A seguir, descreve os padrões de segurança da Stintar em relação aos controles administrativos, técnicos e físicos aplicáveis ao serviço. Os termos capitalizados terão o significado atribuído a eles no contrato, a menos que seja definido em contrário aqui.
1. Programa de Segurança
1.1 Programa de Segurança. O Stintar implementará e manterá um programa de segurança de informações baseado em risco que inclui salvaguardas administrativas, técnicas e organizacionais projetadas para proteger a confidencialidade, integridade e disponibilidade de dados do cliente.
< p> 1.2 Organização de segurança. O Stintar terá uma equipe de segurança dedicada responsável pela implementação, manutenção, monitoramento e aplicação de salvaguardas de segurança alinhadas com o sistema de gerenciamento de segurança da informação.
2. Avaliações de segurança, certificações e atestados
2.1 Monitoramento do Programa de Segurança. O Stintar realiza avaliações periódicas para monitorar seu programa de segurança de informações para identificar riscos e garantir que os controles estão operando efetivamente realizando testes de penetração, auditorias internas e avaliações de risco.
2.2 testes de penetração. Stintar envolverá um terceiro qualificado para realizar testes de penetração, cobrindo o escopo dos serviços pelo menos anualmente. A Stintar disponibilizará aos seus clientes um resumo executivo do teste de penetração concluído mais recentemente, de acordo com a Seção 2.5.
2.3 Programa de recompensa de bugs. O Stintar deve manter um programa de recompensa de insetos que permita que pesquisadores de segurança independentes relatem ameaças e vulnerabilidades à segurança continuamente. As descobertas identificadas devem ser abordadas e mitigadas com base no risco e em tempo hábil.
2.4 Artefatos de segurança. O Stintar disponibilizará os artefatos de segurança do cliente que demonstram sua conformidade com esses padrões de segurança de dados e as estruturas listadas na Seção 2.2. Os artefatos incluirão questionários padrão concluídos do setor, um resumo executivo dos resultados dos testes de penetração e um resumo do plano de continuidade e recuperação de desastres de negócios.
2.5 auditorias de clientes. Na medida em que o cliente não possa confirmar razoavelmente a conformidade da Stintar com esses padrões de segurança de dados com as informações fornecidas pelo Stintar, o Cliente pode fazer uma solicitação por escrito para realizar uma auditoria remota ao custo do cliente com pelo menos trinta dias de antecedência. A solicitação por escrito deve especificar as áreas que não podem ser confirmadas pelos artefatos disponibilizados ao cliente. A auditoria deve ser realizada durante o termo de assinatura e o escopo deve ser acordado mutuamente entre o cliente e o stintar antes do início da auditoria. A auditoria deve ser realizada durante o horário comercial regular, com interrupção mínima nas operações comerciais da Stintar e ocorrerá não mais de uma vez por ano.
3. Gerenciamento de incidentes de segurança
3.1 Monitoramento de segurança. A Stintar monitorará seus sistemas de informação para identificar acesso não autorizado, comportamento inesperado, certas assinaturas de ataque e outros indicadores de um incidente de segurança.
3.2 Resposta de incidentes. Stintar manterá um plano de resposta a incidentes de segurança que é revisado e testado pelo menos anualmente para estabelecer uma resposta razoável e consistente a incidentes de segurança e suspeitos de incidentes de segurança que envolvam a destruição acidental ou ilegal, perda, roubo, alteração, divulgação não autorizada de ou acesso a ou acesso a , Dados de clientes transmitidos, armazenados ou processados por Stintar.
Notificação de incidentes 3.3. Stintar investigará prontamente um incidente de segurança ao tomar conhecimento de tal incidente. Na medida do permitido pela lei aplicável, a Stintar notificará os clientes de um incidente de segurança de acordo com suas obrigações no adendo de processamento de dados. O cliente é responsável por fornecer ao Stintar informações de contato de segurança atualizadas no console do administrador, conforme descrito aqui.
4. Controles de segurança
4.1 Controle de acesso
4.1.1 acesso restrito. O acesso aos dados do cliente é restrito ao pessoal do Stintar autorizado, que é obrigado a acessar os dados do cliente para executar funções como parte da prestação de serviços. O acesso é concedido com base no princípio do menor privilégio e o acesso concedido é proporcional à função do trabalho. O acesso aos dados do cliente deve ser por meio de nomes de usuário e senhas exclusivos e autenticação de vários fatores deve estar ativada. O acesso está desativado dentro de um dia útil após a rescisão de um funcionário.
4.1.2 senhas. O Stintar manterá uma política de senha que segue os requisitos de senha secreta do NIST 800-63B. O Stintar manterá uma política formal de gerenciamento de mudanças que garante que a segurança seja incorporada ao longo do ciclo de vida do desenvolvimento de software e levará em consideração os riscos de segurança de aplicativos da Web OWASP.
4.2.2 Revisão e teste de código. Todas as alterações no código que impactam os dados do cliente serão revisadas e testadas antes de serem implantadas na produção.
4.2.3 Gerenciamento de vulnerabilidades. O Stintar manterá um programa de gerenciamento de vulnerabilidades que garante que as vulnerabilidades identificadas sejam priorizadas, abordadas e mitigadas com base no risco. O Stintar fará esforços comercialmente razoáveis para lidar com vulnerabilidades críticas dentro de 30 dias.
4.2.4 Dependências de software de terceiros. O Stintar deve garantir que as bibliotecas e componentes de terceiros sejam gerenciados adequadamente e que as atualizações sejam instaladas em tempo hábil quando é determinado que existe um potencial para afetar a postura de segurança do nosso produto.
4.3 Criptografia. O Stintar criptografará os dados do cliente em trânsito e em repouso usando algoritmos de criptografia padrão do setor que são apropriados para o mecanismo de transferência (por exemplo, TLS 1.2, AES-256).
4.4 Disponibilidade e recuperação de desastres. O Stintar implementará e manterá um conjunto documentado de políticas e procedimentos de recuperação de desastres para permitir a recuperação ou continuação da infraestrutura e sistemas vitais de tecnologia após um desastre. Além disso, o Stintar realizará testes anuais de seu plano de recuperação de desastres e disponibilizará um resumo dos resultados para seus clientes.
backups 4.5. O Stintar executará backups regulares dos dados do cliente e garantirá que os backups tenham as mesmas proteções que os bancos de dados de produção.
4.6 Segurança do dispositivo. Os dispositivos Stintar que acessam os dados do cliente devem ser gerenciados centralmente e as seguintes configurações de segurança devem estar ativadas: criptografia do disco rígido, senha local ativada e software antivírus e/ou anti-malware deve ser instalado continuamente ativado e atualizado automaticamente. << /p>
4.7 Segurança física. O Stintar garantirá que todos os locais físicos que processassem, armazenem ou transmitem dados do cliente estejam localizados em uma instalação física segura. O Stintar deve revisar as certificações de segurança de terceiros (por exemplo, SOC 2 tipo 2) de seus provedores de hospedagem em nuvem de terceiros pelo menos anualmente para garantir que os controles de segurança física apropriados estejam em vigor.
4.8 Gerenciamento de riscos do fornecedor. O Stintar deve manter um programa formal de gerenciamento de riscos de fornecedores que garante que todos os fornecedores de terceiros que tenham acesso aos dados dos clientes sofrem uma avaliação de risco antes de estar a bordo. Os fornecedores com acesso aos dados do cliente devem entrar em um contrato de processamento de dados do fornecedor com o Stintar para garantir que eles sejam contratualmente obrigados a proteger nossas informações e atender aos requisitos mínimos de segurança e privacidade da informação, incluindo o relatório de incidentes de segurança e violações.
4.9 Avaliação de risco. O Stintar manterá um programa de gerenciamento de riscos para identificar, monitorar e gerenciar riscos que podem afetar a confidencialidade, a integridade e a disponibilidade dos dados do cliente.
4.10 Treinamento de segurança. A Stintar fornecerá ao seu pessoal o treinamento de segurança e privacidade da informação após contratação e pelo menos anual a partir de então. Além disso, todos os funcionários são obrigados a assinar e reconhecer a Política de Segurança e Proteção de Dados da Stintar após a contratação.
4.11 Segurança do pessoal. O Stintar executará verificações de verificação de antecedentes sobre funcionários que têm acesso aos dados do cliente de acordo com leis relevantes, regulamentos, requisitos éticos e/ou práticas locais aceitas para jurisdições fora dos EUA para cada indivíduo pelo menos mediante aluguel inicial (a menos que proibido por lei) . O nível de verificação deve ser apropriado de acordo com o papel do funcionário, a sensibilidade das informações a serem acessadas no decorrer do papel dessa pessoa, os riscos que podem surgir do uso indevido da informação e das práticas locais aceitas nos não americanos jurisdições. Os seguintes verificações devem ser realizados para cada indivíduo, pelo menos mediante aluguel inicial, a menos que proibido por lei ou inconsistente com as práticas locais aceitas para jurisdições fora dos EUA: (i) verificação da identidade e (ii) histórico criminal.
< br>
5. Atualizações para os padrões de segurança de dados
O cliente reconhece que o Stintar pode atualizar ou modificar os padrões de segurança de dados de tempos em tempos, desde que essas atualizações e modificações não se degradam ou diminuam a segurança geral do serviço.