Следующее описывает стандарты безопасности Stintar в отношении административного, технического и физического контроля, применимых к Сервису. Условия с капитализированными должны иметь значение, присвоенное им в соглашении, если не определено иное здесь.
1. Программа безопасности
1.1 Программа безопасности. Stintar будет реализовать и поддерживать программу информационной безопасности, основанную на рисках, которая включает в себя административные, технические и организационные меры, предназначенные для защиты конфиденциальности, целостности и доступности данных клиентов.
< P> 1.2 Организация безопасности. Stintar будет иметь специальную группу безопасности, ответственную за реализацию, поддержание, мониторинг и обеспечение соблюдения безопасности безопасности, соответствующих системе управления информационной безопасностью.
2. Оценки безопасности, сертификаты и аттестации
2.1 Мониторинг программы безопасности. Stintar выполняет периодические оценки для мониторинга своей программы информационной безопасности для выявления рисков и обеспечения эффективной работы контроля путем выполнения тестов на проникновение, внутренние аудиты и оценки рисков.
2,2 тесты на проникновение. Stintar будет привлекать квалифицированную третью сторону для выполнения тестов на проникновение, охватывающие объем услуг, по крайней мере, ежегодно. Stintar предоставит своим клиентам резюме самого последнего завершенного теста на проникновение в соответствии с разделом 2.5. Stintar должна поддерживать программу Bungy Bounty, которая позволяет независимым исследователям безопасности сообщать об угрозах безопасности и уязвимостях на постоянной основе. Выявленные результаты должны быть рассмотрены и смягчены в зависимости от риска и своевременно.
2,4 Артефакты безопасности. Stintar предоставит артефактам безопасности клиентов, которые демонстрируют его соблюдение этих стандартов безопасности данных, и структуры, перечисленные в разделе 2.2. Артефакты будут включать в себя заполненные отраслевые стандартные анкеты, резюме результатов результатов теста на проникновение и краткое изложение плана непрерывности бизнеса и аварийного восстановления.
2,5 аудита клиентов. В той степени, в которой клиент не может разумно подтвердить соответствие Stintar этими стандартами безопасности данных с информацией, предоставленной прикой, клиент может сделать письменный запрос на проведение удаленного аудита по стоимости клиента с уведомлением не менее чем на тридцать дней. В письменном запросе должен быть указано области, которые не могут быть подтверждены через артефакты, предоставленные клиенту. Аудит должен проводиться в течение срока подписки, и область применения должна быть взаимно согласована между клиентом и покойницей до начала аудита. Аудит должен проводиться в обычные рабочие часы с минимальными нарушениями для бизнес -операций Stintar и будет происходить не более одного раза в год.
3. Управление инцидентами безопасности
3.1 Мониторинг безопасности. Stintar будет следить за своими информационными системами для выявления несанкционированного доступа, неожиданного поведения, определенных подписей атаки и других показателей инцидента безопасности.
3,2. Слюдень сохранит план реагирования на инциденты в безопасности, который рассматривается и протестируется, по крайней мере, ежегодно, чтобы установить разумный и последовательный ответ на инциденты безопасности и подозреваемые инциденты безопасности, связанные с случайным или незаконным разрушением, потерей, кражей, изменением, несанкционированным раскрытием или доступом к , Данные клиента, передаваемые, хранящиеся или иным образом обрабатывались причалом.
3.3. Стандарт незамедлительно расследует инцидент с безопасностью, узнав о таком инциденте. В той мере, в которой разрешен применимым законодательством, Stintar уведомит клиентов об инциденте безопасности в соответствии с его обязательствами в соответствии с приложением обработки данных. Клиент несет ответственность за предоставление привычки с обновленной контактной информацией о безопасности на консоли администратора, как описано здесь.
4. Управление безопасности
4.1 Контроль доступа
4.1.1 Ограниченный доступ. Доступ к данным клиента ограничен уполномоченным персоналом почищного, который должен получить доступ к данным клиентов для выполнения функций в рамках предоставления услуг. Доступ предоставляется на основе принципа наименьшей привилегии, а доступ к доступу соразмерен с функцией работы. Доступ к данным клиента должен быть с помощью уникальных имен пользователей и паролей, а многофакторная аутентификация должна быть включена. Доступ отключен в течение одного рабочего дня после завершения работника.
4.1.2 Пароли. Stintar сохранит политику паролей, которая следует за запоминающимися требованиями к паролю NIST 800-63B. Stintar сохранит формальную политику управления изменениями, которая обеспечивает встроенную безопасность на протяжении всего жизненного цикла разработки программного обеспечения и учитывает 10 рисков безопасности веб -приложений OWASP.
4.2.2 Обзор кода и тестирование. Все изменения в коде, которые влияют на данные о клиентах, будут рассмотрены и протестированы до развертывания в производство.
4.2.3 Управление уязвимыми. Stintar сохранит программу управления уязвимостью, которая обеспечивает определение уязвимостей, рассматривается, рассматривается и смягчена на основе риска. Stintar будет приложить коммерчески разумные усилия для устранения критических уязвимостей в течение 30 дней.
4.2.4 Сторонние программные зависимости. Статр должен убедиться, что сторонние библиотеки и компоненты надлежащим образом управляются и что обновления устанавливаются своевременно, когда определяется, что существует потенциал, чтобы повлиять на позу безопасности нашего продукта.
4,3 шифрование. Стандартный зашифрует данные клиентов в транзите и в состоянии покоя, используя стандартные алгоритмы шифрования в отрасли, которые подходят для механизма передачи (например, TLS 1.2, AES-256).
4.4 Доступность и аварийное восстановление. Stintar будет реализовать и поддерживать документированный набор политик и процедур аварийного восстановления, чтобы обеспечить восстановление или продолжение инфраструктуры и систем жизненно важной технологии после стихийного бедствия. Кроме того, Stintar проведет ежегодные тесты своего плана аварийного восстановления и предоставит своему сводку результатов. Stintar будет выполнять регулярные резервные копии данных клиентов и гарантировать, что резервные копии имеют такую же защиту, что и производственные базы данных.
4.6. Устройства, которые получают доступ к данным клиента, должны управляться в центре, и должны быть включены следующие настройки безопасности: необходимо установить шифрование жесткого диска, локальный пароль, а также антивирусное и/или антимоловое программное обеспечение должно быть установлено, непрерывно включено и автоматически обновляться. /p>
4.7 Физическая безопасность. Stintar гарантирует, что все физические местоположения, которые обрабатывают, хранят или передают данные клиентов, расположены в безопасном физическом объекте. Stintar должен рассмотреть сторонние сертификаты безопасности (например, Soc 2 типа 2) своих сторонних поставщиков облачного хостинга, как минимум на ежегодной основе, чтобы гарантировать, что соответствующие управления физической безопасности.
4,8 Управление рисками поставщика. Статр должен поддерживать официальную программу управления рисками поставщика, которая обеспечивает все сторонние поставщики, которые имеют доступ к данным клиента, подвергаются оценке риска до того, как они были встроены. Поставщики с доступом к данным клиента должны заключить соглашение о обработке данных поставщика с Stintar, чтобы гарантировать, что они обязаны для защиты нашей информации и удовлетворения минимальной информационной безопасности и требований к конфиденциальности, включая отчет о инцидентах и нарушениях безопасности. >
4.9 Оценка риска. Stintar будет поддерживать программу управления рисками для выявления, мониторинга и управления рисками, которые могут повлиять на конфиденциальность, целостность и доступность данных клиентов.
4.10. Stintar предоставит своим сотрудникам информационную безопасность и обучение конфиденциальности по найму и, по крайней мере, на годовой основе после этого. Кроме того, все сотрудники обязаны подписать и подтвердить политику информационной безопасности и защиты данных Stintar при найме.
4.11. Stintar будет выполнять проверку фоновой проверки сотрудников, которые имеют доступ к данным клиента в соответствии с соответствующими законами, правилами, этическими требованиями и/или принятыми местными практиками для юрисдикций, не являющихся США, для каждого человека, по крайней мере, при первоначальном найме (если не запрещены законом) Полем Уровень проверки должен быть уместным в соответствии с роли работника, чувствительности информации, которая должна быть получена в ходе роли этого человека, риски, которые могут возникнуть в результате неправильного использования информации и принятых местных практик в неамериканском юрисдикции. Следующие проверки должны быть выполнены для каждого человека, по крайней мере, при первоначальном найме, если это не запрещено законом или не согласовано с принятой местной практикой для юрисдикций, не являющихся США: (i) проверка личности и (ii) криминальная история.
< br>
5. Обновления стандартов безопасности данных
Клиент подтверждает, что при условии, что может время от времени обновлять или изменять стандарты безопасности данных.