Polityka bezpieczeństwa informacji

Właścicielem i operatorem platformy PowerDMARC SaaS jest firma MENAINFOSEC, Inc. PowerDMARC jest platformą certyfikowaną zgodnie z normą ISO 27001:2013.

PowerDMARC traktuje ochronę danych abonentów jako najwyższy priorytet. Jak dalej opisano w niniejszej Polityce Bezpieczeństwa Informacji PowerDMARC, PowerDMARC stosuje komercyjnie uzasadnione środki organizacyjne i techniczne mające na celu zapobieganie nieautoryzowanemu dostępowi, wykorzystaniu, zmianie lub ujawnieniu danych abonentów przechowywanych w systemach pod kontrolą PowerDMARC.

Dane i zarządzanie abonentami

PowerDMARC ogranicza dostęp swojego personelu do danych abonenckich w następujący sposób:

  • Wymaga unikalnej autoryzacji dostępu użytkownika za pomocą bezpiecznych loginów i haseł, w tym uwierzytelniania wieloczynnikowego dla dostępu administratora Cloud Hosting;
  • Ograniczenie danych abonenckich dostępnych dla personelu PowerDMARC na zasadzie "need to know";
  • Ogranicza dostęp do środowiska produkcyjnego PowerDMARC dla personelu PowerDMARC na podstawie potrzeb biznesowych;
  • Szyfrowanie poświadczeń bezpieczeństwa użytkownika dla dostępu produkcyjnego; oraz
  • Zakazuje personelowi PowerDMARC przechowywania danych abonentów na elektronicznych przenośnych urządzeniach pamięciowych, takich jak laptopy komputerowe, dyski przenośne i inne podobne urządzenia.
  • PowerDMARC logicznie oddziela dane każdego ze swoich abonentów i utrzymuje środki mające na celu uniemożliwienie ujawnienia danych abonentów lub uzyskania do nich dostępu przez innych klientów.

Szyfrowanie danych

PowerDMARC zapewnia szyfrowanie danych abonenckich w standardzie przemysłowym w następujący sposób:

  • Wdraża szyfrowanie w transporcie i w stanie spoczynku;
  • Stosuje metody silnego szyfrowania w celu ochrony danych abonentów, w tym 256-bitowe szyfrowanie AES dla danych abonentów przechowywanych w środowisku produkcyjnym PowerDMARC; oraz
  • Szyfruje wszystkie dane abonenta znajdujące się w pamięci masowej w chmurze w stanie spoczynku.

Bezpieczeństwo sieci, bezpieczeństwo fizyczne i kontrole środowiskowe

  • PowerDMARC używa zapór sieciowych, kontroli dostępu do sieci oraz innych technik zaprojektowanych w celu zapobiegania nieautoryzowanemu dostępowi do systemów przetwarzających dane abonentów.
  • PowerDMARC utrzymuje środki mające na celu ocenę, testowanie i stosowanie poprawek bezpieczeństwa do wszystkich odpowiednich systemów i aplikacji używanych do świadczenia Usług.
  • PowerDMARC monitoruje uprzywilejowany dostęp do aplikacji, które przetwarzają dane abonentów, w tym do usług w chmurze.
  • Usługi działają w ramach Amazon Web Services ("AWS") i Heroku i są chronione przez zabezpieczenia i kontrole środowiskowe firmy Amazon. Szczegółowe informacje na temat bezpieczeństwa AWS są dostępne na stronach https://aws.amazon.com/security/ i http://aws.amazon.com/security/sharing-the-security-responsibility/. Raporty SOC AWS można znaleźć pod adresem https://aws.amazon.com/compliance/soc-faqs/.
  • Dane abonenta przechowywane w AWS są przez cały czas zaszyfrowane. AWS i nie mają dostępu do niezaszyfrowanych danych abonentów.

Reagowanie na incydenty

Jeśli PowerDMARC dowie się o nieautoryzowanym dostępie lub ujawnieniu danych abonenta pod swoją kontrolą ("Naruszenie"), PowerDMARC:

  • Podjęcie uzasadnionych środków w celu złagodzenia szkodliwych skutków Naruszenia i zapobieżenia dalszemu nieuprawnionemu dostępowi lub ujawnieniu.
  • Po potwierdzeniu Naruszenia, bez zbędnej zwłoki powiadomić klienta na piśmie o Naruszeniu. Niezależnie od powyższego, PowerDMARC nie jest zobowiązany do dokonania takiego zawiadomienia w zakresie zabronionym przez obowiązujące przepisy prawa, a PowerDMARC może opóźnić takie zawiadomienie na prośbę organów ścigania i/lub w świetle uzasadnionych potrzeb PowerDMARC do zbadania lub naprawienia sprawy przed przekazaniem zawiadomienia.

Każde zawiadomienie o Naruszeniu będzie zawierać:

  • Zakres, w jakim dane subskrybenta zostały lub istnieje uzasadnione przypuszczenie, że zostały wykorzystane, udostępnione, pozyskane lub ujawnione podczas Naruszenia;
  • Opis tego, co się wydarzyło, w tym data Naruszenia oraz data odkrycia Naruszenia, jeżeli jest znana;
  • Zakres Naruszenia, w zakresie, w jakim jest on znany; oraz
  • Opis reakcji PowerDMARC na Naruszenie, w tym kroki podjęte przez PowerDMARC w celu złagodzenia szkód spowodowanych Naruszeniem.

Zarządzanie społecznością biznesową

  • PowerDMARC utrzymuje odpowiedni plan ciągłości działania i odzyskiwania danych po awarii.
  • PowerDMARC utrzymuje procesy zapewniające redundancję w przypadku awarii swoich systemów, sieci i przechowywania danych.

Zarządzanie personelem

  • PowerDMARC przeprowadza weryfikację zatrudnienia, w tym potwierdzenie tożsamości oraz sprawdzenie przeszłości kryminalnej wszystkich nowo zatrudnionych osób zgodnie z obowiązującym prawem.
  • PowerDMARC zapewnia szkolenia dla swojego personelu, który jest zaangażowany w przetwarzanie danych abonentów, aby zapewnić, że nie zbierają, nie przetwarzają ani nie wykorzystują danych abonentów bez upoważnienia oraz że zachowują dane abonentów w poufności, w tym po zakończeniu jakiejkolwiek roli związanej z danymi abonentów.
  • PowerDMARC prowadzi rutynowy i losowy monitoring aktywności systemów pracowników.
  • Po zakończeniu pracy przez pracownika, dobrowolnym lub niedobrowolnym, PowerDMARC natychmiast wyłącza wszelki dostęp do systemów PowerDMARC.
  • PowerDMARC przeprowadza coroczne szkolenie w zakresie świadomości bezpieczeństwa informacji oraz bieżące szkolenia dla swoich pracowników.

Kontakt

  • Jeśli masz jakiekolwiek pytania dotyczące tej polityki, skontaktuj się z nami pod adresem [email protected].
Przeczytaj o naszych szczegółach dotyczących bezpieczeństwa platformy

Ostatnio aktualizowane: 10 maja 2020 r.