Di seguito descrive gli standard di sicurezza di Stintar rispetto ai controlli amministrativi, tecnici e fisici applicabili al servizio. I termini capitalizzati avranno il significato loro assegnato nell'accordo se non diversamente definito nel presente documento.
1. Programma di sicurezza
1.1 Programma di sicurezza. Stintar implementerà e manterrà un programma di sicurezza delle informazioni basato sul rischio che includa garanzie amministrative, tecniche e organizzative progettate per proteggere la riservatezza, l'integrità e la disponibilità dei dati dei clienti. P> 1.2 Organizzazione per la sicurezza. Stintar avrà un team di sicurezza dedicato responsabile dell'implementazione, della manutenzione, del monitoraggio e dell'applicazione delle garanzie di sicurezza in linea con il sistema di gestione della sicurezza delle informazioni.
2. Valutazioni di sicurezza, certificazioni e attestazioni
2.1 Monitoraggio del programma di sicurezza. Lo stintar esegue valutazioni periodiche per monitorare il suo programma di sicurezza delle informazioni per identificare i rischi e garantire che i controlli siano in modo efficace eseguendo test di penetrazione, audit interni e valutazioni del rischio.
2.2 Test di penetrazione. Stintar coinvolgerà una terza parte qualificata per eseguire test di penetrazione che coprono l'ambito dei servizi almeno ogni anno. Stintar metterà a disposizione ai propri clienti un riepilogo esecutivo del test di penetrazione più recentemente completato ai sensi della Sezione 2.5.
2.3 Programma di bounty di bug. Lo stintar deve mantenere un programma di bounty di bug che consente ai ricercatori di sicurezza indipendenti di segnalare minacce e vulnerabilità della sicurezza su base continuativa. I risultati identificati devono essere affrontati e mitigati in base al rischio e in modo tempestivo.
2.4 artefatti di sicurezza. Stintar metterà a disposizione per i manufatti della sicurezza dei clienti che dimostrano la sua conformità a questi standard di sicurezza dei dati e ai quadri elencati nella Sezione 2.2. Gli artefatti includeranno questionari standard del settore completati, un riepilogo esecutivo dei risultati dei test di penetrazione e un riepilogo del piano di continuità di continuità aziendale e di emergenza.
2,5 audit dei clienti. Nella misura in cui il cliente non può ragionevolmente confermare la conformità di Stintar a questi standard di sicurezza dei dati con le informazioni fornite da Stintar, il cliente può fare una richiesta scritta di condurre un audit remoto ai costi del cliente con almeno trenta giorni di preavviso. La richiesta scritta deve specificare le aree che non possono essere confermate attraverso i manufatti messi a disposizione del cliente. L'audit deve essere condotto durante il periodo di abbonamento e l'ambito deve essere reciprocamente concordato tra cliente e stintar prima dell'inizio dell'audit. L'audit deve essere effettuato durante le normali ore lavorative con interruzioni minime alle operazioni commerciali di Stintar e non si verificherà più di una volta all'anno.
3. Gestione degli incidenti di sicurezza
3.1 Monitoraggio della sicurezza. Stintar monitorerà i suoi sistemi di informazione per identificare l'accesso non autorizzato, il comportamento inaspettato, alcune firme di attacco e altri indicatori di un incidente di sicurezza.
3.2 Risposta incidente. Stintar manterrà un piano di risposta agli incidenti di sicurezza che viene rivisto e testato almeno ogni anno per stabilire una risposta ragionevole e coerente a incidenti di sicurezza e sospetti incidenti di sicurezza che coinvolgono la distruzione accidentale o illegale, la perdita, il furto, l'alterazione, la divulgazione non autorizzata o l'accesso , Dati dei clienti trasmessi, archiviati o altrimenti elaborati da Stintar.
3.3 Notifica incidente. Stintar indagherà prontamente su un incidente di sicurezza dopo essere stato consapevole di tale incidente. Nella misura consentita dalla legge applicabile, Stintar notificherà ai clienti un incidente di sicurezza in conformità con i propri obblighi ai sensi dell'addendum di elaborazione dei dati. Il cliente è responsabile della fornitura di Stintar informazioni di contatto di sicurezza aggiornate nella console di amministrazione come descritto qui.
4. Controlli di sicurezza
4.1 Controllo degli accessi
4.1.1 Accesso limitato. L'accesso ai dati dei clienti è limitato al personale a stintar autorizzato che è tenuto ad accedere ai dati dei clienti per svolgere funzioni come parte della consegna dei servizi. L'accesso è concesso in base al principio del minimo privilegio e l'accesso concesso è commisurato alla funzione lavorativa. L'accesso ai dati dei clienti deve essere attraverso nomi utente e password univoci e l'autenticazione a più fattori deve essere abilitata. L'accesso è disabilitato entro un giorno lavorativo dopo la risoluzione di un dipendente.
4.1.2 password. Stintar manterrà una politica di password che segue i requisiti di password segreti memorizzati NIST 800-63B.
4.2 Sicurezza dell'applicazione
4.2.1 SDLC. Stintar manterrà una politica di gestione formale delle modifiche che garantisce che la sicurezza sia incorporata durante il ciclo di vita dello sviluppo del software e tenga conto dei 10 principali rischi per la sicurezza delle applicazioni Web OWASP. Tutte le modifiche al codice che incidono sui dati dei clienti verranno riviste e testate prima di essere distribuite in produzione.
4.2.3 Gestione della vulnerabilità. Stintar manterrà un programma di gestione delle vulnerabilità che garantisce che le vulnerabilità identificate siano prioritarie, affrontate e mitigate in base al rischio. Stintar farà sforzi commercialmente ragionevoli per affrontare le vulnerabilità critiche entro 30 giorni.
4.2.4 Dipendenze software di terze parti. Lo stintar deve garantire che le librerie e i componenti di terze parti siano gestiti in modo appropriato e che gli aggiornamenti siano installati in modo tempestivo quando è determinato che esiste un potenziale per influire sulla postura di sicurezza del nostro prodotto.
4.3 Crittografia. Stintar crittograferà i dati dei clienti in transito e a riposo utilizzando algoritmi di crittografia standard standard appropriati per il meccanismo di trasferimento (ad esempio TLS 1.2, AES-256).
4.4 Disponibilità e ripristino di emergenza. Stintar implementerà e manterrà una serie documentata di politiche e procedure di recupero in disastro per consentire il recupero o la continuazione di infrastrutture e sistemi tecnologici vitali a seguito di un disastro. Inoltre, Stintar eseguirà test annuali del suo piano di ripristino di emergenza e renderà disponibile un riepilogo dei risultati ai suoi clienti.
4.5 backup. Stintar eseguirà backup regolari dei dati dei clienti e garantirà che i backup abbiano le stesse protezioni in atto dei database di produzione.
4.6 Sicurezza del dispositivo. I dispositivi stintar che accedono ai dati dei clienti devono essere gestiti centralmente e le seguenti impostazioni di sicurezza devono essere abilitate: crittografia del disco rigido, password locale abilitata e software antivirus e/o anti-malware devono essere installati, abilitati continuamente e automaticamente aggiornati. < /p>
4.7 Sicurezza fisica. Lo stintar garantirà che tutte le posizioni fisiche che elaborano, archiviano o trasmettono i dati dei clienti si trovano in una struttura fisica sicura. Lo stintar deve rivedere le certificazioni di sicurezza di terze parti (ad es. SOC 2 di tipo 2) dei suoi fornitori di hosting cloud di terze parti su almeno una base annuale per garantire che siano in atto adeguati controlli di sicurezza fisica.
4.8 Gestione del rischio del fornitore. Lo stintar deve mantenere un programma formale di gestione del rischio che garantisce che tutti i fornitori di terze parti che hanno accesso ai dati dei clienti subiscano una valutazione del rischio prima di essere a bordo. I fornitori con accesso ai dati dei clienti devono stipulare un accordo di elaborazione dei dati del fornitore con Stintar per assicurarsi che siano contrattualmente richiesti per proteggere le nostre informazioni e soddisfare i requisiti di sicurezza e privacy minimi, compresa la segnalazione di incidenti e violazioni della sicurezza. >
4,9 Valutazione del rischio. Stintar manterrà un programma di gestione dei rischi per identificare, monitorare e gestire i rischi che possono influire sulla riservatezza, l'integrità e la disponibilità dei dati dei clienti.
4.10 Formazione sulla sicurezza. Stintar fornirà al proprio personale la sicurezza delle informazioni e la formazione sulla privacy al momento del noleggio e in seguito almeno su base annuale. Inoltre, tutti i dipendenti sono tenuti a firmare e riconoscere la politica di sicurezza delle informazioni e protezione dei dati di Stintar al momento del noleggio.
4.11 di sicurezza del personale. Stintar eseguirà controlli di verifica in background sui dipendenti che hanno accesso ai dati dei clienti in conformità con le leggi, i regolamenti, i requisiti etici e/o le pratiche locali accettate per le giurisdizioni non statunitensi per ogni individuo almeno al momento del noleggio iniziale (se non proibito dalla legge) . Il livello di verifica è appropriato in base al ruolo del dipendente, alla sensibilità delle informazioni a cui si accede nel ruolo del ruolo di quella persona, i rischi che possono derivare dall'uso improprio delle informazioni e delle pratiche locali accettate nei non USA giurisdizioni. I seguenti controlli devono essere eseguiti per ogni individuo almeno al momento del noleggio iniziale se non proibito dalla legge o in contrasto con le pratiche locali accettate per le giurisdizioni non statunitensi: (i) verifica dell'identità e (ii) storia penale. Br>
5. Aggiornamenti agli standard di sicurezza dei dati
Il cliente riconosce che lo stintar può aggiornare o modificare di volta in volta gli standard di sicurezza dei dati, a condizione che tali aggiornamenti e modifiche non degradano o diminuiscano la sicurezza generale del servizio.