Berikut ini menjelaskan standar keamanan Stortar sehubungan dengan kontrol administratif, teknis, dan fisik yang berlaku untuk Layanan. Ketentuan yang dikapitalisasi akan memiliki makna yang ditugaskan kepada mereka dalam Perjanjian kecuali ditentukan lain di sini.
1. Program Keamanan
1.1 Program Keamanan. STORTAR akan mengimplementasikan dan memelihara program keamanan informasi berbasis risiko yang mencakup perlindungan administratif, teknis, dan organisasi yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan data pelanggan.
P> 1.2 Organisasi Keamanan. STORTAR akan memiliki tim keamanan khusus yang bertanggung jawab untuk menerapkan, memelihara, memantau, dan menegakkan perlindungan keamanan yang selaras dengan sistem manajemen keamanan informasi.
2. Penilaian Keamanan, Sertifikasi, dan Pengesahan
2.1 Pemantauan Program Keamanan. STORTAR melakukan penilaian periodik untuk memantau program keamanan informasi untuk mengidentifikasi risiko dan memastikan kontrol beroperasi secara efektif dengan melakukan tes penetrasi, audit internal, dan penilaian risiko.
2.2 Tes Penetrasi. STORTAR akan melibatkan pihak ketiga yang memenuhi syarat untuk melakukan tes penetrasi yang mencakup ruang lingkup layanan setidaknya setiap tahun. STORTAR akan menyediakan bagi pelanggannya ringkasan eksekutif dari uji penetrasi yang paling baru selesai sesuai dengan Bagian 2.5.
2.3 Program Bounty Bug. STORTAR harus mempertahankan program hadiah bug yang memungkinkan peneliti keamanan independen untuk melaporkan ancaman keamanan dan kerentanan secara berkelanjutan. Temuan yang diidentifikasi harus diatasi dan dikurangi berdasarkan risiko dan secara tepat waktu.
2.4 Artefak keamanan. STORTAR akan menyediakan artefak keamanan pelanggan yang menunjukkan kepatuhannya terhadap standar keamanan data ini dan kerangka kerja yang tercantum dalam Bagian 2.2. Artefak akan mencakup kuesioner standar industri yang sudah diisi, ringkasan eksekutif hasil tes penetrasi, dan ringkasan dari kesinambungan bisnis dan rencana pemulihan bencana.
2.5 audit pelanggan. Sejauh pelanggan tidak dapat secara wajar mengkonfirmasi kepatuhan Stortar dengan standar keamanan data ini dengan informasi yang diberikan oleh STORTAR, Pelanggan dapat membuat permintaan tertulis untuk melakukan audit jarak jauh dengan biaya pelanggan dengan pemberitahuan setidaknya tiga puluh hari. Permintaan tertulis harus menentukan area yang tidak dapat dikonfirmasi melalui artefak yang disediakan untuk pelanggan. Audit harus dilakukan selama jangka waktu berlangganan dan ruang lingkup harus disepakati bersama antara pelanggan dan section sebelum dimulainya audit. Audit harus dilakukan selama jam kerja reguler dengan gangguan minimal pada operasi bisnis STORTAR dan akan terjadi tidak lebih dari sekali setiap tahun.
3. Manajemen Insiden Keamanan
3.1 Pemantauan Keamanan. STORTAR akan memantau sistem informasinya untuk mengidentifikasi akses yang tidak sah, perilaku tak terduga, tanda tangan serangan tertentu, dan indikator lain dari insiden keamanan.
3,2 Respons insiden. Storyar akan mempertahankan rencana respons insiden keamanan yang ditinjau dan diuji setidaknya setiap tahun untuk menetapkan respons yang masuk akal dan konsisten terhadap insiden keamanan dan dugaan insiden keamanan yang melibatkan penghancuran, kehilangan, pencurian, perubahan, pengungkapan yang tidak sah atau tidak sah , Data pelanggan yang dikirimkan, disimpan, atau diproses oleh STORTAR.
3.3 Pemberitahuan Insiden. STORTAR akan segera menyelidiki insiden keamanan setelah mengetahui insiden semacam itu. Sejauh diizinkan oleh hukum yang berlaku, STORTAR akan memberi tahu pelanggan tentang insiden keamanan sesuai dengan kewajibannya berdasarkan addendum pemrosesan data. Pelanggan bertanggung jawab untuk memberikan informasi kontak keamanan yang diperbarui pada konsol admin seperti yang dijelaskan di sini.
4. Kontrol Keamanan
4.1 Kontrol Akses
4.1.1 Akses terbatas. Akses ke data pelanggan dibatasi untuk personel Story yang resmi yang diharuskan mengakses data pelanggan untuk melakukan fungsi sebagai bagian dari pengiriman layanan. Access diberikan berdasarkan prinsip hak istimewa dan akses yang diberikan sepadan dengan fungsi pekerjaan. Akses ke data pelanggan harus melalui nama pengguna dan kata sandi yang unik dan otentikasi multi-faktor harus diaktifkan. Akses dinonaktifkan dalam satu hari kerja setelah penghentian karyawan.
4.1.2 Kata sandi. STORTAR akan mempertahankan kebijakan kata sandi yang mengikuti persyaratan kata sandi rahasia yang dihafal NIST 800-63B.
4.2 Keamanan Aplikasi
4.2.1 SDLC. STORTAR akan mempertahankan kebijakan manajemen perubahan formal yang memastikan keamanan tertanam di seluruh siklus pengembangan perangkat lunak dan memperhitungkan risiko keamanan aplikasi Web Top 10 OWASP.
4.2.2 Tinjauan dan Pengujian Kode. Semua perubahan pada kode yang berdampak pada data pelanggan akan ditinjau dan diuji sebelum digunakan untuk produksi.
4.2.3 Manajemen Kerentanan. STORTAR akan mempertahankan program manajemen kerentanan yang memastikan kerentanan yang diidentifikasi diprioritaskan, ditangani, dan dimitigasi berdasarkan risiko. STORTAR akan menggunakan upaya yang wajar secara komersial untuk mengatasi kerentanan kritis dalam waktu 30 hari.
4.2.4 Ketergantungan perangkat lunak pihak ketiga. STORTAR harus memastikan bahwa pustaka dan komponen pihak ketiga dikelola dengan tepat dan bahwa pembaruan diinstal tepat waktu ketika ditentukan bahwa ada potensi untuk mempengaruhi postur keamanan produk kami.
4.3 enkripsi. STORTAR akan mengenkripsi data pelanggan dalam transit dan istirahat menggunakan algoritma enkripsi standar industri yang sesuai untuk mekanisme transfer (mis. TLS 1.2, AES-256).
> 4.4 Ketersediaan dan Pemulihan Bencana. STORTAR akan menerapkan dan memelihara serangkaian kebijakan dan prosedur pemulihan bencana yang terdokumentasi untuk memungkinkan pemulihan atau kelanjutan infrastruktur dan sistem teknologi vital setelah bencana. Selain itu, STORTAR akan melakukan tes tahunan dari rencana pemulihan bencana dan akan menyediakan ringkasan hasil kepada pelanggannya.
4,5 cadangan. STORTAR akan melakukan cadangan data pelanggan secara teratur dan memastikan bahwa cadangan memiliki perlindungan yang sama dengan database produksi.
4.6 Keamanan Perangkat. Perangkat STORTAR yang mengakses data pelanggan harus dikelola secara terpusat dan pengaturan keamanan berikut harus diaktifkan: enkripsi hard drive, kata sandi lokal yang diaktifkan, dan perangkat lunak anti-virus dan/atau anti-malware harus diinstal, terus diaktifkan, dan secara otomatis diperbarui. < /p>
4.7 keamanan fisik. STORTAR akan memastikan bahwa semua lokasi fisik yang memproses, menyimpan, atau mengirimkan data pelanggan terletak di fasilitas fisik yang aman. STORTAR HARUS meninjau sertifikasi keamanan pihak ketiga (mis. SOC 2 tipe 2) dari penyedia hosting cloud pihak ketiga setidaknya setiap tahun untuk memastikan bahwa kontrol keamanan fisik yang tepat ada.
4.8 Manajemen Risiko Vendor. STORTAR harus mempertahankan program manajemen risiko vendor formal yang memastikan semua vendor pihak ketiga yang memiliki akses ke data pelanggan menjalani penilaian risiko sebelum berada di atas kapal. Vendor dengan akses ke data pelanggan harus masuk ke dalam perjanjian pemrosesan data vendor dengan STORTAR untuk memastikan bahwa mereka secara kontrak diharuskan untuk melindungi informasi kami dan memenuhi persyaratan keamanan informasi dan privasi minimum, termasuk pelaporan insiden keamanan dan pelanggaran.
>
4.9 Penilaian Risiko. STORTAR akan mempertahankan program manajemen risiko untuk mengidentifikasi, memantau, dan mengelola risiko yang dapat memengaruhi kerahasiaan, integritas, dan ketersediaan data pelanggan.
4.10 Pelatihan keamanan. STORTAR akan memberi personelnya dengan keamanan informasi dan pelatihan privasi setelah disewa dan setidaknya secara tahunan sesudahnya. Selain itu, semua karyawan diharuskan untuk menandatangani dan mengakui kebijakan keamanan dan perlindungan informasi Stintar setelah disewa.
4.11 Keamanan personel. STORTAR akan melakukan pemeriksaan verifikasi latar belakang pada karyawan yang memiliki akses ke data pelanggan sesuai dengan undang-undang yang relevan, peraturan, persyaratan etika, dan/atau praktik lokal yang diterima untuk yurisdiksi non-AS untuk setiap individu setidaknya pada perekrutan awal (kecuali dilarang oleh hukum) . Tingkat verifikasi harus sesuai sesuai dengan peran karyawan, sensitivitas informasi yang akan diakses dalam perjalanan peran orang tersebut, risiko yang mungkin timbul dari penyalahgunaan informasi dan praktik lokal yang diterima dalam non-AS yurisdiksi. Cek berikut harus dilakukan untuk setiap individu setidaknya pada saat perekrutan awal kecuali dilarang oleh hukum atau tidak konsisten dengan praktik lokal yang diterima untuk yurisdiksi non-AS: (i) verifikasi identitas dan (ii) sejarah kriminal.
Br>
5. Pembaruan Standar Keamanan Data
Pelanggan mengakui bahwa STORTAR dapat memperbarui atau memodifikasi standar keamanan data dari waktu ke waktu, dengan ketentuan bahwa pembaruan dan modifikasi tersebut tidak menurunkan atau mengurangi keamanan keseluruhan layanan.