以下は、サービスに適用される管理、技術、および物理的コントロールに関するStintarのセキュリティ基準について説明しています。資本化された条件は、本明細書に特に定義されていない限り、契約でそれらに割り当てられた意味を持つものとします。
1。セキュリティプログラム
1.1セキュリティプログラム。 STINTARは、顧客データの機密性、整合性、および可用性を保護するために設計された管理、技術、および組織の保護を含むリスクベースの情報セキュリティプログラムを実装および維持します。 P> 1.2セキュリティ組織。 Stintarは、情報セキュリティ管理システムに沿ったセキュリティ保護ガードの実装、維持、監視、および実施を担当する専用のセキュリティチームを持ちます。
。セキュリティ評価、認定、および証明
2.1セキュリティプログラム監視。 Stintarは定期的な評価を実行して情報セキュリティプログラムを監視してリスクを特定し、浸透テスト、内部監査、およびリスク評価を実行することによりコントロールが効果的に動作していることを確認します。
2.2浸透テスト。 Stintarは、少なくとも毎年、サービスの範囲をカバーする浸透テストを実施するために、資格のある第三者に関与します。 Stintarは、セクション2.5に従って、最近完了した侵入テストのエグゼクティブサマリーを顧客に利用できるようにします。
2.3バグバウンティプログラム。 STINTARは、独立したセキュリティ研究者が継続的にセキュリティの脅威と脆弱性を報告できるようにするバグバウンティプログラムを維持する必要があります。特定された調査結果は、リスクに基づいてタイムリーな方法で対処し、軽減する必要があります。
2.4セキュリティアーティファクト。 Stintarは、これらのデータセキュリティ基準とセクション2.2にリストされているフレームワークへのコンプライアンスを示す顧客セキュリティアーティファクトを利用できるようにします。アーティファクトには、完了した業界標準のアンケート、侵入テスト結果のエグゼクティブサマリー、および事業の継続性と災害復旧計画の概要が含まれます。
2.5顧客監査。 Stintarが提供する情報に対するStintarのこれらのデータセキュリティ基準に対するStintarのコンプライアンスを合理的に確認できない限り、顧客は少なくとも30日間の通知で顧客の費用でリモート監査を実施するように書面でリクエストすることができます。書面による要求は、顧客が利用できるアーティファクトを通じて確認できない領域を指定する必要があります。監査はサブスクリプション期間中に実施する必要があり、スコープは監査の開始前に顧客とStintarの間で相互に合意する必要があります。監査は、Stintarの事業運営の中断を最小限に抑えて、通常の営業時間中に実行する必要があり、毎年1回しか発生しません。
。セキュリティインシデント管理
3.1セキュリティ監視。 Stintarは、情報システムを監視して、不正アクセス、予期しない動作、特定の攻撃署名、およびセキュリティインシデントのその他の指標を特定します。
3.2インシデント対応。 Stintarは、少なくとも毎年審査およびテストされるセキュリティインシデント対応計画を維持し、セキュリティインシデントに対する合理的かつ一貫した対応を確立し、偶発的または違法な破壊、損失、盗難、変更、不正な開示、またはアクセスを含むセキュリティインシデントの疑いを確立します、stintarによって送信、保存、または処理された顧客データ。
3.3インシデント通知。 Stintarは、そのような事件に気付くと、セキュリティ事件を迅速に調査します。適用法で許可されている範囲で、Stintarは、データ処理補遺に基づく義務に従って、セキュリティインシデントを顧客に通知します。顧客は、ここで説明するように、管理コンソールで更新されたセキュリティ連絡先情報をSTINTARに提供する責任があります。
4。セキュリティコントロール
4.1アクセス制御
4.1.1制限アクセス。顧客データへのアクセスは、サービスの提供の一部として機能を実行するために顧客データにアクセスする必要がある認定されたStintar担当者に制限されています。アクセスは、最小の特権と許可されたアクセスの原則に基づいて付与されます。顧客データへのアクセスは、一意のユーザー名とパスワードを介して行う必要があり、マルチファクター認証を有効にする必要があります。アクセスは、従業員の終了後1営業日以内に無効になります。
4.1.2パスワード。 STINTARは、NIST 800-63Bを記憶した秘密のパスワード要件に続くパスワードポリシーを維持します。 Stintarは、ソフトウェア開発ライフサイクル全体にセキュリティが組み込まれ、OWASPトップ10 Webアプリケーションセキュリティリスクを考慮した正式な変更管理ポリシーを維持します。
4.2.2コードレビューとテスト。顧客データに影響を与えるコードへのすべての変更は、生産に展開される前にレビューおよびテストされます。
4.2.3脆弱性管理。 Stintarは、特定された脆弱性がリスクに基づいて優先順位付け、対処、および緩和されることを保証する脆弱性管理プログラムを維持します。 Stintarは、30日以内に重要な脆弱性に対処するために商業的に合理的な取り組みを使用します。
4.2.4サードパーティのソフトウェア依存関係。 STINTARは、サードパーティのライブラリとコンポーネントが適切に管理され、製品のセキュリティ姿勢に影響を与える可能性があると判断された場合、更新がタイムリーにインストールされることを確認する必要があります。
4.3暗号化。 Stintarは、転送メカニズムに適した業界標準暗号化アルゴリズムを使用して、輸送および安静時の顧客データを暗号化します(例:TLS 1.2、AES-256)。 > 4.4可用性と災害復旧。 Stintarは、災害後の重要なテクノロジーインフラストラクチャとシステムの回復または継続を可能にするために、文書化された一連の災害復旧ポリシーと手順を実装および維持します。さらに、Stintarは災害復旧計画の年次テストを実施し、顧客に結果の要約を利用できるようにします。
4.5バックアップ。 STINTARは、顧客データの定期的なバックアップを実行し、バックアップが生産データベースと同じ保護を確保することを確認します。
4.6デバイスセキュリティ。顧客データにアクセスするSTINTARデバイスは中央に管理する必要があり、次のセキュリティ設定を有効にする必要があります。ハードドライブ暗号化、ローカルパスワードを有効にし、アンチマルウェアソフトウェアをインストールし、継続的に有効にし、自動的に更新する必要があります。 /p>
4.7物理的セキュリティ。 Stintarは、顧客データを処理、保存、または送信するすべての物理的な場所が安全な物理施設にあることを保証します。 STINTARは、適切な物理的セキュリティコントロールが整っていることを確認するために、少なくとも毎年、サードパーティクラウドホスティングプロバイダーのサードパーティのセキュリティ認証(例:SOC 2タイプ2)を確認する必要があります。
4.8ベンダーリスク管理。 STINTARは、顧客データにアクセスできるすべてのサードパーティベンダーが、搭載される前にリスク評価を受けることを保証する正式なベンダーリスク管理プログラムを維持する必要があります。顧客データにアクセスできるベンダーは、STINTARとベンダーデータ処理契約を締結して、情報を保護し、セキュリティインシデントや違反の報告を含む最小限の情報セキュリティとプライバシー要件を満たすために契約上義務付けられていることを確認する必要があります。 >
4.9リスク評価。 Stintarは、顧客データの機密性、整合性、および可用性に影響を与える可能性のあるリスクを特定、監視、および管理するリスク管理プログラムを維持します。
4.10セキュリティトレーニング。 Stintarは、雇用時および少なくともその後、情報セキュリティとプライバシートレーニングを人員に提供します。さらに、すべての従業員は、雇用時にStintarの情報セキュリティおよびデータ保護ポリシーに署名して承認する必要があります。
4.11人事セキュリティ。 STINTARは、関連する法律、規制、倫理的要件、および/または少なくとも初期雇用時には、少なくとも各雇用時に非US司法管轄区の現地慣行を受け入れたことに従って顧客データにアクセスできる従業員のバックグラウンド検証チェックを実行します(法律で禁止されていない限り) 。検証のレベルは、従業員の役割、その人の役割の過程でアクセスされる情報の感度、情報の誤用から生じる可能性のあるリスク、および非USで受け入れられているローカル慣行に応じて適切となります。管轄区域。法律で禁止されていない限り、または非司法管轄区の承認されたローカル慣行と一貫性がない場合を除き、少なくとも初期雇用時には、少なくとも各個人に対して以下のチェックを実施するものとする:(i)身元検証および(ii)犯罪歴。
< Br>
5。データセキュリティ基準の更新
顧客は、STINTARがデータセキュリティ基準を時々更新または変更できることを認めています。