Následující popisuje bezpečnostní standardy Stintar s ohledem na administrativní, technické a fyzické kontroly použitelné pro tuto službu. Kapitalizované podmínky musí mít význam přiřazený v dohodě, pokud není zde definováno jinak.
1. Bezpečnostní program
1.1 Zabezpečení. Stintar bude implementovat a udržovat program zabezpečení informací založený na rizicích, který zahrnuje administrativní, technické a organizační záruky určené k ochraně důvěrnosti, integrity a dostupnosti údajů o zákaznících.
<
1.2 Bezpečnostní organizace. Stintar bude mít specializovaný bezpečnostní tým odpovědný za implementaci, údržbu, monitorování a prosazování bezpečnostních záruk v souladu se systémem správy zabezpečení informací.
2. Hodnocení zabezpečení, certifikace a atestace
2.1 Sledování bezpečnostních programů. Stintar provádí pravidelná hodnocení, aby monitorovala svůj program zabezpečení informací, aby identifikovala rizika a zajistila, aby ovládací prvky fungovaly efektivně prováděním penetračních testů, interních auditů a hodnocení rizik.
2,2 testy penetrace. Stintar zapojí kvalifikovanou třetí stranu k provedení penetračních testů pokrývajících rozsah služeb alespoň ročně. Stintar zpřístupní svým zákazníkům shrnutí shrnutí naposledy dokončeného testu penetrace podle oddílu 2.5.
2.3 Bug Bounty Program. Stintar musí udržovat program Bug Bounty, který umožňuje nezávislým vědcům zabezpečení průběžně hlásit bezpečnostní hrozby a zranitelnosti. Identifikovaná zjištění musí být řešena a zmírněna na základě rizika a včas. Stintar zpřístupní artefakty pro zabezpečení zákazníků, které prokazují její dodržování těchto standardů zabezpečení dat a rámcemi uvedenými v části 2.2. Artefakty budou zahrnovat vyplněné dotazníky pro standardy průmyslu, shrnutí výsledků penetračních testů a shrnutí plánu kontinuity podniku a obnovy katastrof.
2,5 zákazníků. Pokud zákazník nemůže přiměřeně potvrdit soulad s těmito standardy zabezpečení dat s informacemi poskytnutými Stintarem, může zákazník podávat písemnou žádost o provedení vzdáleného auditu za náklady zákazníka s nejméně třicetidenní oznámením. Písemná žádost musí specifikovat oblasti, které nelze potvrdit prostřednictvím artefaktů poskytnutých zákazníkovi. Audit musí být proveden během předplatného období a rozsah musí být vzájemně dohodnut mezi zákazníkem a stintarem před zahájením auditu. Audit musí být proveden během běžné pracovní doby s minimálním narušením obchodních operací Stintar a nedochází k více než jednou ročně.
3. Správa incidentů zabezpečení
3.1 Monitorování zabezpečení. Stintar bude monitorovat své informační systémy, aby identifikoval neoprávněný přístup, neočekávané chování, určité podpisy útoku a další ukazatele bezpečnostního incidentu.
3.2 Reakce incidentu. Stintar bude udržovat plán reakce na bezpečnostní incident, který je přezkoumán a testován alespoň každoročně, aby vytvořil přiměřenou a konzistentní reakci na bezpečnostní incidenty a podezření na bezpečnostní incidenty týkající se náhodného nebo protiprávního ničení, ztráty, krádeže, změny, neoprávněného zveřejnění nebo přístupu k němu , Zákaznická data přenášená, uložená nebo jinak zpracovaná stintarským.
3.3 Oznámení o incidentu. Stintar neprodleně prozkoumá bezpečnostní incident, když si uvědomí takový incident. V rozsahu povoleném platným právem Stintar oznámí zákazníkům bezpečnostní incident v souladu s jeho povinnostmi v rámci dodatku pro zpracování údajů. Zákazník je zodpovědný za poskytnutí aktualizovaných kontaktních údajů zabezpečení v administrátorské konzole, jak je popsáno zde.
4. Ovládací prvky zabezpečení
4.1 Řízení přístupu
4.1.1 Omezený přístup. Přístup k údajům o zákaznících je omezen na autorizovaný stintarský personál, kteří jsou povinni získat přístup ke zákazníkům k provádění funkcí v rámci poskytování služeb. Přístup je poskytován na základě zásady poskytnutého nejmenšího privilegia a přístupu je úměrný pracovní funkce. Přístup k zákaznickým datům musí být prostřednictvím jedinečných uživatelských jmen a hesel a musí být povolena vícefaktorová ověřování. Přístup je deaktivován do jednoho pracovního dne po ukončení zaměstnance.
4.1.2 hesla. Stintar bude udržovat zásadu hesla, která se řídí požadavky NIST 800-63B zapamatované tajné heslo. Stintar bude udržovat politiku správy formálních změn, která zajistí, že zabezpečení je zabudováno do celého životního cyklu vývoje softwaru a zohledňuje rizika bezpečnosti webových aplikací OWASP.
4.2.2 Kodex a testování. Všechny změny kódu, které ovlivňují údaje o zákaznících, budou přezkoumány a testovány před nasazením do výroby.
4.2.3 Správa zranitelnosti. Stintar bude udržovat program řízení zranitelnosti, který zajistí, že identifikované zranitelnosti budou upřednostňovány, řešeny a zmírněny na základě rizika. Stintar bude vynakládat komerčně přiměřené úsilí k řešení kritických zranitelnosti do 30 dnů. Stintar musí zajistit, aby knihovny a komponenty třetích stran byly náležitě spravovány a že aktualizace jsou včas nainstalovány, pokud je zjištěno, že existuje potenciál ovlivnit bezpečnostní držení těla našeho produktu.
4.3 Šifrování. Stintar bude šifrovat zákaznická data v tranzitu a v klidu pomocí průmyslových standardních šifrovacích algoritmů, které jsou vhodné pro mechanismus přenosu (např. TLS 1.2, AES-256). > 4.4 Dostupnost a zotavení po katastrofě. Stintar bude implementovat a udržovat zdokumentovaný soubor zásad a postupů obnovy po katastrofě, aby umožnil obnovení nebo pokračování životně důležité technologické infrastruktury a systémů po katastrofě. Kromě toho Stintar provede každoroční testy svého plánu obnovy po katastrofě a zpřístupní jejich zákazníkům shrnutí výsledků.
4,5 zálohování. Stintar bude provádět pravidelné zálohování zákaznických dat a zajistí, aby zálohy měly stejnou ochranu jako produkční databáze.
4.6 Zabezpečení zařízení. Stintarská zařízení, která mají přístup ke zákazníkům, musí být spravována centrálně a musí být povolena následující nastavení zabezpečení: Šifrování pevného disku, povoleno lokálního hesla a antivirové a/nebo anti-malwarové software musí být nainstalován, nepřetržitě povolen a automaticky aktualizován. /P>
4,7 Fyzické zabezpečení. Stintar zajistí, aby všechna fyzická místa, která zpracovávají, ukládají nebo přenášejí zákaznická data, jsou umístěny v bezpečném fyzickém zařízení. Stintar musí přezkoumat bezpečnostní certifikace třetích stran (např. SOC 2 typu 2) svých poskytovatelů hostingu cloudu třetích stran alespoň ročně, aby se zajistilo, že budou zavedeny vhodné kontroly fyzického zabezpečení.
4.8 Řízení rizik dodavatele. Stintar musí udržovat formální program řízení rizik prodavatele, který zajišťuje, že všichni prodejci třetích stran, kteří mají přístup k zákaznickým údajům, podstoupí posouzení rizik před nastoupením na palubu. Prodejci s přístupem k údajům o zákaznících musí uzavřít dohodu o zpracování dat dodavatele se Stintarem, aby se zajistilo, že jsou smluvně povinni chránit naše informace a splnit minimální bezpečnostní bezpečnostní a ochranu osobních údajů, včetně podávání zpráv o bezpečnostních incidentech a porušení. >
4.9 Posouzení rizika. Stintar bude udržovat program řízení rizik pro identifikaci, sledování a řízení rizik, která mohou mít dopad na důvěrnost, integritu a dostupnost zákaznických dat. Stintar poskytne svému personálu informační zabezpečení a školení o ochraně osobních údajů po pronájmu a poté alespoň na ročním základě. Kromě toho jsou všichni zaměstnanci povinni podepsat a potvrdit politiku zabezpečení informací a ochranu údajů Stintar po pronájmu.
4.11 Personální zabezpečení. Stintar provedou kontroly ověření na pozadí zaměstnanců, kteří mají přístup k údajům o zákaznících v souladu s příslušnými zákony, předpisy, etickými požadavky a/nebo přijatými místními praktikami pro jurisdikce mimo USA pro každého jednotlivce alespoň při počátečním pronájmu (pokud není zákonem zakázáno)) . Úroveň ověřování je vhodná podle úlohy zaměstnance, citlivosti informací, ke kterému mají být přístupní v průběhu role dané osoby, rizika, která mohou nastat ze zneužití informací, a přijímaných místních praktik u ne USA jurisdikce. Následující kontroly se provádí pro každého jednotlivce alespoň po počátečním pronájmu, pokud není zákon zakázán nebo v souladu s přijatými místními praktikami pro jurisdikce mimo USA: (i) ověření identity a (ii) trestní historie.
<
< Br>
5. Aktualizace standardů zabezpečení dat
Zákazník potvrzuje, že Stintar může čas od času aktualizovat nebo upravovat standardy zabezpečení dat, za předpokladu, že takové aktualizace a úpravy nesnižují ani nesnižují celkovou zabezpečení služby.