Lo siguiente describe los estándares de seguridad del estintar con respecto a los controles administrativos, técnicos y físicos aplicables al servicio. Los términos en mayúscula tendrán el significado que se les asignarán en el acuerdo a menos que se define lo contrario.
1. Programa de seguridad
1.1 Programa de seguridad. Stintar implementará y mantendrá un programa de seguridad de la información basado en el riesgo que incluye salvaguardas administrativas, técnicas y organizativas diseñadas para proteger la confidencialidad, la integridad y la disponibilidad de los datos del cliente.
<
<
< P> 1.2 Organización de seguridad. Stintar tendrá un equipo de seguridad dedicado responsable de implementar, mantener, monitorear y aplicar salvaguardas de seguridad alineadas con el sistema de gestión de seguridad de la información.
2. Evaluaciones, certificaciones y certificaciones de seguridad
2.1 Monitoreo del programa de seguridad. Stintar realiza evaluaciones periódicas para monitorear su programa de seguridad de la información para identificar riesgos y garantizar que los controles funcionen de manera efectiva mediante la realización de pruebas de penetración, auditorías internas y evaluaciones de riesgos.
2.2 Pruebas de penetración. Stintar involucrará a un tercero calificado para realizar pruebas de penetración que cubren el alcance de los servicios al menos anualmente. Stintar pondrá a disposición de sus clientes un resumen ejecutivo de la prueba de penetración completada más recientemente de conformidad con la Sección 2.5.
2.3 Programa de recompensa de errores. Estintar debe mantener un programa de recompensa de errores que permita a los investigadores de seguridad independientes informar amenazas de seguridad y vulnerabilidades de manera continua. Los hallazgos identificados deben abordarse y mitigarse según el riesgo y de manera oportuna.
2.4 Artifactos de seguridad. Stintar pondrá a disposición de los artefactos de seguridad del cliente que demuestren su cumplimiento de estos estándares de seguridad de datos y los marcos enumerados en la Sección 2.2. Los artefactos incluirán cuestionarios estándar de la industria completos, un resumen ejecutivo de los resultados de las pruebas de penetración y un resumen del plan de continuidad empresarial y recuperación de desastres.
2.5 auditorías de clientes. En la medida en que el Cliente no pueda confirmar razonablemente el cumplimiento del Estintar con estos estándares de seguridad de datos con la información proporcionada por Stintar, el Cliente puede hacer una solicitud por escrito para realizar una auditoría remota a costo del Cliente con al menos treinta días de aviso. La solicitud por escrito debe especificar las áreas que no se pueden confirmar a través de los artefactos disponibles para el cliente. La auditoría debe realizarse durante el término de suscripción y el alcance debe acordarse mutuamente entre el cliente y el estintar antes del comienzo de la auditoría. La auditoría debe llevarse a cabo durante el horario comercial regular con una interrupción mínima a las operaciones comerciales del Estintar y no ocurrirá más de una vez.
3. Gestión de incidentes de seguridad
3.1 Monitoreo de seguridad. Stintar monitoreará sus sistemas de información para identificar el acceso no autorizado, el comportamiento inesperado, ciertas firmas de ataque y otros indicadores de un incidente de seguridad.
3.2 Respuesta a incidentes. Stintar mantendrá un plan de respuesta a incidentes de seguridad que se revisa y se prueba al menos anualmente para establecer una respuesta razonable y consistente a los incidentes de seguridad e incidentes de seguridad sospechosos que implican la destrucción, pérdida, robo, alteración, alteración, o el acceso accidentales o ilegales. , Datos del cliente transmitidos, almacenados o procesados de otra manera por Estintar.
3.3 Notificación incidente. Stintar investigará rápidamente un incidente de seguridad al darse cuenta de dicho incidente. En la medida permitida por la ley aplicable, Stintar notificará a los clientes un incidente de seguridad de acuerdo con sus obligaciones bajo el anexo de procesamiento de datos. El Cliente es responsable de proporcionar al Estintar información de contacto de seguridad actualizada en la consola de administración como se describe aquí.
4. Controles de seguridad
4.1 Control de acceso
4.1.1 Acceso restringido. El acceso a los datos del cliente está restringido al personal estintario autorizado que debe acceder a los datos del cliente para realizar funciones como parte de la prestación de servicios. El acceso se otorga en función del principio de menor privilegio y acceso otorgado es acorde con la función laboral. El acceso a los datos del cliente debe ser a través de nombres de usuario y contraseñas únicos y la autenticación de múltiples factores debe estar habilitada. El acceso se deshabilita dentro de un día hábil después de la terminación de un empleado.
4.1.2 contraseñas. Stintar mantendrá una política de contraseña que sigue a los requisitos de contraseña secretos de NIST 800-63b memorizados.
4.2 Seguridad de la aplicación
4.2.1 SDLC. Stintar mantendrá una política formal de gestión de cambios que garantiza que la seguridad esté integrada en todo el ciclo de vida del desarrollo de software y tenga en cuenta los 10 principales riesgos de seguridad de aplicaciones web de OWASP.
4.2.2 Revisión y prueba del código. Todos los cambios en el código que impactan los datos del cliente serán revisados y probados antes de ser implementados en la producción.
4.2.3 Gestión de vulnerabilidad. Stintar mantendrá un programa de gestión de vulnerabilidad que garantiza que las vulnerabilidades identificadas se prioricen, aborden y mitigen según el riesgo. Stintar utilizará esfuerzos comercialmente razonables para abordar vulnerabilidades críticas dentro de los 30 días.
4.2.4 Dependencias de software de terceros. Estintar debe asegurarse de que las bibliotecas y componentes de terceros se administren adecuadamente y que las actualizaciones se instalen de manera oportuna cuando se determina que existe el potencial de afectar la postura de seguridad de nuestro producto.
4.3 Cifrado. Estintar encriptará los datos de los clientes en tránsito y en reposo utilizando algoritmos de cifrado estándar de la industria que son apropiados para el mecanismo de transferencia (por ejemplo, TLS 1.2, AES-256).
4.4 Disponibilidad y recuperación de desastres. Estintar implementará y mantendrá un conjunto documentado de políticas y procedimientos de recuperación de desastres para permitir la recuperación o continuación de la infraestructura y los sistemas de tecnología vital después de un desastre. Además, Stintar realizará pruebas anuales de su plan de recuperación de desastres y pondrá a disposición un resumen de los resultados a sus clientes.
4.5 copias de seguridad. Stintar realizará copias de seguridad regulares de datos de clientes y se asegurará de que las copias de seguridad tengan las mismas protecciones en su lugar que las bases de datos de producción.
4.6 Seguridad del dispositivo. Los dispositivos estintados a los que acceden los datos del cliente deben administrarse centralmente y la siguiente configuración de seguridad debe estar habilitada: cifrado de disco duro, contraseña local habilitada y software antivirus y/o anti-malware debe instalarse, habilitarse continuamente y actualizarse automáticamente << /P>
4.7 Seguridad física. Estintar se asegurará de que todas las ubicaciones físicas que procesen, almacenen o transmita los datos del cliente se encuentren en una instalación física segura. El estintario debe revisar las certificaciones de seguridad de terceros (por ejemplo, SoC 2 Tipo 2) de sus proveedores de alojamiento de nubes de terceros al menos anual para garantizar que existan controles de seguridad físicos apropiados.
4.8 Gestión de riesgos del proveedor. Estintar debe mantener un programa formal de gestión de riesgos de proveedores que garantice que todos los proveedores de terceros que tengan acceso a los datos del cliente se sometan a una evaluación de riesgos antes de estar a bordo. Los proveedores con acceso a los datos del cliente deben celebrarse en un acuerdo de procesamiento de datos de proveedores con Stintar para garantizar que se requieran contractualmente para proteger nuestra información y cumplir con los requisitos mínimos de seguridad y privacidad de la información, incluidos los informes de incidentes de seguridad e infracciones.
4.9 Evaluación de riesgos. Stintar mantendrá un programa de gestión de riesgos para identificar, monitorear y administrar riesgos que puedan afectar la confidencialidad, la integridad y la disponibilidad de los datos del cliente.
4.10 Capacitación de seguridad. Stintar proporcionará a su personal la seguridad de la información y la capacitación de privacidad al alquiler y al menos anual a partir de entonces. Además, todos los empleados deben firmar y reconocer la política de seguridad de la información y protección de datos de Stintar al contratar.
4.11 Seguridad del personal. Stintar realizará verificaciones de verificación de antecedentes sobre los empleados que tienen acceso a los datos del cliente de acuerdo con las leyes relevantes, reglamentos, requisitos éticos y/o prácticas locales aceptadas para jurisdicciones no estadounidenses para cada individuo al menos al alquiler inicial (a menos que la ley lo prohíba) . El nivel de verificación será apropiado de acuerdo con el papel del empleado, la sensibilidad de la información a acceder en el curso del papel de esa persona, los riesgos que pueden surgir del mal uso de la información y las prácticas locales aceptadas en no Estados Unidos. jurisdicciones. Las siguientes comprobaciones se realizarán para cada individuo al menos al alquiler inicial a menos que la ley o sea inconsistente con las prácticas locales aceptadas para las jurisdicciones no estadounidenses: (i) Verificación de identidad y (ii) Historia penal.
<
< Br>
5. Actualizaciones de los estándares de seguridad de datos
El cliente reconoce que el estintario puede actualizar o modificar los estándares de seguridad de datos de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden ni disminuyan la seguridad general del servicio.