Im Folgenden beschreibt die Sicherheitsstandards von Stintar in Bezug auf die für den Dienst anwendbaren administrativen, technischen und physischen Kontrollen. Akzeptierte Begriffe haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird, sofern dies nicht anders definiert ist.
1. Sicherheitsprogramm
1.1 Sicherheitsprogramm. Stintar wird ein risikobasiertes Information Sicherheitsprogramm implementieren und verwalten, das administrative, technische und organisatorische Schutzmaßnahmen umfasst, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen.
< p> 1.2 Sicherheitsorganisation. Stintar wird ein spezielles Sicherheitsteam haben, das für die Implementierung, Aufrechterhaltung, Überwachung und Durchsetzung von Sicherheitsvorschriften verantwortlich ist, die mit dem Informationssicherheitsmanagementsystem ausgerichtet sind.
2. Sicherheitsbewertungen, Zertifizierungen und Bescheinigungen
2.1 Sicherheitsprogrammüberwachung. Stintar führt regelmäßige Bewertungen durch, um sein Informationssicherheitsprogramm zu überwachen, um Risiken zu identifizieren und sicherzustellen, dass die Kontrollen effektiv durchgeführt werden, indem Penetrationstests, interne Audits und Risikobewertungen durchgeführt werden.
2.2 Penetrationstests. In Stintar wird ein qualifizierter Dritter einbeziehen, um Penetrationstests durch den Umfang der Dienste mindestens jährlich abzudecken. Stintar wird seinen Kunden eine Executive -Zusammenfassung des zuletzt abgeschlossenen Penetrationstests gemäß Abschnitt 2.5. Stintar muss ein Bug Bounty -Programm beibehalten, mit dem unabhängige Sicherheitsforscher sicherlich Sicherheitsbedrohungen und Schwachstellen laufend melden können. Identifizierte Ergebnisse müssen aufgrund von Risiken und rechtzeitig angesprochen und gemindert werden.
2.4 Sicherheitsartefakte. Stintar wird Kundensicherheitsartefakten zur Verfügung stellen, die die Einhaltung dieser Datensicherheitsstandards und die in Abschnitt 2.2 aufgeführten Frameworks demonstrieren. Artefakte umfassen ausgefüllte Fragebögen für Branchenstandards, eine Zusammenfassung der Ergebnisse des Penetrationstests und eine Zusammenfassung der Geschäftskontinuität und des Katastrophenwiederherstellungsplans. In dem Maße, in dem der Kunde die Einhaltung dieser Datensicherheitsstandards durch die Stintar mit den von Stintar bereitgestellten Informationen nicht vernünftigerweise bestätigen kann, kann der Kunde eine schriftliche Anfrage stellen, um eine Remote -Prüfung zu den Kosten des Kunden mit mindestens dreißig Tagen zu führen. Die schriftliche Anfrage muss die Bereiche angeben, die nicht über die Artefakte bestätigt werden können, die dem Kunden zur Verfügung gestellt werden. Das Audit muss während der Abonnementzeit durchgeführt werden, und das Zielfernrohr muss sich vor Beginn des Audits zwischen Kunden und Stintar gegenseitig vereinbart werden. Das Audit muss während der regulären Geschäftszeiten mit minimaler Störung des Geschäftsbetriebs von Stintar durchgeführt werden und treten nicht mehr als einmal jährlich auf.
3. Sicherheitsvorfallverwaltung
3.1 Sicherheitsüberwachung. STINTAR wird seine Informationssysteme überwachen, um unbefugten Zugriff, unerwartetes Verhalten, bestimmte Angriffssignaturen und andere Indikatoren für einen Sicherheitsvorfall zu identifizieren.
3.2 Vorfallreaktion. Stintar wird einen Sicherheitsvorfallantwortsplan beibehalten, der mindestens jährlich überprüft und getestet wird, um eine angemessene und konsistente Reaktion auf Sicherheitsvorfälle und mutmaßliche Sicherheitsvorfälle mit zufälliger oder rechtswidriger Zerstörung, Verlust, Diebstahl, Änderung, nicht autorisierter Offenlegung oder Zugang zu , Kundendaten übertragen, gespeichert oder auf andere Weise von Stintar verarbeitet. Stintar wird einen Sicherheitsvorfall sofort untersuchen, wenn er sich eines solchen Vorfalls bewusst wird. In dem nach geltenden Recht zulässigen Umfang wird in Stintar Kunden über einen Sicherheitsvorfall gemäß seinen Verpflichtungen im Rahmen des Datenverarbeitungsrückgangs informieren. Der Kunde ist dafür verantwortlich, dass der hier beschriebene Stintar aktualisierte Sicherheitskontaktinformationen in der Administratorkonsole bereitstellt. Sicherheitskontrollen
4.1 Zugriffskontrolle
4.1.1 Eingeschränkter Zugriff. Der Zugriff auf Kundendaten ist auf autorisierte Personal des Stintars beschränkt, die auf Kundendaten zugreifen müssen, um Funktionen im Rahmen der Erbringung von Diensten auszuführen. Der Zugang wird auf der Grundlage des Prinzips der geringsten Privilegien gewährt und der gewährte Zugang entspricht der Arbeitsplatzfunktion. Der Zugriff auf Kundendaten muss über eindeutige Benutzernamen und Passwörter erfolgen, und Multi-Factor-Authentifizierung muss aktiviert sein. Der Zugriff ist innerhalb eines Werktages nach der Beendigung eines Mitarbeiters deaktiviert.
4.1.2 Passwörter. Stintar führt eine Kennwortrichtlinie bei, die dem NIST 800-63B auswendig gelernten Kennwortanforderungen folgt. Stintar wird eine formelle Änderungsmanagementrichtlinie beibehalten, die sicherstellt, dass die Sicherheit im gesamten Lebenszyklus der Softwareentwicklung eingebettet ist, und berücksichtigt die OWASP -Top -10 -Risiken der Webanwendungen. Alle Änderungen an Code, die sich auf Kundendaten auswirken, werden überprüft und getestet, bevor sie zur Produktion eingesetzt werden. Stintar wird ein Schwachstellenmanagementprogramm beibehalten, das sicherstellt, dass identifizierte Schwachstellen basierend auf dem Risiko priorisiert, angesprochen und gemindert werden. Stintar wird wirtschaftlich angemessene Anstrengungen anwenden, um kritische Sicherheitslücken innerhalb von 30 Tagen anzugehen. Stintar muss sicherstellen, dass Bibliotheken und Komponenten von Drittanbietern angemessen verwaltet werden und dass Updates rechtzeitig installiert werden, wenn festgestellt wird
4.3 Verschlüsselung. Stintar verschlüsselt Kundendaten im Transit und in Ruhe mithilfe von Verschlüsselungsalgorithmen, die für den Übertragungsmechanismus geeignet sind (z. B. TLS 1.2, AES-256).
4.6 Gerätesicherheit. Stintar-Geräte, die auf Kundendaten zugreifen, müssen zentral verwaltet werden und die folgenden Sicherheitseinstellungen müssen aktiviert sein: Festplattenverschlüsselung, lokales Kennwort aktiviert und Antiviren- und/oder Anti-Malware-Software müssen installiert, kontinuierlich aktiviert und automatisch aktualisiert werden. < /p>
4.7 Physische Sicherheit. Stintar stellt sicher, dass alle physischen Standorte, die Kundendaten verarbeiten, speichern oder übertragen, in einer sicheren physischen Einrichtung befinden. Stintar muss auf mindestens jährliche Basis Sicherheitszertifizierungen von Drittanbietern (z.
4.8 Verkäuferrisikomanagement. Stintar muss ein formelles Anbieter-Risikomanagementprogramm beibehalten, mit dem alle Anbieter von Drittanbietern, die Zugriff auf Kundendaten haben, vor der Einführung einer Risikobewertung erhalten. Anbieter mit Zugriff auf Kundendaten müssen einen Anbieter -Datenverarbeitungsvertrag mit Stintar abschließen, um sicherzustellen, dass sie vertraglich verpflichtet sind, unsere Informationen zu schützen und die minimalen Informationssicherheit und die Datenschutzanforderungen zu erfüllen, einschließlich der Berichterstattung von Sicherheitsvorfällen und Verstößen.
4.9 Risikobewertung. Stintar wird ein Risikomanagementprogramm beibehalten, um Risiken zu identifizieren, zu überwachen und zu verwalten, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten auswirken können. Stintar bietet seinem Personal die Informationssicherheit und Datenschutzausbildung zum Einsatz und zumindest jährlich danach. Darüber hinaus müssen alle Mitarbeiter die Informationssicherheits- und Datenschutzrichtlinie von Stintar nach der Einstellung unterschreiben und bestätigen. Stintar führt die Überprüfung der Hintergrundüberprüfung von Mitarbeitern durch, die gemäß den relevanten Gesetzen, Vorschriften, ethischen Anforderungen und/oder lokalen Praktiken für Nicht-US-Gerichtsbarkeiten für jeden Einzelnen zumindest bei der ersten Einstellung Zugriff auf Kundendaten haben (sofern nicht gesetzlich verboten). . Die Überprüfungsstufe ist gemäß der Rolle des Mitarbeiters, der Sensibilität der Informationen, die im Verlauf der Rolle dieser Person, den Risiken, die sich aus dem Missbrauch der Informationen und der akzeptierten lokalen Praktiken in Nicht-US ergeben können, angemessen sein. Gerichtsbarkeiten. Die folgenden Überprüfungen werden für jede Person zumindest bei der Ersteinstellung durchgeführt, sofern dies nicht gesetzlich verboten ist oder mit den akzeptierten lokalen Praktiken für Nicht-US-Gerichtsbarkeiten unvereinbar ist: (i) Identitätsüberprüfung und (ii) Kriminalgeschichte.
< BR>
5. Aktualisierungen der Datensicherheitsstandards
Der Kunde bestätigt, dass Stintar die Datensicherheitsstandards von Zeit zu Zeit aktualisieren oder ändern kann, sofern solche Aktualisierungen und Änderungen die Gesamtsicherheit des Dienstes nicht abbauen oder verringern.