Dados e Gestão de Assinantes
PowerDMARC limita o acesso do seu pessoal aos dados dos subscritores da seguinte forma:
- Requer autorização única de acesso de utilizador através de logins e passwords seguras, incluindo autenticação multi-factor para acesso de administrador de Cloud Hosting;
- Limita os dados dos assinantes disponíveis para o pessoal do PowerDMARC numa base de "necessidade de saber";
- Restringe o acesso ao ambiente de produção do PowerDMARC pelo pessoal do PowerDMARC com base nas necessidades comerciais;
- Criptografa as credenciais de segurança dos utilizadores para acesso à produção; e
- Proíbe o pessoal PowerDMARC de armazenar dados de assinantes em dispositivos electrónicos portáteis de armazenamento, tais como computadores portáteis, unidades portáteis e outros dispositivos semelhantes.
- PowerDMARC separa logicamente cada um dos dados dos seus assinantes e mantém medidas destinadas a evitar que os dados dos assinantes sejam expostos ou acedidos por outros clientes.
Criptografia de dados
PowerDMARC fornece encriptação padrão da indústria para os dados dos assinantes, como se segue:
- Implemente a encriptação no transporte e no repouso;
- Utiliza metodologias de encriptação fortes para proteger os dados dos assinantes, incluindo encriptação AES 256-bit para os dados dos assinantes armazenados no ambiente de produção do PowerDMARC; e
- Codifica todos os dados dos subscritores localizados em armazenamento em nuvem enquanto em repouso.
Segurança de Redes, Segurança Física e Controlos Ambientais
- PowerDMARC utiliza firewalls, controlos de acesso à rede e outras técnicas concebidas para impedir o acesso não autorizado a sistemas que processam dados de subscritores.
- PowerDMARC mantém medidas concebidas para avaliar, testar e aplicar patches de segurança a todos os sistemas e aplicações relevantes utilizados para a prestação dos Serviços.
- PowerDMARC controla o acesso privilegiado a aplicações que processam dados de subscritores, incluindo serviços em nuvem.
- Os Serviços operam na Amazon Web Services ("AWS") e Heroku e são protegidos pelos controlos de segurança e ambientais da Amazon. Informação detalhada sobre a segurança AWS está disponível em https://aws.amazon.com/security/ e http://aws.amazon.com/security/sharing-the-security-responsibility/. Para relatórios AWS SOC, consulte por favor https://aws.amazon.com/compliance/soc-faqs/.
- Os dados dos assinantes armazenados na AWS são encriptados a todo o momento. AWS e não têm acesso a dados de assinantes não encriptados.
Resposta a Incidentes
Se o PowerDMARC tomar conhecimento de acesso não autorizado ou divulgação de dados de subscritores sob o seu controlo (uma "Violação"), o PowerDMARC terá:
- Tomar medidas razoáveis para mitigar os efeitos nocivos da Violação e impedir mais acesso ou divulgação não autorizados.
- Após confirmação da Violação, notificar o cliente por escrito da Violação sem demora injustificada. Não obstante o precedente, o PowerDMARC não é obrigado a fazer tal notificação na medida proibida pelas leis aplicáveis, e o PowerDMARC pode atrasar tal notificação conforme solicitado pela aplicação da lei e/ou à luz das necessidades legítimas do PowerDMARC para investigar ou remediar a questão antes de fornecer a notificação.
Cada aviso de violação incluirá:
- A medida em que os dados dos assinantes foram, ou acredita-se razoavelmente que tenham sido, utilizados, acedidos, adquiridos ou divulgados durante a Violação;
- Uma descrição do que aconteceu, incluindo a data da Violação e a data da descoberta da Violação, se conhecida;
- O alcance da brecha, na medida em que seja conhecido; e
- Uma descrição da resposta do PowerDMARC à Violação, incluindo passos que o PowerDMARC tomou para mitigar os danos causados pela Violação.
- PowerDMARC mantém um plano adequado de continuidade de negócios e de recuperação de desastres.
- PowerDMARC mantém processos para assegurar a redundância de failover com os seus sistemas, redes e armazenamento de dados.
Gestão de Pessoal
- PowerDMARC efectua a verificação do emprego, incluindo prova de validação de identidade e verificação de antecedentes criminais para todas as novas contratações, de acordo com a lei aplicável.
- PowerDMARC fornece formação ao seu pessoal que está envolvido no processamento dos dados dos assinantes para assegurar que não recolhem, processam ou utilizam dados dos assinantes sem autorização e que mantêm a confidencialidade dos dados dos assinantes, incluindo após o término de qualquer papel que envolva os dados dos assinantes.
- PowerDMARC realiza um controlo de rotina e aleatório da actividade dos sistemas dos funcionários.
- Em caso de despedimento, voluntário ou involuntário, o PowerDMARC desactiva imediatamente todo o acesso aos sistemas PowerDMARC.
- PowerDMARC realiza anualmente formação anual de sensibilização para a segurança da informação e sessões de informação contínuas aos seus funcionários.
Actualizado em último lugar: 10 de Maio de 2020