Aşağıda Stintar’ın hizmet için geçerli olan idari, teknik ve fiziksel kontrollerle ilgili güvenlik standartlarını açıklamaktadır. Büyük harfle yazılmış terimler, burada aksi belirtilmedikçe Sözleşmede kendilerine atanan anlama gelir.
1. Güvenlik Programı
1.1 Güvenlik Programı. Stintar, müşteri verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için tasarlanmış idari, teknik ve organizasyonel önlemleri içeren risk tabanlı bir bilgi güvenliği programı uygulayacak ve sürdürecek. P> 1.2 Güvenlik Organizasyonu. Stintar, bilgi güvenliği yönetim sistemi ile uyumlu güvenlik önlemlerinin uygulanmasından, sürdürülmesinden, izlenmesinden ve uygulanmasından sorumlu özel bir güvenlik ekibine sahip olacaktır.
2. Güvenlik değerlendirmeleri, sertifikalar ve onaylamalar
2.1 Güvenlik Programı İzleme. Stintar, riskleri tanımlamak ve penetrasyon testleri, iç denetimler ve risk değerlendirmeleri yaparak kontrollerin etkili bir şekilde çalışmasını sağlamak için bilgi güvenliği programını izlemek için periyodik değerlendirmeler yapar.
2.2 penetrasyon testleri. Stintar, hizmetlerin kapsamını en az yılda bir kez kapsayan penetrasyon testleri yapmak için nitelikli bir üçüncü tarafa sahip olacak. Stintar, Müşterileri için Bölüm 2.5 uyarınca en son tamamlanan penetrasyon testinin yönetici özeti sunacaktır. Stintar, bağımsız güvenlik araştırmacılarının güvenlik tehditlerini ve güvenlik açıklarını sürekli olarak bildirmelerini sağlayan bir hata ödül programı sürdürmelidir. Belirlenen bulgular riske ve zamanında bir şekilde ele alınmalı ve hafifletilmelidir.
2.4 Güvenlik artefaktları. Stintar, bu veri güvenliği standartlarına ve Bölüm 2.2'de listelenen çerçevelere uygunluğunu gösteren müşteri güvenlik artefaktlarına sunacaktır. Eserler, tamamlanmış endüstri standart anketlerini, penetrasyon testi sonuçlarının bir yönetici özeti ve iş sürekliliği ve felaket kurtarma planının bir özeti içerecektir.
2.5 Müşteri Denetimleri. Müşterinin Stintar'ın bu veri güvenliği standartlarına uygunluğunu Müşteri tarafından sağlanan bilgilerle makul bir şekilde onaylayamayacağı ölçüde, müşteri en az otuz günlük bildirimde bulunarak müşterinin maliyetine uzak bir denetim yapmak için yazılı bir talepte bulunabilir. Yazılı talep, müşteriye sunulan eserler aracılığıyla teyit edilemeyen alanları belirtmelidir. Denetim abonelik süresi boyunca yapılmalıdır ve kapsam, denetimin başlamasından önce müşteri ve Stintar arasında karşılıklı olarak kabul edilmelidir. Denetim, normal çalışma saatlerinde Stintar'ın iş operasyonlarında minimum bozulma ile gerçekleştirilmeli ve yılda bir kereden fazla gerçekleşmeyecektir.
3. Güvenlik Olay Yönetimi
3.1 Güvenlik İzleme. Stintar, yetkisiz erişimi, beklenmedik davranışları, bazı saldırı imzalarını ve bir güvenlik olayının diğer göstergelerini belirlemek için bilgi sistemlerini izleyecektir. Stintar, güvenlik olaylarına ve kazara veya yasa dışı yıkım, kayıp, hırsızlık, değişiklik, yetkisiz ifşa veya erişim içeren şüpheli güvenlik olaylarına makul ve tutarlı bir yanıt oluşturmak için en azından yılda gözden geçirilen ve test edilen bir güvenlik olayı müdahale planını sürdürecektir. , Müşteri Verileri STINTAR tarafından iletilen, depolanan veya başka bir şekilde işlenir.
3.3 Olay Bildirimi. Stintar, böyle bir olayın farkına vardıktan sonra bir güvenlik olayını derhal araştıracaktır. Geçerli yasaların izin verdiği ölçüde Stintar, veri işleme eki altındaki yükümlülüklerine uygun olarak müşterileri bir güvenlik olayını bildirecektir. Müşteri, Stintar'a burada açıklandığı gibi yönetici konsolunda güncellenmiş güvenlik iletişim bilgilerini sağlamaktan sorumludur.
4. Güvenlik Kontrolleri
4.1 Erişim Kontrolü
4.1.1 Kısıtlı Erişim. Müşteri verilerine erişim, hizmetlerin sunumunun bir parçası olarak işlevleri yerine getirmek için müşteri verilerine erişmesi gereken yetkili Stintar personeli ile sınırlıdır. Erişim, en az ayrıcalık ve erişim ilkesine göre verilir, iş fonksiyonu ile orantılıdır. Müşteri verilerine erişim benzersiz kullanıcı adları ve şifreler aracılığıyla olmalıdır ve çok faktörlü kimlik doğrulama etkinleştirilmelidir. Erişim, bir çalışanın feshinden sonra bir iş günü içinde devre dışı bırakılır.
4.1.2 şifreler. Stintar, NIST 800-63b ezberlenmiş gizli şifre gereksinimlerini izleyen bir şifre politikası sürdürecektir. Stintar, Güvenliğin yazılım geliştirme yaşam döngüsü boyunca gömülmesini sağlayan ve OWASP Top 10 Web Uygulama Güvenlik Risklerini dikkate almasını sağlayan resmi bir değişiklik yönetim politikası sürdürecektir. Müşteri verilerini etkileyen koddaki tüm değişiklikler, üretime dağıtılmadan önce gözden geçirilecek ve test edilecektir.
4.2.3 Güvenlik Açığı Yönetimi. Stintar, belirlenmiş güvenlik açıklarının riske göre önceliklendirilmesini, ele alınmasını ve hafifletilmesini sağlayan bir güvenlik açığı yönetimi programı sürdürecektir. Stintar, 30 gün içinde kritik güvenlik açıklarını ele almak için ticari olarak makul çabaları kullanacaktır.
4.2.4 Üçüncü taraf yazılım bağımlılıkları. Stintar, üçüncü taraf kütüphanelerinin ve bileşenlerinin uygun şekilde yönetildiğinden ve ürünümüzün güvenlik duruşunu etkileme potansiyeli olduğu belirlendiğinde güncellemelerin zamanında yüklendiğinden emin olmalıdır.
4.3 Şifreleme. Stintar, aktarım mekanizması için uygun endüstri standart şifreleme algoritmalarını (örn. TLS 1.2, AES-256) kullanarak taşıma içinde ve dinlenmede müşteri verilerini şifreleyecek. > 4.4 Kullanılabilirlik ve felaket kurtarma. Stintar, bir felaketin ardından hayati teknoloji altyapısı ve sistemlerinin kurtarılmasını veya devam etmesini sağlamak için belgelenmiş bir dizi felaket kurtarma politikası ve prosedürü uygulayacak ve sürdürecektir. Ayrıca Stintar, felaket kurtarma planının yıllık testlerini gerçekleştirecek ve sonuçların bir özetini müşterilerine sunacak.
4.5 yedeklemeleri. Stintar, müşteri verilerinin düzenli yedeklemelerini gerçekleştirecek ve yedeklemelerin üretim veritabanlarıyla aynı korumaya sahip olmasını sağlayacaktır.
4.6 Cihaz Güvenliği. Müşteri verilerine erişen Stintar cihazları merkezi olarak yönetilmeli ve aşağıdaki güvenlik ayarları etkinleştirilmelidir: sabit sürücü şifrelemesi, yerel şifre etkinleştirilmiş ve anti-virüs ve/veya kötü amaçlı yazılım yazılımı yüklenmeli, sürekli etkinleştirilmeli ve otomatik olarak güncellenmelidir. < /p>
4.7 Fiziksel güvenlik. Stintar, müşteri verilerini işleyen, depolayan veya ileten tüm fiziksel konumların güvenli bir fiziksel tesiste bulunmasını sağlayacaktır. Stintar, uygun fiziksel güvenlik kontrollerinin mevcut olmasını sağlamak için üçüncü taraf bulut barındırma sağlayıcılarının üçüncü taraf bulut barındırma sağlayıcılarının üçüncü taraf güvenlik sertifikalarını (örn. SOC 2 Tip 2) gözden geçirmelidir.
4.8 Satıcı Risk Yönetimi. Stintar, müşteri verilerine erişimi olan tüm üçüncü taraf satıcılarının, yerleşik olmadan önce bir risk değerlendirmesine girmesini sağlayan resmi bir satıcı risk yönetimi programı sürdürmelidir. Müşteri verilerine erişimi olan satıcılar, bilgilerimizi korumak ve güvenlik olaylarının ve ihlallerinin raporlanması da dahil olmak üzere asgari bilgi güvenliği ve gizlilik gereksinimlerini karşılamak için sözleşmeye bağlı olarak gerekli olduklarından emin olmak için Stintar ile bir satıcı veri işleme sözleşmesine girmelidir.
4.9 Risk Değerlendirmesi. Stintar, müşteri verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkileyebilecek riskleri tanımlamak, izlemek ve yönetmek için bir risk yönetimi programı sürdürecektir. Stintar, personeline kiralama üzerine ve en azından yıllık bazda bilgi güvenliği ve gizlilik eğitimi sağlayacaktır. Ayrıca, tüm çalışanların kiralık olarak Stintar'ın bilgi güvenliği ve veri koruma politikasını imzalaması ve kabul etmeleri gerekmektedir. Stintar, ilgili yasalara, düzenlemelere, etik gereksinimlere ve/veya en azından ilk işe alındıktan sonra ABD dışı yargı bölgeleri için kabul edilen yerel uygulamalara uygun olarak müşteri verilerine erişimi olan çalışanlar üzerinde arka plan doğrulama kontrolleri gerçekleştirecektir (yasalarla yasaklanmadıkça) . Doğrulama düzeyi, çalışanın rolüne, o kişinin rolü sırasında erişilecek bilgilerin hassasiyetine, bilginin kötüye kullanılmasından ve ABD olmayan yerel uygulamalarda kabul edilen risklere göre uygun olacaktır. yargı yetkileri. Yasa tarafından yasaklanmadıkça veya ABD dışı yargı yetkileri için kabul edilen yerel uygulamalarla tutarsız olmadıkça, en azından ilk işe alındıktan sonra her birey için aşağıdaki kontroller yapılacaktır: (i) kimlik doğrulaması ve (ii) ceza geçmişi.
< br>
5. Veri Güvenliği Standartlarındaki Güncellemeler
Müşteri, Stintar'ın bu tür güncellemelerin ve değişikliklerin hizmetin genel güvenliğini düşürmemesi veya azaltmaması koşuluyla, veri güvenliği standartlarını zaman zaman güncelleyebileceğini veya değiştirebileceğini kabul eder.