Dane i zarządzanie abonentami
PowerDMARC ogranicza dostęp swojego personelu do danych abonenckich w następujący sposób:
- Wymaga unikalnej autoryzacji dostępu użytkownika za pomocą bezpiecznych loginów i haseł, w tym uwierzytelniania wieloczynnikowego dla dostępu administratora Cloud Hosting;
- Ograniczenie danych abonenckich dostępnych dla personelu PowerDMARC na zasadzie "need to know";
- Ogranicza dostęp do środowiska produkcyjnego PowerDMARC dla personelu PowerDMARC na podstawie potrzeb biznesowych;
- Szyfrowanie poświadczeń bezpieczeństwa użytkownika dla dostępu produkcyjnego; oraz
- Zakazuje personelowi PowerDMARC przechowywania danych abonentów na elektronicznych przenośnych urządzeniach pamięciowych, takich jak laptopy komputerowe, dyski przenośne i inne podobne urządzenia.
- PowerDMARC logicznie oddziela dane każdego ze swoich abonentów i utrzymuje środki mające na celu uniemożliwienie ujawnienia danych abonentów lub uzyskania do nich dostępu przez innych klientów.
Szyfrowanie danych
PowerDMARC zapewnia szyfrowanie danych abonenckich w standardzie przemysłowym w następujący sposób:
- Wdraża szyfrowanie w transporcie i w stanie spoczynku;
- Stosuje metody silnego szyfrowania w celu ochrony danych abonentów, w tym 256-bitowe szyfrowanie AES dla danych abonentów przechowywanych w środowisku produkcyjnym PowerDMARC; oraz
- Szyfruje wszystkie dane abonenta znajdujące się w pamięci masowej w chmurze w stanie spoczynku.
Bezpieczeństwo sieci, bezpieczeństwo fizyczne i kontrole środowiskowe
- PowerDMARC używa zapór sieciowych, kontroli dostępu do sieci oraz innych technik zaprojektowanych w celu zapobiegania nieautoryzowanemu dostępowi do systemów przetwarzających dane abonentów.
- PowerDMARC utrzymuje środki mające na celu ocenę, testowanie i stosowanie poprawek bezpieczeństwa do wszystkich odpowiednich systemów i aplikacji używanych do świadczenia Usług.
- PowerDMARC monitoruje uprzywilejowany dostęp do aplikacji, które przetwarzają dane abonentów, w tym do usług w chmurze.
- Usługi działają w ramach Amazon Web Services ("AWS") i Heroku i są chronione przez zabezpieczenia i kontrole środowiskowe firmy Amazon. Szczegółowe informacje na temat bezpieczeństwa AWS są dostępne na stronach https://aws.amazon.com/security/ i http://aws.amazon.com/security/sharing-the-security-responsibility/. Raporty SOC AWS można znaleźć pod adresem https://aws.amazon.com/compliance/soc-faqs/.
- Dane abonenta przechowywane w AWS są przez cały czas zaszyfrowane. AWS i nie mają dostępu do niezaszyfrowanych danych abonentów.
Reagowanie na incydenty
Jeśli PowerDMARC dowie się o nieautoryzowanym dostępie lub ujawnieniu danych abonenta pod swoją kontrolą ("Naruszenie"), PowerDMARC:
- Podjęcie uzasadnionych środków w celu złagodzenia szkodliwych skutków Naruszenia i zapobieżenia dalszemu nieuprawnionemu dostępowi lub ujawnieniu.
- Po potwierdzeniu Naruszenia, bez zbędnej zwłoki powiadomić klienta na piśmie o Naruszeniu. Niezależnie od powyższego, PowerDMARC nie jest zobowiązany do dokonania takiego zawiadomienia w zakresie zabronionym przez obowiązujące przepisy prawa, a PowerDMARC może opóźnić takie zawiadomienie na prośbę organów ścigania i/lub w świetle uzasadnionych potrzeb PowerDMARC do zbadania lub naprawienia sprawy przed przekazaniem zawiadomienia.
Każde zawiadomienie o Naruszeniu będzie zawierać:
- Zakres, w jakim dane subskrybenta zostały lub istnieje uzasadnione przypuszczenie, że zostały wykorzystane, udostępnione, pozyskane lub ujawnione podczas Naruszenia;
- Opis tego, co się wydarzyło, w tym data Naruszenia oraz data odkrycia Naruszenia, jeżeli jest znana;
- Zakres Naruszenia, w zakresie, w jakim jest on znany; oraz
- Opis reakcji PowerDMARC na Naruszenie, w tym kroki podjęte przez PowerDMARC w celu złagodzenia szkód spowodowanych Naruszeniem.
- PowerDMARC utrzymuje odpowiedni plan ciągłości działania i odzyskiwania danych po awarii.
- PowerDMARC utrzymuje procesy zapewniające redundancję w przypadku awarii swoich systemów, sieci i przechowywania danych.
Zarządzanie personelem
- PowerDMARC przeprowadza weryfikację zatrudnienia, w tym potwierdzenie tożsamości oraz sprawdzenie przeszłości kryminalnej wszystkich nowo zatrudnionych osób zgodnie z obowiązującym prawem.
- PowerDMARC zapewnia szkolenia dla swojego personelu, który jest zaangażowany w przetwarzanie danych abonentów, aby zapewnić, że nie zbierają, nie przetwarzają ani nie wykorzystują danych abonentów bez upoważnienia oraz że zachowują dane abonentów w poufności, w tym po zakończeniu jakiejkolwiek roli związanej z danymi abonentów.
- PowerDMARC prowadzi rutynowy i losowy monitoring aktywności systemów pracowników.
- Po zakończeniu pracy przez pracownika, dobrowolnym lub niedobrowolnym, PowerDMARC natychmiast wyłącza wszelki dostęp do systemów PowerDMARC.
- PowerDMARC przeprowadza coroczne szkolenie w zakresie świadomości bezpieczeństwa informacji oraz bieżące szkolenia dla swoich pracowników.
Ostatnio aktualizowane: 10 maja 2020 r.