Hieronder worden de beveiligingsnormen van Stintar beschreven met betrekking tot de administratieve, technische en fysieke controles die van toepassing zijn op de Dienst. Termen met een hoofdletter hebben de betekenis die eraan wordt toegekend in de Overeenkomst, tenzij hierin anders wordt gedefinieerd.
1. Beveiligingsprogramma
1.1 Beveiligingsprogramma. Stintar zal een op risico gebaseerd informatiebeveiligingsprogramma implementeren en onderhouden dat administratieve, technische en organisatorische veiligheidsmaatregelen omvat die zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens te beschermen.
1.2 Beveiligingsorganisatie. Stintar krijgt een speciaal beveiligingsteam dat verantwoordelijk is voor het implementeren, onderhouden, monitoren en afdwingen van beveiligingswaarborgen die zijn afgestemd op het informatiebeveiligingsbeheersysteem.
2. Beveiligingsbeoordelingen, certificeringen en attesten
2.1 Controle van beveiligingsprogramma's. Stintar voert periodieke beoordelingen uit om zijn informatiebeveiligingsprogramma te monitoren om risico's te identificeren en ervoor te zorgen dat de controles effectief werken door het uitvoeren van penetratietests, interne audits en risicobeoordelingen.
2.2 Penetratietests. Stintar zal minimaal jaarlijks een gekwalificeerde derde partij inschakelen om penetratietesten uit te voeren die de reikwijdte van de diensten bestrijken. Stintar zal aan haar klanten een samenvatting van de meest recent voltooide penetratietest ter beschikking stellen overeenkomstig paragraaf 2.5.
2.3 Bug Bounty-programma. Stintar moet een bugbounty-programma onderhouden waarmee onafhankelijke beveiligingsonderzoekers voortdurend beveiligingsbedreigingen en kwetsbaarheden kunnen melden. Geïdentificeerde bevindingen moeten op basis van het risico en binnen een tijdige wijze worden aangepakt en beperkt.
2.4 Beveiligingsartefacten. Stintar zal beveiligingsartefacten aan de klant ter beschikking stellen die aantonen dat Stintar voldoet aan deze gegevensbeveiligingsnormen en de raamwerken vermeld in Paragraaf 2.2. Artefacten omvatten ingevulde industriestandaardvragenlijsten, een samenvatting van de penetratietestresultaten en een samenvatting van het bedrijfscontinuïteit- en rampenherstelplan.
2.5 Klantaudits. Voor zover Klant de naleving door Stintar van deze gegevensbeveiligingsnormen redelijkerwijs niet kan bevestigen met de door Stintar verstrekte informatie, kan Klant een schriftelijk verzoek indienen om op kosten van Klant een audit op afstand uit te voeren, met een opzegtermijn van ten minste dertig dagen. In het schriftelijke verzoek moeten de gebieden worden gespecificeerd die niet kunnen worden bevestigd via de artefacten die aan de Klant ter beschikking worden gesteld. De audit moet worden uitgevoerd tijdens de Abonnementsperiode en de reikwijdte moet vóór aanvang van de audit onderling tussen Klant en Stintar worden overeengekomen. De audit moet worden uitgevoerd tijdens reguliere kantooruren met minimale verstoring van de bedrijfsvoering van Stintar en zal maximaal één keer per jaar plaatsvinden.
3. Beheer van beveiligingsincidenten
3.1 Beveiligingsmonitoring. Stintar zal zijn informatiesystemen monitoren om ongeoorloofde toegang, onverwacht gedrag, bepaalde aanvalssignaturen en andere indicatoren van een beveiligingsincident te identificeren.
3.2 Reactie op incidenten. Stintar zal een responsplan voor beveiligingsincidenten bijhouden dat ten minste jaarlijks wordt beoordeeld en getest om een redelijke en consistente reactie op beveiligingsincidenten en vermoedelijke beveiligingsincidenten vast te stellen die betrekking hebben op de accidentele of onwettige vernietiging, verlies, diefstal, wijziging, ongeoorloofde openbaarmaking van of toegang tot , Klantgegevens verzonden, opgeslagen of anderszins verwerkt door Stintar.
3.3 Incidentmelding. Stintar zal een Beveiligingsincident onmiddellijk onderzoeken zodra hij zich bewust wordt van een dergelijk incident. Voor zover toegestaan door de toepasselijke wetgeving, zal Stintar klanten op de hoogte stellen van een Beveiligingsincident in overeenstemming met zijn verplichtingen onder het Addendum Gegevensverwerking. De klant is verantwoordelijk voor het verstrekken van bijgewerkte beveiligingscontactgegevens aan Stintar in de beheerdersconsole, zoals hier beschreven.
4. Beveiligingscontroles
4.1 Toegangscontrole
4.1.1 Beperkte toegang. Toegang tot Klantgegevens is beperkt tot geautoriseerd Stintar-personeel dat toegang moet hebben tot Klantgegevens om functies uit te voeren als onderdeel van de levering van diensten. Toegang wordt verleend op basis van het beginsel van de minste privileges en de verleende toegang is evenredig met de functiefunctie. Toegang tot klantgegevens moet plaatsvinden via unieke gebruikersnamen en wachtwoorden en multi-factor authenticatie moet zijn ingeschakeld. De toegang wordt uitgeschakeld binnen één werkdag na het ontslag van een medewerker.
4.1.2 Wachtwoorden. Stintar zal een wachtwoordbeleid handhaven dat voldoet aan de door NIST 800-63b opgeslagen geheime wachtwoordvereisten.
4.2 Applicatiebeveiliging
4.2.1 SDLC. Stintar zal een formeel Change Management-beleid handhaven dat ervoor zorgt dat beveiliging gedurende de gehele levenscyclus van softwareontwikkeling wordt ingebed en dat rekening houdt met de OWASP Top 10 beveiligingsrisico's voor webapplicaties.
4.2.2 Codebeoordeling en testen. Alle codewijzigingen die van invloed zijn op klantgegevens worden beoordeeld en getest voordat ze in productie worden genomen.
4.2.3 Kwetsbaarheidsbeheer. Stintar zal een programma voor kwetsbaarheidsbeheer onderhouden dat ervoor zorgt dat geïdentificeerde kwetsbaarheden worden geprioriteerd, aangepakt en beperkt op basis van het risico. Stintar zal commercieel redelijke inspanningen leveren om kritieke kwetsbaarheden binnen 30 dagen aan te pakken.
4.2.4 Softwareafhankelijkheden van derden. Stintar moet ervoor zorgen dat bibliotheken en componenten van derden op de juiste manier worden beheerd en dat updates tijdig worden geïnstalleerd wanneer wordt vastgesteld dat er een potentieel bestaat om de beveiligingspositie van ons product te beïnvloeden.
4.3 Encryptie. Stintar zal Klantgegevens tijdens verzending en in rust versleutelen met behulp van industriestandaard versleutelingsalgoritmen die geschikt zijn voor het overdrachtsmechanisme (bijv. TLS 1.2, AES-256).
4.4 Beschikbaarheid en noodherstel. Stintar zal een gedocumenteerde reeks beleidslijnen en procedures voor noodherstel implementeren en onderhouden om het herstel of de voortzetting van vitale technologische infrastructuur en systemen na een ramp mogelijk te maken. Daarnaast zal Stintar jaarlijks tests uitvoeren op zijn rampenherstelplan en een samenvatting van de resultaten beschikbaar stellen aan zijn klanten.
4.5 Back-ups. Stintar zal regelmatig back-ups maken van klantgegevens en ervoor zorgen dat back-ups dezelfde bescherming bieden als productiedatabases.
4.6 Apparaatbeveiliging. Stintar-apparaten die toegang hebben tot Klantgegevens moeten centraal worden beheerd en de volgende beveiligingsinstellingen moeten zijn ingeschakeld: versleuteling van de harde schijf, lokaal wachtwoord ingeschakeld en antivirus- en/of antimalwaresoftware moet zijn geïnstalleerd, voortdurend ingeschakeld en automatisch worden bijgewerkt.
4.7 Fysieke beveiliging. Stintar zal ervoor zorgen dat alle fysieke locaties waar Klantgegevens worden verwerkt, opgeslagen of verzonden zich in een beveiligde fysieke faciliteit bevinden. Stintar moet de beveiligingscertificeringen van derden (bijvoorbeeld SOC 2 Type 2) van zijn externe cloudhostingproviders minstens jaarlijks beoordelen om ervoor te zorgen dat er passende fysieke beveiligingscontroles plaatsvinden.
4.8 Leveranciersrisicobeheer. Stintar moet een formeel leveranciersrisicobeheerprogramma onderhouden dat ervoor zorgt dat alle externe leveranciers die toegang hebben tot klantgegevens een risicobeoordeling ondergaan voordat ze aan boord worden genomen. Leveranciers met toegang tot klantgegevens moeten een leveranciersgegevensverwerkingsovereenkomst met Stintar aangaan om ervoor te zorgen dat ze contractueel verplicht zijn om onze informatie te beschermen en te voldoen aan minimale informatiebeveiligings- en privacyvereisten, inclusief het melden van beveiligingsincidenten en inbreuken.
4.9 Risicobeoordeling. Stintar zal een risicobeheerprogramma onderhouden om risico's te identificeren, monitoren en beheren die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van Klantgegevens.
4.10 Beveiligingstraining. Stintar zal zijn personeel bij indiensttreding en daarna ten minste jaarlijks een training op het gebied van informatiebeveiliging en privacy bieden. Bovendien zijn alle werknemers verplicht om bij indiensttreding het informatiebeveiligings- en gegevensbeschermingsbeleid van Stintar te ondertekenen en te erkennen.
4.11 Personeelsbeveiliging. Stintar zal antecedentenonderzoek uitvoeren op werknemers die toegang hebben tot klantgegevens in overeenstemming met relevante wetten, voorschriften, ethische vereisten en/of geaccepteerde lokale praktijken voor niet-Amerikaanse rechtsgebieden voor elk individu, tenminste bij de eerste aanstelling (tenzij dit wettelijk verboden is) . Het verificatieniveau moet passend zijn op basis van de rol van de werknemer, de gevoeligheid van de informatie waartoe toegang wordt verkregen in de loop van de rol van die persoon, de risico's die kunnen voortkomen uit misbruik van de informatie en de geaccepteerde lokale praktijken in niet-Amerikaanse landen. jurisdicties. De volgende controles worden ten minste bij de eerste aanstelling voor elk individu uitgevoerd, tenzij dit bij wet verboden is of niet strookt met geaccepteerde lokale praktijken in niet-Amerikaanse rechtsgebieden: (i) identiteitsverificatie en (ii) strafrechtelijke geschiedenis.
5. Updates van gegevensbeveiligingsnormen
De Klant erkent dat Stintar de Gegevensbeveiligingsnormen van tijd tot tijd kan bijwerken of wijzigen, op voorwaarde dat dergelijke updates en aanpassingen de algehele veiligheid van de Dienst niet aantasten of verminderen.