़े पैमाने पर डेटा को संसाधित करते हैं (10,000 से अधिक डेटा विषय)
प्रॉक्सी के उपयोग के लिए DPIA की संरचना:
- प्रसंस्करण का विवरण: प्रॉक्सी के माध्यम से कौन से डेटा स्थानांतरित होते हैं, किस उद्देश्य के लिए, किन डेटा विषयों की श्रेणियाँ प्रभावित होती हैं।
- आवश्यकता और अनुपात: यह तर्क कि प्रॉक्सी का उपयोग क्यों आवश्यक है और कोई कम जोखिम वाले विकल्प नहीं हैं।
- डेटा विषयों के लिए जोखिम: क्या गलत हो सकता है (डेटा लीक, अनधिकृत पहुँच, डेटा पर नियंत्रण खोना)।
- जोखिमों को कम करने के उपाय: एन्क्रिप्शन, पहुँच सीमित करना, प्रॉक्सी प्रदाता के साथ अनुबंध, नियमित ऑडिट।
- DPO के साथ परामर्श: यदि आपके पास डेटा सुरक्षा अधिकारी है, तो उनकी राय का दस्तावेजीकरण होना चाहिए।
प्रॉक्सी प्रदाता के साथ डेटा प्रोसेसर के रूप में अनुबंध
यदि प्रॉक्सी प्रदाता के पास उसके सर्वरों के माध्यम से गुजरने वाले व्यक्तिगत डेटा तक पहुँचने की तकनीकी क्षमता है, तो वह GDPR की शब्दावली में "डेटा प्रोसेसर" बन जाता है।
प्रदाता के साथ अनुबंध में निम्नलिखित बातें शामिल होनी चाहिए:
- प्रसंस्करण का विषय और अवधि: कौन से डेटा संसाधित होते हैं, किस अवधि के लिए।
- प्रोसेसर की जिम्मेदारियाँ: सुरक्षा, गोपनीयता सुनिश्चित करना, डेटा विषयों के अधिकारों को लागू करने में मदद करना।
- उप-प्रोसेसर: क्या प्रदाता तृतीय पक्षों को शामिल कर सकता है, क्या आपकी सहमति की आवश्यकता है।
- सीमा पार डेटा ट्रांसफर: प्रॉक्सी सर्वरों के स्थान, कौन से सुरक्षा तंत्र लागू होते हैं (मानक संविदात्मक धाराएँ, उपयुक्तता निर्णय)।
- घटनाओं की सूचना: प्रदाता की जिम्मेदारी कि वह किसी भी डेटा सुरक्षा उल्लंघन के बारे में तुरंत सूचित करे।
- ऑडिट और निरीक्षण: अनुबंध की शर्तों का पालन करने के लिए प्रदाता की जाँच करने का आपका अधिकार।
महत्वपूर्ण: कई प्रॉक्सी प्रदाता "no-log" के सिद्धांत पर काम करते हैं (ट्रैफ़िक लॉग नहीं रखते)। इस नीति की लिखित पुष्टि प्राप्त करें और इसे अनुपालन दस्तावेज़ में शामिल करें।
प्रॉक्सी के माध्यम से डेटा ट्रांसफर के दौरान एन्क्रिप्शन
दस्तावेज़ीकरण करें कि कौन से एन्क्रिप्शन विधियाँ लागू होती हैं:
- HTTPS-प्रॉक्सी: आपकी प्रणाली और प्रॉक्सी सर्वर के बीच सभी ट्रैफ़िक TLS 1.2 या उससे ऊपर के द्वारा एन्क्रिप्ट किया जाता है।
- SOCKS5 के साथ SSH टनल: विशेष रूप से संवेदनशील डेटा के लिए अतिरिक्त एन्क्रिप्शन स्तर।
- End-to-end एन्क्रिप्शन: डेटा प्रेषक की ओर से एन्क्रिप्ट किया जाता है और केवल प्राप्तकर्ता की ओर से डिक्रिप्ट किया जाता है, प्रॉक्सी केवल एन्क्रिप्टेड ट्रैफ़िक देखता है।
दस्तावेज़ीकरण में प्रोटोकॉल के संस्करण और एन्क्रिप्शन एल्गोरिदम का उल्लेख करें (उदाहरण: "TLS 1.3 के साथ AES-256-GCM")।
ऑडिट के लिए दस्तावेज़ तैयार करना
जब बाहरी या आंतरिक ऑडिट का समय आता है, तो आपको प्रॉक्सी के उपयोग के अनुपालन को प्रमाणित करने वाले दस्तावेज़ों का एक पूरा पैकेज जल्दी से प्रस्तुत करने की आवश्यकता होती है। यहाँ क्या पहले से तैयार होना चाहिए:
ऑडिट के लिए दस्तावेज़ों का पैकेज
-
प्रॉक्सी सर्वरों के उपयोग की नीति (स्वीकृत व्यक्ति के हस्ताक्षर के साथ वर्तमान संस्करण)
- नीति के परिवर्तनों का इतिहास
- कर्मचारियों के परिचय के दस्तावेज़ (हस्ताक्षरित या इलेक्ट्रॉनिक पुष्टि)
-
प्रॉक्सी सर्वरों की सूची
- उपयोग में सभी प्रॉक्सी की सूची (IP पते, भौगोलिक स्थान, प्रकार)
- प्रदाताओं की जानकारी (कंपनियों के नाम, संपर्क जानकारी, अनुबंध की जानकारी)
- प्रत्येक प्रॉक्सी के उपयोग की शुरुआत की तिथि
-
एक्सेस लॉग
- पिछले 12 महीनों के लॉग (या आपके मानक द्वारा आवश्यक अवधि)
- पहचानी गई विसंगतियों और उठाए गए कदमों की रिपोर्ट
- विभागों के अनुसार उपयोग की सांख्यिकी
-
प्रदाताओं के साथ अनुबंध
- प्रॉक्सी सेवाओं के लिए मुख्य अनुबंध
- GDPR अनुपालन के लिए डेटा प्रोसेसिंग एग्रीमेंट (DPA)
- यदि प्रॉक्सी EU के बाहर स्थित हैं तो मानक संविदात्मक धाराएँ (SCC)
- उपलब्धता और सुरक्षा की गारंटी के साथ सेवा स्तर अनुबंध (SLA)
- DPIA (डेटा सुरक्षा प्रभाव आकलन) — यदि लागू हो
-
एक्सेस प्रबंधन प्रक्रियाएँ
- प्रॉक्सी तक पहुँच के लिए अनुरोध फॉर्म
- अनुमोदित और अस्वीकृत अनुरोधों के उदाहरण
- कर्मचारी की बर्खास्तगी पर पहुँच को वापस लेने की प्रक्रिया
-
घटनाएँ और उनकी जांच
- प्रॉक्सी से संबंधित घटनाओं का रजिस्टर (यदि कोई हो)
- जांच की रिपोर्ट
- सुधारात्मक कार्रवाई
-
प्रशिक्षण और जागरूकता
- प्रॉक्सी के सुरक्षित उपयोग पर प्रशिक्षण सामग्री
- कर्मचारियों द्वारा प्रशिक्षण पूरा करने के रिकॉर्ड
ऑडिटर्स के सामान्य प्रश्न
निम्नलिखित प्रश्नों का उत्तर देने के लिए तैयार रहें (साक्ष्य के साथ):
- "आप कैसे सुनिश्चित करते हैं कि प्रॉक्सी केवल अनुमत उद्देश्यों के लिए उपयोग की जा रही हैं?" — लॉग और निगरानी प्रक्रिया दिखाएँ।
- "आप कैसे सुनिश्चित करते हैं कि व्यक्तिगत डेटा प्रॉक्सी प्रदाता के पास नहीं पहुँचता?" — DPA, एन्क्रिप्शन नीति, no-log पुष्टि दिखाएँ।
- "आप प्रॉक्सी तक पहुँच रखने वाले कर्मचारियों की सूची कितनी बार पुनरावलोकन करते हैं?" — त्रैमासिक पुनरावलोकन प्रक्रिया दिखाएँ।
- "यदि प्रॉक्सी प्रदाता काम करना बंद कर देता है या समझौता कर लिया जाता है तो क्या होगा?" — व्यवसाय निरंतरता योजना (BCP) और वैकल्पिक प्रदाताओं की सूची दिखाएँ।
- "आप सीमा पार डेटा ट्रांसफर के अनुपालन को कैसे सुनिश्चित करते हैं?" — SCC और प्रॉक्सी के स्थान के देशों का विश्लेषण दिखाएँ।
ऑडिट की तैयारी का स्वचालन
सभी दस्तावेज़ों के वर्तमान संस्करणों के साथ "ऑडिट फ़ोल्डर" (भौतिक या इलेक्ट्रॉनिक) बनाएं। इसके अद्यतन के लिए जिम्मेदार व्यक्ति नियुक्त करें (आमतौर पर अनुपालन अधिकारी या CISO)।
GRC प्लेटफ़ॉर्म (गवर्नेंस, रिस्क, अनुपालन) का उपयोग करें ताकि स्वचालन किया जा सके:
- OneTrust: नीतियों का प्रबंधन, दस्तावेज़ों की समीक्षा के लिए स्वचालित अनुस्मारक।
- ServiceNow GRC: IT प्रक्रियाओं के साथ एकीकरण, अनुपालन के साक्ष्यों का स्वचालित संग्रह।
- Vanta / Drata: SOC 2, ISO 27001 के लिए स्वचालन अनुपालन के साथ निरंतर निगरानी।
दस्तावेज़ों और लॉग्स के रखरखाव की अवधि
विभिन्न मानक और कानून दस्तावेज़ीकरण और लॉग्स के लिए न्यूनतम रखरखाव अवधि निर्धारित करते हैं। इन अवधियों का पालन न करने से जुर्माना या जांच के मामले में अनुपालन साबित करने में असमर्थता हो सकती है।
| दस्तावेज़ का प्रकार | न्यूनतम रखरखाव अवधि | आधार |
|---|---|---|
| प्रॉक्सी के उपयोग की नीति | स्थायी (परिवर्तन के इतिहास के साथ) | ISO 27001, आंतरिक नीति |
| प्रॉक्सी के लिए एक्सेस लॉग | 12 महीने (न्यूनतम) | GDPR, ISO 27001 |
| एक्सेस लॉग (वित्तीय डेटा) | 7 वर्ष | PCI DSS, कर कानून |
| प्रदाताओं के साथ अनुबंध | अनुबंध की अवधि + 5 वर्ष | नागरिक कानून |
| DPIA (प्रभाव आकलन) | जब तक प्रसंस्करण प्रासंगिक है + 3 वर्ष | GDPR |
| प्रॉक्सी तक पहुँच के लिए अनुरोध | 3 वर्ष | आंतरिक ऑडिट |
| घटनाओं की रिपोर्ट | 5 वर्ष | ISO 27001, आंतरिक नीति |
| कर्मचारियों के प्रशिक्षण के प्रमाणपत्र | कार्यकाल + 1 वर्ष | श्रम कानून |
अनुशंसा: प्रॉक्सी के लिए एक्सेस लॉग को न्यूनतम 24 महीनों तक रखें, भले ही मानक केवल 12 की आवश्यकता हो। यह पूर्ववर्ती विश्लेषण करने और दीर्घकालिक दुरुपयोग के पैटर्न का पता लगाने की अनुमति देता है।
सुरक्षित हटाने की प्रक्रिया
रखरखाव की अवधि समाप्त होने के बाद दस्तावेज़ों और लॉग्स को सुरक्षित रूप से हटाना चाहिए, ताकि पुरानी डेटा के लीक के जोखिम को कम किया जा सके:
- इलेक्ट्रॉनिक दस्तावेज़: सुरक्षित हटाने के तरीकों का उपयोग करें (केवल "Delete" नहीं, बल्कि डेटा को कम से कम 3 बार ओवरराइट करें)।
- कागज़ के दस्तावेज़: DIN 66399 के अनुसार P-4 या उच्च स्तर की गोपनीयता के साथ श्रेडर द्वारा नष्ट करना।
- बैकअप: सभी बैकअप से डेटा हटाना न भूलें, न कि केवल मुख्य संग्रह से।
- हटाने का दस्तावेज़ीकरण: लॉग रखें कि कब और कैसे डेटा को हटाया गया।