Abonneegegevens en -beheer
PowerDMARC beperkt de toegang van zijn personeel tot abonneegegevens als volgt:
- Vereist unieke autorisatie van gebruikerstoegang via veilige logins en wachtwoorden, inclusief multi-factor authenticatie voor toegang tot Cloud Hosting-beheerder;
- Beperkt de abonneegegevens die beschikbaar zijn voor PowerDMARC-personeel tot een "need to know"-basis;
- Beperkt de toegang tot de productieomgeving van PowerDMARC door PowerDMARC-personeel op basis van zakelijke behoeften;
- Versleutelt de beveiligingsgegevens van gebruikers voor productietoegang; en
- Verbiedt PowerDMARC-personeel om gegevens van abonnees op te slaan op elektronische draagbare opslagapparaten zoals computerlaptops, draagbare schijven en andere soortgelijke apparaten.
- PowerDMARC scheidt de gegevens van alle abonnees logisch van elkaar en neemt maatregelen om te voorkomen dat gegevens van abonnees worden blootgesteld aan of toegankelijk zijn voor andere klanten.
Gegevenscodering
PowerDMARC biedt standaardversleuteling voor abonneegegevens als volgt:
- Implementeert versleuteling tijdens transport en in rust;
- Gebruikt krachtige coderingsmethoden om abonneegegevens te beschermen, waaronder AES 256-bits codering voor abonneegegevens die zijn opgeslagen in de productieomgeving van PowerDMARC; en
- Versleutelt alle gegevens van abonnees in cloud-opslag terwijl ze in rust zijn.
Netwerkbeveiliging, fysieke beveiliging en omgevingscontroles
- PowerDMARC gebruikt firewalls, netwerktoegangscontroles en andere technieken om onbevoegde toegang tot systemen die abonneegegevens verwerken te voorkomen.
- PowerDMARC handhaaft maatregelen om beveiligingspatches te beoordelen, te testen en toe te passen op alle relevante systemen en toepassingen die worden gebruikt om de Diensten te leveren.
- PowerDMARC bewaakt geprivilegieerde toegang tot toepassingen die abonneegegevens verwerken, waaronder cloudservices.
- De Services werken op Amazon Web Services ("AWS") en Heroku en worden beschermd door de beveiligings- en omgevingscontroles van Amazon. Gedetailleerde informatie over de beveiliging van AWS is beschikbaar op https://aws.amazon.com/security/ en http://aws.amazon.com/security/sharing-the-security-responsibility/. Zie https://aws.amazon.com/compliance/soc-faqs/ voor AWS SOC-rapporten.
- Abonneegegevens die binnen AWS zijn opgeslagen, zijn te allen tijde versleuteld. AWS en hebben geen toegang tot onversleutelde abonneegegevens.
Reactie op incidenten
Als PowerDMARC zich bewust wordt van onbevoegde toegang of openbaarmaking van abonneegegevens onder haar controle (een "Breach"), zal PowerDMARC:
- Redelijke maatregelen nemen om de schadelijke gevolgen van de schending te beperken en verdere onbevoegde toegang of openbaarmaking te voorkomen.
- Na bevestiging van de schending, de klant schriftelijk op de hoogte stellen van de schending zonder onnodige vertraging. Niettegenstaande het voorgaande, is PowerDMARC niet verplicht om een dergelijke kennisgeving te doen voor zover verboden door de toepasselijke wetgeving, en PowerDMARC kan een dergelijke kennisgeving uitstellen op verzoek van de rechtshandhaving en / of in het licht van PowerDMARC legitieme behoeften om de zaak te onderzoeken of te herstellen voordat kennisgeving wordt gedaan.
Elke kennisgeving van een schending zal het volgende bevatten:
- De mate waarin abonneegegevens zijn gebruikt, benaderd, verworven of vrijgegeven tijdens de Inbreuk, of waarvan redelijkerwijs kan worden aangenomen dat dit is gebeurd;
- Een beschrijving van wat er is gebeurd, inclusief de datum van de schending en de datum waarop de schending werd ontdekt, indien bekend;
- De omvang van de schending, voor zover bekend; en
- Een beschrijving van de reactie van PowerDMARC op de Inbreuk, inclusief de stappen die PowerDMARC heeft ondernomen om de schade veroorzaakt door de Inbreuk te beperken.
- PowerDMARC onderhoudt een passend bedrijfscontinuïteits- en noodherstelplan.
- PowerDMARC onderhoudt processen om failover-redundantie te garanderen met zijn systemen, netwerken en gegevensopslag.
Personeelsbeheer
- PowerDMARC voert arbeidsverificaties uit, inclusief identiteitsbewijzen en strafrechtelijke achtergrondcontroles voor alle nieuwe werknemers in overeenstemming met de geldende wetgeving.
- PowerDMARC biedt training aan haar personeel dat betrokken is bij de verwerking van de abonneegegevens om ervoor te zorgen dat zij de abonneegegevens niet zonder toestemming verzamelen, verwerken of gebruiken en dat zij de abonneegegevens vertrouwelijk behandelen, ook na beëindiging van elke rol waarbij de abonneegegevens betrokken zijn.
- PowerDMARC controleert routinematig en steekproefsgewijs de systeemactiviteit van medewerkers.
- Bij beëindiging van het dienstverband, vrijwillig of onvrijwillig, schakelt PowerDMARC onmiddellijk alle toegang tot PowerDMARC-systemen uit.
- PowerDMARC organiseert jaarlijks een bewustwordingstraining over informatiebeveiliging en geeft voortdurend voorlichting aan haar werknemers.
Laatst bijgewerkt: 10 mei 2020