Sau đây mô tả các tiêu chuẩn bảo mật của Stintar đối với các kiểm soát hành chính, kỹ thuật và vật lý áp dụng cho dịch vụ. Các điều khoản được viết hoa sẽ có nghĩa được gán cho họ trong Thỏa thuận trừ khi được định nghĩa khác.
1. Chương trình bảo mật
1.1 Chương trình bảo mật. Stintar sẽ thực hiện và duy trì một chương trình bảo mật thông tin dựa trên rủi ro bao gồm các biện pháp bảo vệ hành chính, kỹ thuật và tổ chức được thiết kế để bảo vệ tính bảo mật, toàn vẹn và tính khả dụng của dữ liệu khách hàng.
< P> 1.2 Tổ chức bảo mật. Stintar sẽ có một nhóm bảo mật chuyên dụng chịu trách nhiệm thực hiện, duy trì, giám sát và thực thi các biện pháp bảo vệ bảo mật phù hợp với hệ thống quản lý bảo mật thông tin.
2. Đánh giá bảo mật, chứng nhận và chứng thực
2.1 Giám sát chương trình bảo mật. Stintar thực hiện các đánh giá định kỳ để giám sát chương trình bảo mật thông tin của mình để xác định rủi ro và đảm bảo kiểm soát đang hoạt động hiệu quả bằng cách thực hiện các thử nghiệm thâm nhập, kiểm toán nội bộ và đánh giá rủi ro.
2.2 Kiểm tra thâm nhập. Stintar sẽ tham gia một bên thứ ba đủ điều kiện để thực hiện các bài kiểm tra thâm nhập bao gồm phạm vi của các dịch vụ ít nhất là hàng năm. Stintar sẽ cung cấp cho khách hàng của mình một bản tóm tắt điều hành về bài kiểm tra thâm nhập đã hoàn thành gần đây nhất theo Mục 2.5.
2.3 Chương trình tiền thưởng lỗi. Stintar phải duy trì một chương trình tiền thưởng lỗi cho phép các nhà nghiên cứu bảo mật độc lập báo cáo các mối đe dọa và lỗ hổng bảo mật trên cơ sở liên tục. Các phát hiện được xác định phải được giải quyết và giảm thiểu dựa trên rủi ro và theo cách kịp thời.
2.4 Các tạo tác bảo mật. Stintar sẽ cung cấp cho các tạo tác bảo mật khách hàng thể hiện sự tuân thủ của nó đối với các tiêu chuẩn bảo mật dữ liệu này và các khung được liệt kê trong Phần 2.2. Cổ vật sẽ bao gồm các câu hỏi tiêu chuẩn công nghiệp đã hoàn thành, tóm tắt điều hành kết quả kiểm tra thâm nhập và tóm tắt về kế hoạch khắc phục sự liên tục và khắc phục thảm họa của doanh nghiệp.
2.5 Kiểm toán khách hàng. Trong phạm vi khách hàng không thể xác nhận hợp lý sự tuân thủ của Stintar với các tiêu chuẩn bảo mật dữ liệu này với thông tin do Stintar cung cấp, khách hàng có thể đưa ra yêu cầu bằng văn bản để thực hiện kiểm toán từ xa với chi phí của khách hàng với ít nhất ba mươi ngày thông báo. Yêu cầu bằng văn bản phải chỉ định các khu vực không thể được xác nhận thông qua các cổ vật được cung cấp cho khách hàng. Việc kiểm toán phải được thực hiện trong thời hạn đăng ký và phạm vi phải được thỏa thuận lẫn nhau giữa khách hàng và bên trước khi bắt đầu kiểm toán. Việc kiểm toán phải được thực hiện trong giờ làm việc thường xuyên với sự gián đoạn tối thiểu đối với các hoạt động kinh doanh của Stintar và sẽ xảy ra không quá một lần hàng năm.
3. Quản lý sự cố bảo mật
3.1 Giám sát bảo mật. Stintar sẽ giám sát các hệ thống thông tin của mình để xác định truy cập trái phép, hành vi bất ngờ, chữ ký tấn công nhất định và các chỉ số khác về sự cố bảo mật.
3.2 Phản ứng sự cố. Stintar sẽ duy trì kế hoạch ứng phó sự cố bảo mật được xem xét và kiểm tra ít nhất hàng năm để thiết lập một phản ứng hợp lý và nhất quán đối với các sự cố an ninh và các sự cố bảo mật bị nghi ngờ liên quan đến việc phá hủy, mất mát, hành vi trộm cắp, thay đổi, tiết lộ trái phép hoặc tiếp cận , Dữ liệu khách hàng được truyền, lưu trữ hoặc xử lý bằng cách khác bởi Stintar.
3.3 Thông báo sự cố. Stintar sẽ kịp thời điều tra một sự cố an ninh khi nhận thức được một sự cố như vậy. Trong phạm vi được cho phép bởi luật hiện hành, Stintar sẽ thông báo cho khách hàng về một sự cố bảo mật theo nghĩa vụ của mình theo phụ lục xử lý dữ liệu. Khách hàng có trách nhiệm cung cấp thông tin liên hệ bảo mật được cập nhật trong bảng điều khiển quản trị viên như được mô tả ở đây.
4. Kiểm soát bảo mật
4.1 Điều khiển truy cập
4.1.1 Truy cập bị hạn chế. Truy cập vào dữ liệu khách hàng được giới hạn ở nhân viên Stintar được ủy quyền, những người được yêu cầu truy cập dữ liệu khách hàng để thực hiện các chức năng như một phần của việc cung cấp dịch vụ. Truy cập được cấp dựa trên nguyên tắc đặc quyền tối thiểu và quyền truy cập được cấp là tương xứng với chức năng công việc. Truy cập vào dữ liệu khách hàng phải thông qua các tên người dùng và mật khẩu duy nhất và xác thực đa yếu tố phải được bật. Truy cập bị vô hiệu hóa trong vòng một ngày làm việc sau khi kết thúc của nhân viên.
4.1.2 Mật khẩu. Stintar sẽ duy trì chính sách mật khẩu tuân theo các yêu cầu mật khẩu bí mật của NIST 800-63B. Stintar sẽ duy trì chính sách quản lý thay đổi chính thức để đảm bảo bảo mật được nhúng trong suốt vòng đời phát triển phần mềm và tính đến các rủi ro bảo mật ứng dụng web OWASP Top 10.
4.2.2 Đánh giá và kiểm tra mã. Tất cả các thay đổi đối với mã tác động đến dữ liệu khách hàng sẽ được xem xét và kiểm tra trước khi được triển khai để sản xuất.
4.2.3 Quản lý lỗ hổng. Stintar sẽ duy trì một chương trình quản lý lỗ hổng để đảm bảo các lỗ hổng được xác định được ưu tiên, giải quyết và giảm thiểu dựa trên rủi ro. Stintar sẽ sử dụng các nỗ lực hợp lý về mặt thương mại để giải quyết các lỗ hổng quan trọng trong vòng 30 ngày.
4.2.4 Phụ thuộc phần mềm của bên thứ ba. Stintar phải đảm bảo rằng các thư viện và thành phần của bên thứ ba được quản lý một cách thích hợp và các bản cập nhật được cài đặt kịp thời khi xác định rằng có khả năng ảnh hưởng đến tư thế bảo mật của sản phẩm của chúng tôi.
4.3 mã hóa. Stintar sẽ mã hóa dữ liệu khách hàng trong quá trình vận chuyển và nghỉ ngơi bằng cách sử dụng các thuật toán mã hóa tiêu chuẩn công nghiệp phù hợp với cơ chế chuyển giao (ví dụ: TLS 1.2, AES-256).
> 4.4 Tính khả dụng và khắc phục thảm họa. Stintar sẽ thực hiện và duy trì một tập hợp các chính sách và quy trình khắc phục thảm họa được ghi nhận để cho phép phục hồi hoặc tiếp tục cơ sở hạ tầng và hệ thống công nghệ quan trọng sau thảm họa. Ngoài ra, Stintar sẽ thực hiện các bài kiểm tra hàng năm về kế hoạch khắc phục thảm họa của mình và sẽ cung cấp một bản tóm tắt kết quả cho khách hàng của mình.
4.5 sao lưu. Stintar sẽ thực hiện sao lưu dữ liệu khách hàng thường xuyên và đảm bảo rằng các bản sao lưu có các biện pháp bảo vệ tương tự như cơ sở dữ liệu sản xuất.
4.6 bảo mật thiết bị. Các thiết bị Stintar truy cập dữ liệu khách hàng phải được quản lý tập trung và các cài đặt bảo mật sau đây phải được bật: mã hóa ổ cứng, bật mật khẩu cục bộ và phần mềm chống vi-rút và/hoặc phần mềm chống phần mềm phải được cài đặt, bật liên tục và tự động cập nhật. < /p>
4.7 Bảo mật vật lý. Stintar sẽ đảm bảo rằng tất cả các vị trí vật lý xử lý, lưu trữ hoặc truyền dữ liệu khách hàng được đặt trong một cơ sở vật lý an toàn. Stintar phải xem xét các chứng nhận bảo mật của bên thứ ba (ví dụ: SOC 2 loại 2) của các nhà cung cấp dịch vụ lưu trữ đám mây của bên thứ ba trên cơ sở hàng năm để đảm bảo rằng các biện pháp kiểm soát an ninh vật lý phù hợp được áp dụng.
4,8 Quản lý rủi ro nhà cung cấp. Stintar phải duy trì chương trình quản lý rủi ro nhà cung cấp chính thức, đảm bảo tất cả các nhà cung cấp bên thứ ba có quyền truy cập vào dữ liệu khách hàng trải qua đánh giá rủi ro trước khi được đưa vào. Các nhà cung cấp có quyền truy cập vào dữ liệu của khách hàng phải tham gia vào thỏa thuận xử lý dữ liệu của nhà cung cấp với Stintar để đảm bảo rằng họ được yêu cầu theo hợp đồng để bảo vệ thông tin của chúng tôi và đáp ứng các yêu cầu bảo mật thông tin và bảo mật tối thiểu, bao gồm báo cáo các sự cố bảo mật và vi phạm.
4.9 Đánh giá rủi ro. Stintar sẽ duy trì một chương trình quản lý rủi ro để xác định, giám sát và quản lý các rủi ro có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu khách hàng. Stintar sẽ cung cấp cho nhân viên của mình các khóa đào tạo bảo mật và bảo mật thông tin khi thuê và ít nhất là một cơ sở hàng năm sau đó. Ngoài ra, tất cả nhân viên được yêu cầu ký và thừa nhận chính sách bảo mật và bảo vệ dữ liệu thông tin của Stintar khi thuê.
4.11 bảo mật nhân sự. Stintar sẽ thực hiện kiểm tra xác minh nền trên các nhân viên có quyền truy cập vào dữ liệu của khách hàng theo các luật, quy định, yêu cầu đạo đức liên quan và/hoặc chấp nhận các thông lệ địa phương đối với các khu vực pháp lý không phải của Hoa Kỳ cho mỗi cá nhân ít nhất là cho thuê ban đầu (trừ khi bị cấm theo luật) . Mức độ xác minh phải phù hợp theo vai trò của nhân viên, độ nhạy cảm của thông tin cần được truy cập trong quá trình của người đó, những rủi ro có thể phát sinh từ việc lạm dụng thông tin và các hoạt động địa phương được chấp nhận trong khu vực pháp lý. Các kiểm tra sau đây sẽ được thực hiện cho mỗi cá nhân ít nhất là khi thuê ban đầu trừ khi bị pháp luật cấm hoặc không phù hợp với các thông lệ địa phương được chấp nhận đối với các khu vực pháp lý không thuộc Hoa Kỳ: (i) Xác minh danh tính và (ii) Lịch sử tội phạm.
< Br>
5. Cập nhật các tiêu chuẩn bảo mật dữ liệu
Khách hàng thừa nhận rằng Stintar có thể cập nhật hoặc sửa đổi các tiêu chuẩn bảo mật dữ liệu theo thời gian, với điều kiện là các bản cập nhật và sửa đổi đó không làm giảm hoặc làm giảm bảo mật tổng thể của dịch vụ.