डेटा (Data) को सुरक्षित रखने और उसे साझा करने की नीति

उद्देश्य

योगानंद सेवा ("संगठन") Self-Realization Fellowship और योगदा सत्संग सोसाइटी ऑफ इंडिया के सदस्यों की सेवा करने के उद्देश्य से आवश्यक गोपनीय जानकारी अपने पास रखता है । इस नीति का उद्देश्य यह स्थापित करना है कि गोपनीय सूचना युक्त डेटा के संरक्षण के लिए कौन उत्तरदायी है और यह किस-किस को उपलब्ध रहेगा।

नीति

हालाँकि गोपनीय सूचना "संगठन" के संचालन के लिए आवश्यक होता है, ऐसी सूचना का सावधानी से उपयोग किया जाना चाहिए। डेटा के दुरुपयोग, उसे तोड़-मरोड़ कर प्रस्तुत करने, या फिर उसकी उपलब्धता पर अनावश्यक प्रतिबंध लगाने से डेटा साझा करने का लाभ बहुत कम हो जाता है। यद्यपि "संगठन" के अभिलेखों का कुछ हिस्सा सार्वजनिक सूचना है, कुछ डेटा "संगठन" की नीतियों तथा अमेरिका के राज्य या संघीय कानून द्वारा प्रतिबंधित हैं। कानून का पालन और अपने समुदाय की सुरक्षा करने के लिए, "संगठन" के पास उसके द्वारा प्राप्त किए गए डेटा की रक्षा, प्रबंधन, सुरक्षा और नियंत्रण करने का अधिकार भी है और कर्तव्य भी। इस नीति का उल्लंघन करने पर अनुशासनात्मक कार्रवाई हो सकती है, जिसका परिणाम "संगठन" से बर्ख़ास्तगी तक हो सकता है।

परिभाषाएँ

गोपनीय सूचना की परिभाषा : वह सूचना जो "संगठन" की वेबसाइट और / या मोबाइल एप्लिकेशन के उपयोग के माध्यम से "संगठन" को दी गई है और जिसे आमतौर पर "संगठन" के बाहर नहीं जाना जाता है, या जो कानून द्वारा संरक्षित है। गोपनीय सूचना के उदाहरणों में पूर्ण नाम, सामाजिक सुरक्षा संख्या (social security number), ड्राईवर लाइसेंस नंबर, ई-मेल पता, टेलीफोन नंबर, क्रेडिट कार्ड या बैंक खाता नंबर शामिल हैं, लेकिन इन तक सीमित नहीं हैं।

डेटा सुरक्षा अधिकारी: डेविड स्टेंबर

डेटा उपयोगकर्ता: "संगठन" का कोई भी कार्यकर्ता, बोर्ड सदस्य और स्वयंसेवक जिसे गोपनीय सूचना उपयोग करने की अनुमती दी गई है, लेकिन जिसके पास डेटा को संशोधित करने या मिटाने की अनुमति नहीं है।

वैध आवश्यकता: "संघठन" के कार्यों एवं प्राधिकृत कर्तव्यों को पूरा करने के लिए जब गोपनीय सूचना की आवश्यकता हो।

उत्तरदायित्व

i. सामान्य

संगठन डेटा तक पहुंच स्टाफ सदस्यों, बोर्ड के सदस्यों और स्वयंसेवकों को संगठन का व्यवसाय संचालित करने के लिए प्रदान करी जाती है। इस नीति द्वारा परिभाषित गोपनीय जानकारी केवल उन्हीं डेटा उपयोगकर्ताओं को उपलब्ध कराई जाएगी, जिन्हें इस जानकारी के लिए एक वैध आवश्यकता है जैसा कि डेटा कस्टोडियन को प्रदर्शित किया गया हो। ऐसे डेटा तक पहुंच वाले सभी व्यक्तियों को गुप्तता और गोपनीयता की आवश्यकताओं का पालन करना चाहिए, सुरक्षा और नियंत्रण प्रक्रियाओं का पालन करना चाहिए, और किसी भी प्रकार की रिपोर्टिंग में उपयोग किए गए डेटा को सटीक रूप से प्रस्तुत करना चाहिए। संगठन की नीतियां लागू हों यह सुनिश्चित करने के लिए डेटा एक्सेस के लिए कस्टोडियनशिप की जिम्मेदारी वाले व्यक्तियों को आंतरिक नियंत्रण स्थापित करना चाहिए। सभी डेटा उपयोगकर्ता इस नीति द्वारा निर्धारित की गई गोपनीय जानकारी की सुरक्षा और गोपनीयता के लिए जिम्मेदार हैं जिस तक वो पहुँचते हैं। कृपया अधिक जानकारी के लिए संगठन की गोपनीय सूचना नीति और रिकॉर्ड प्रतिधारण और विनाश नीति देखें।

ii. अनुपालन

संगठन किसी भी माध्यम में गोपनीय जानकारी के प्रकटीकरण को वर्जित करता है, जिसमें इलेक्ट्रॉनिक जानकारी, कागज पर जानकारी, और मौखिक या दृश्य के रूप में (जैसे टेलीफोन या वीडियो) साझा की गई जानकारी शामिल हैं, डेटा कस्टोडियन द्वारा अनुमोदित जानकारी के सिवाय। किसी के व्यक्तिगत लाभ या फायदे के लिए, किसी और के व्यक्तिगत लाभ या फायदे के लिए या व्यक्तिगत जिज्ञासा को संतुष्ट करने के लिए किसी भी गोपनीय जानकारी का उपयोग सख्त वर्जित है। डेटा उपयोगकर्ता गोपनीय जानकारी के उनके दुरुपयोग के परिणामस्वरूप होने वाले परिणामों के लिए जिम्मेदार हैं, जिनके लिए उन्हें पहुंच प्रदान की गई है।

अगर सुरक्षा उल्लंघन हो जाये या गोपनीय जानकारी के दुरुपयोग की सूचना दी जाये, तो डेटा कस्टोडियन, या अन्य ठीक से नियुक्त व्यक्ति, एक घटना प्रतिक्रिया प्रक्रिया का आह्वान करेगा, स्थिति से संबंधित तथ्यों की जांच करने के लिए उपयुक्त टीम को इकट्ठा करेगा और निर्धारित करेगा कि मामले को कानून प्रवर्तन के लिए भेजा जाना चाहिए या नहीं। अनुशासनात्मक कार्रवाई लागू नियमों या संगठन की नीति के अनुसार की जाएगी जो समाप्ति तक जा सकती है या उसे शामिल कर सकती है।

संगठन के अभिलेखों तक पहुँचने वाले सभी व्यक्तियों को लागू संघीय और राज्य कानूनों और संगठन की गोपनीय जानकारी की सुरक्षा से सम्बद्ध नीतियों और प्रक्रियाओं का पालन करने की और ऐसे डेटा के संबंध में विवेक का उपयोग करने की आवश्यकता होती है। इस नीति के उल्लंघन में जो कोई भी स्टाफ सदस्य, बोर्ड के सदस्य या स्वयंसेवक गोपनीय सूचना के अनधिकृत उपयोग, प्रकटीकरण, परिवर्तन, या विनाश में संलग्न हैं, वे संभव बर्खास्तगी और/या कानूनी कार्रवाई सहित उचित अनुशासनात्मक कार्रवाई के अधीन होंगे।

iii. डेटा कस्टोडियन और डेटा उपयोगकर्ताओं को सौंपी गयी विशिष्ट जिम्मेदारियाँ

  1. डेटा सुरक्षा अधिकारी
    डेटा सुरक्षा अधिकारी इन सब के लिए जिम्मेदार है:

    • इस नीति में परिभाषित वैध आवश्यकता जिन लोगों को है उन्हें गोपनीय सूचना प्राप्त करने की अनुमति प्रदान करना।
    • अपनी जिम्मेदारी के क्षेत्र के भीतर सभी डेटा की सटीकता को सुनिश्चित करना।
    • समय-समय पर यह समीक्षा करना कि उनकी जिम्मेदारी के क्षेत्र के भीतर जो डेटा है, उसे प्राप्त करने की अनुमति किस-किस को दी गई है और यदि आवश्यक हो तो उपयोगकर्ताओं की सूची को अपडेट करना।
    • यह सुनिश्चित करना कि डेटा उपयोगकर्ता गोपनीय सूचना की सुरक्षा के संबंध में अपनी जिम्मेदारियों को समझते हैं।
    • अगर कंप्यूटर सुरक्षा भंग हो चुकने की संभावना हो, या गोपनीय सूचना का दुरुपयोग हुआ हो, तो तुरंत अपने सूपर्वाइज़र को रिपोर्ट करना।
    • जहाँ तक लागू हो: अगर किसी व्यक्ति को गोपनीय सूचना प्राप्त करने की अनुमति नहीं दी गई है, और वह इसके विरुद्ध अपील करता है, तो ऐसे अपीलों की समीक्षा करना।
    • गोपनीय सूचना के अवधारण विनाश की निगरानी करना।
  2. डेटा उपयोगकर्ता
    डेटा उपयोगकर्ता इन सब के लिए जिम्मेदार हैं:

    • गोपनीय जानकारी का उपयोग केवल आवश्यकता के अनुसार अपनी नौकरी की जिम्मेदारियों और डेटा सुरक्षा अधिकारी द्वारा अधिकृत काम करने के लिए करना।
    • जिन व्यक्तियों के अभिलेखों को प्राप्त करने की अनुमति उन्हें दी गई है, उन की गोपनीयता और गुप्तता का सम्मान करना और उसकी रक्षा करना।
    • गोपनीय सूचना को प्राप्त करने, उसका उपयोग करने और उसके प्रकटीकरण के संबंध में संघीय और राज्य कानूनों और "संगठन" की नीतियों और प्रक्रियाओं का पालन करना।
    • अगर कंप्यूटर सुरक्षा भंग हो चुकने की संभावना हो, या गोपनीय सूचना का दुरुपयोग हुआ हो, तो तुरंत डेटा सुरक्षा अधिकारी और अपने सूपर्वाइज़र को रिपोर्ट करना।

डेटा संग्रहण और अवधारण

हम आपकी गोपनीय सूचना को केवल तब तक ही बरकरार रखेंगे जब तक कि हमने जिस उद्देश्य के लिए उसे एकत्रित किया था वह पूरा हो जाये, जिसमें किसी भी कानूनी, लेखांकन, रिपोर्टिंग आवश्यकताओं को पूरा करने या हमारे समझौतों को लागू करने के उद्देश्य शामिल हैं। हमारा डेटा सुरक्षा अधिकारी इस कार्य की निगरानी करता रहेगा और यह पहचानने की हमारी प्रक्रिया को कायम रखेगा कि कौन से अभिलेख और सूचनाएँ उनकी आवश्यक अवधारण अवधि को पूरा कर चुकी हैं और ऐसे डेटा को मिटाने की निगरानी करेगा।

गोपनीय सूचना युक्त इलेक्ट्रॉनिक डेटा को एन्क्रिप्टेड स्वरूपों में उन सर्वेरों पर संग्रहीत किया जाना चाहिए जो "संगठन" ("संगठन डेटा सिस्टम") के अपने हों तथा जिन की देखरेख और संचालन"संगठन"द्वारा किया जा रहा हो। डेटा सुरक्षा अधिकारी की अग्रिम अनुमति और वैध आवश्यकता के प्रदर्शन के बिना "संगठन डेटा सिस्टम" के अलावा किसी अन्य सिस्टम पर गोपनीय सूचना संग्रहीत नहीं की जानी चाहिए। डेटा सुरक्षा अधिकारी की अग्रिम अनुमति और वैध आवश्यकता के प्रदर्शन के बिना गोपनीय सूचना वाले इलेक्ट्रॉनिक डेटा को किसी भी मोबाइल कंप्यूटिंग डिवाइस पर संग्रहीत नहीं किया जाना चाहिए। मोबाइल कंप्यूटिंग डिवाइस में यह सब शामिल हैं, लेकिन इन तक सीमित नहीं हैं : लैपटॉप, टैबलेट, आईपैड, पीडीए, सेल फोन, CD/DVD R/W डिस्क, यूएसबी डिवाइस, फ्लैश ड्राइव या ज़िप ड्राइव । मोबाइल कंप्यूटिंग उपकरणों पर संग्रहीत डेटा को वर्तमान मानक सुरक्षा विधियों (जैसे नियंत्रित पहुंच, फायरवॉल, एंटीवायरस, पूरी तरह से अपडेटड और पैच किए गए ऑपरेटिंग सिस्टम, आदि) द्वारा संरक्षित किया जाना चाहिए। एंड-यूज़र मैसेजिंग तकनीकों (जैसे, ई-मेल, इंस्टेंट मैसेजिंग, चैट या अन्य संचार विधियों) के माध्यम से गोपनीय सूचना का संचार निषिद्ध है।

डेटा निराकरण

आम तौर पर, किसी रिकॉर्ड को मिटाने और निराकृत करने का तात्पर्य यह होता है कि उस रिकॉर्ड को लागू कानूनों और विनियमों के मापदण्डों के अनुसार इस तरह परिवर्तित कर निराकृत करना कि वह पहचाना ही न जा सके।

  • निराकरण से पहले गोपनीय सूचना वाले सभी कागजी अभिलेखों को छोटे-छोटे टुकड़ों में काट दिया जाना चाहिए। यह उन्हें कार्यालय में कतरन करके या रिकॉर्ड निराकरण सेवा प्रदान करने वाली किसी प्रतिष्ठित कंपनी के माध्यम से पूरा किया जा सकता है।
  • जहाँ संभव हो वहां पुनर्चक्रण सेवाओं का उपयोग किया जाना चाहिए। लेकिन ऐसी पुनर्चक्रण कंपनियों का चयन किया जाना चाहिए जो संवेदनशील व्यावसायिक अभिलेखों के निराकरण का काम करने के लिए प्रमाणित हों और कानूनन अनुबंधित हों। अन्यथा पुनर्चक्रण सेवा में भेजने से पहले रिकॉर्ड को नष्ट कर देना चाहिए।
  • निराकरण के लिए निर्धारित इलेक्ट्रॉनिक डेटा को सभी व्यक्तिगत कंप्यूटर, डेटा बेसों, नेटवर्कों, और बैक-अप स्टोरेज से हटा दिया जाएगा, या फिर ऐसे तरीके से निराकृत किया जाएगा जो संवेदनशील, मालिकाना या गोपनीय सूचना की सुरक्षा सुनिश्चित करे।
  • कोई भी रिकॉर्ड, चाहे वह कागज पर हो या इलेक्ट्रॉनिक प्रारूप में हो, नष्ट नहीं किया जायेगा अगर वह चालू मुकदमे का हिस्सा हो या हिस्सा हो सकता हो।