Principles & Criteria

SSM BizTrust Principles & Criteria

Registration Principle
Prinsip Pendaftaran

 

The Entity is registered and in good standing with SSM and follows established business practices in line with the SSM BizTrust Registration Principle Criteria

Entiti didaftarkan dan berada dalam kedudukan yang baik dengan SSM dan mengikuti amalan perniagaan yang mantap selaran dengan Kriteria Prinsip Pendaftaraan SSM BizTrust

  • Criteria

  • Policies
    • The entity is registered and in good standing with Suruhanjaya Syarikat Malaysia under the Registration of Businesses Act 1956, the Companies Act 2016 or the Limited Liability Partnerships Act 2012
    • The entity clearly states the terms and conditions of sale
    • The entity clearly states the terms and conditions of any warranties to protect customers against product defects and non-performance
    • The entity clearly states any delivery and shipping charges incurred
    • The entity is committed to maintaining the confidentiality of customer data
    • The entity has a policy not to tamper with customers’ browsers or computers without obtaining prior permission
  • Communication
    • The entity has sufficient contact details and information on the website
  • Procedures
    • The entity has a system to document complaint cases and has a complaints resolution procedure
    • The entity informs customers of alternative forms of redress should the business be unable to resolve the complaint within the time frame
  • Monitoring
    • The entity monitors the system and takes action to maintain compliance with its defined policies

 

  • Kriteria

  • Polisi

    • Entiti itu didaftarkan dan dalam keadaan baik dengan Suruhanjaya Syarikat Malaysia di bawah Akta Pendaftaran Perniagaan 1956, Akta Syarikat 2016 atau Akta Perkongsian Liabiliti Terhad 2012
    • Entiti tersebut dengan jelas menyatakan terma dan syarat jualan
    • Entiti tersebut dengan jelas menyatakan terma dan syarat apa-apa jaminan untuk melindungi pelanggan daripada kecacatan produk dan tidak berfungsi
    • Entiti itu menyatakan dengan jelas apa-apa caj penghantaran dan penghantaran
    • Entiti itu komited untuk mengekalkan kerahsiaan data pelanggan
    • Entiti mempunyai dasar untuk tidak merosakkan pelayar atau komputer pelanggan tanpa mendapat kebenaran terlebih dahulu
  • Komunikasi
    • Entiti mempunyai maklumat dan maklumat hubungan yang mencukupi di laman web ini
  • Prosedur
    • Entiti ini mempunyai sistem untuk mendokumenkan kes aduan dan mempunyai prosedur penyelesaian aduan
    • Entiti itu memberitahu pelanggan tentang bentuk ganti rugi alternatif sekiranya perniagaan tidak dapat menyelesaikan aduan dalam jangka masa tersebut
  • Pemantauan
    • Entiti memantau sistem dan mengambil tindakan untuk menjaga pematuhan terhadap dasar yang ditetapkan

Online Trust Principles

Security Pillar

The Entity has put in place safeguards to protect the security of the system (both physical and logical) in line with the SSM BizTrust Security Pillar Criteria

Entiti telah membuat perlindungan untuk melindungi keselamatan sistem (baik fizikal dan logik) sejajar dengan Kriteria Tiang Keselamatan SSM BizTrust

  • Criteria

  • Policies
    • The entity’s security policies are established and periodically reviewed and approved by a designated individual or group
    • The entity’s security policies include, but may not be limited to, the following matters:
      1. Identifying and documenting the security requirements of authorised users
      2. Classifying data based on its criticality and sensitivity and that classification is used to define protection requirements, access rights and access restrictions, and retention and destruction requirements
      3. Assessing risks on a periodic basis
      4. Preventing unauthorised access
      5. Adding new users, modifying the access levels of existing users and removing users who no longer need access
      6. Assigning responsibility and accountability for system security
      7. Identifying and mitigating security breaches and other incidents
      8. Providing for the handling of exceptions and situations not specifically addressed in its system security policies
      9. Providing for the identification of and consistency with applicable laws and regulations, defined commitments, service-level agreements and other contractual requirements
    • Responsibility and accountability for developing and maintaining the entity’s system security policies, and changes and updates to those policies, are assigned
  • Communication
    • The entity has prepared an objective description of the system and its boundaries and communicated such description to authorised users
    • The security obligations of users and the entity’s security commitments to users are communicated to authorised users
    • Responsibility and accountability for the entity’s system security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them
    • The process for informing the entity about breaches of the system security and for submitting complaints is communicated to authorised users
    • Changes that may affect system security are communicated to management and users who will be affected

 

  • Procedures
    • Procedures exist to (1) identify potential threats of disruption to systems operation that would impair system security commitments and (2) assess the risks associated with the identified threats
    • Procedures exist to restrict logical access to the defined system
    • Procedures exist to restrict physical access to the defined system
    • Procedures exist to protect against unauthorised access to system resources
    • Procedures exist to protect against infection by computer viruses, malicious code, and unauthorised software
    • Procedures exist to identify, report and act upon system security breaches
  • Monitoring
    • The entity’s system security is periodically reviewed and compared with the defined system security policies

  • Kriteria

  • Polisi

    • Dasar keselamatan entiti ditubuhkan dan dikaji secara berkala dan diluluskan oleh individu atau kumpulan yang ditetapkan
    • Dasar keselamatan entiti termasuk, tetapi tidak terhad kepada perkara-perkara berikut:
      1. Mengenalpasti dan mendokumentasikan keperluan keselamatan pengguna yang dibenarkan
      2. Mengelaskan data berdasarkan kritikal dan kepekaannya dan klasifikasi itu digunakan untuk menentukan keperluan perlindungan, hak akses dan sekatan akses, dan keperluan pengekalan dan pemusnahan
      3. Menilai risiko secara berkala
      4. Mencegah akses tanpa izin
      5. Menambah pengguna baru, mengubah tahap akses pengguna sedia ada dan mengeluarkan pengguna yang tidak lagi memerlukan akses
      6. Menetapkan tanggungjawab dan akauntabiliti untuk keselamatan system
      7. Mengenalpasti dan mengatasi pelanggaran keselamatan dan insiden lain
      8. Menyediakan pengendalian pengecualian dan situasi yang tidak ditujukan khusus dalam dasar keselamatan sistemnya
      9. Memberi pengenalpastian dan konsistensi dengan undang-undang dan peraturan yang berkenaan, komitmen yang ditetapkan, perjanjian tahap perkhidmatan dan keperluan kontrak lain
    • Tanggungjawab dan akauntabiliti untuk membangun dan memelihara dasar keselamatan system entiti, dan perubahan dan pengemaskinian terhadap dasar-dasar tersebut diberikan.
  • Komunikasi
    • Entiti itu telah menyediakan gambaran objektif sistem dan sempadannya dan menyampaikan deskripsi tersebut kepada pengguna yang diberi kuasa
    • Kewajipan keselamatan pengguna dan komitmen keselamatan entiti kepada pengguna dikomunikasikan kepada pengguna yang diberi kuasa
    • Tanggungjawab dan akauntabiliti untuk polisi keselamatan sistem entiti dan perubahan dan kemas kini kepada polisi tersebut dikomunikasikan kepada kakitangan entiti yang bertanggungjawab untuk melaksanakannya
    • Proses untuk memaklumkan entiti mengenai pelanggaran keselamatan sistem dan untuk mengemukakan aduan disampaikan kepada pengguna yang diberi kuasa
    • Perubahan yang mungkin menjejaskan keselamatan sistem dikomunikasikan kepada pihak pengurusan dan pengguna yang akan terjejas
  • Procedures
    • Prosedur wujud untuk (1) mengenal pasti potensi ancaman gangguan kepada operasi sistem yang akan menjejaskan komitmen keselamatan sistem dan (2) menilai risiko yang berkaitan dengan ancaman yang dikenal pasti
    • Prosedur wujud untuk menyekat akses logik kepada sistem yang ditetapkan
    • Prosedur wujud untuk menyekat akses fizikal kepada sistem yang ditakrifkan
    • Prosedur wujud untuk melindungi daripada akses tanpa kebenaran kepada sumber sistem
    • Prosedur wujud untuk melindungi daripada jangkitan virus komputer, kod berniat jahat dan perisian tidak sah
    • Prosedur wujud untuk mengenal pasti, melaporkan dan bertindak atas pelanggaran keselamatan system
  • Pemantauan
    • Keamanan sistem entiti dikaji secara berkala dan dibandingkan dengan dasar keselamatan sistem yang ditakrifkan

Privacy Pillar

Personal information is collected, used, retained, disclosed and disposed of in conformity with the commitments in the Entity's Privacy Notice in line with the SSM BizTrust Privacy Pillar Criteria

 

Maklumat peribadi dikumpulkan, digunakan, dikekalkan, didedahkan dan dilupuskan dengan mematuhi komitmen dalam Notis Privasi Entiti selaras dengan Kriteria Pilar Privasi SSM BizTrust

  • Criteria

  • Policies
    • The entity defines and documents its privacy policies with respect to the following:
      1. Notice
      2. Choice and consent
      3. Collection
      4. Use, retention, and disposal
      5. Access
      6. Disclosure to third parties
      7. Security for privacy
      8. Quality
      9. Monitoring and enforcement
    • Responsibility and accountability are assigned to a person or group for developing, documenting, implementing, enforcing, monitoring, and updating the entity’s privacy policies. The names of such person or group and their responsibilities are communicated
  • Communication
    • The entity has published its Privacy Policy on their website
  • Procedures
    • Privacy policies and procedures, and changes thereto, are reviewed and approved by management
    • Policies and procedures are reviewed and compared to the requirements of applicable laws and regulations at least annually and whenever changes to such laws and regulations are made. Privacy policies and procedures are revised to conform to the requirements of applicable laws and regulations
  • Monitoring
    • The types of personal information and sensitive personal information and the related processes, systems, and third parties involved in the handling of such information are identified. Such information is covered by the entity’s privacy and related security policies and procedures
    • The entity monitors the system and takes action to maintain compliance with its defined policies

 

  • Kriteria

  • Polisi
    • Entiti mentakrifkan dan mendokumenkan dasar privasinya berkenaan dengan yang berikut:
      1. Notis
      2. Pilihan dan persetujuan
      3. Koleksi
      4. Penggunaan, pengekalan dan pelupusan
      5. Akses
      6. Pendedahan kepada pihak ketiga
      7. Keselamataan untuk privasi
      8. Kualiti
      9. Pemantauan dan penguatkuasaan
    • Tanggungjawab dan kebertanggungjawaban diberikan kepada seseorang atau kumpulan untuk membangun, mendokumentasikan, melaksanakan, menguatkuasakan, memantau, dan mengemas kini dasar privasi entiti. Nama orang atau kumpulan dan tanggungjawab mereka dikomunikasikan
  • Komunikasi
    • Entiti itu telah menerbitkan Dasar Privasinya di laman web mereka
  • Prosedur
    • Dasar dan prosedur privasi, dan perubahan kepadanya, dikaji semula dan diluluskan oleh pengurusan
    • Polisi dan prosedur dikaji semula dan dibandingkan dengan keperluan undang-undang dan peraturan yang berlaku sekurang-kurangnya setiap tahun dan apabila perubahan kepada undang-undang dan peraturan tersebut dibuat. Dasar dan prosedur privasi disemak untuk mematuhi keperluan undang-undang dan peraturan yang berkenaan
  • Pemantauan
    • Jenis maklumat peribadi dan maklumat peribadi yang sensitif dan proses, sistem, dan pihak berkaitan yang berkaitan dengan pengendalian maklumat tersebut telah dikenalpasti. Maklumat sedemikian dilindungi oleh privasi entiti dan dasar dan prosedur keselamatan berkaitan
    • Entiti memantau sistem dan mengambil tindakan untuk menjaga pematuhan terhadap dasar yang ditetapkan