重要提醒:谷歌和雅虎將從2024年2月開始要求DMARC。

資訊安全政策

PowerDMARC SaaS平臺由MENAINFOSEC, Inc.擁有和運營, PowerDMARC是ISO 27001:2013認證的平臺。

PowerDMARC認為保護用戶數據是重中之重。正如本PowerDMARC資訊安全政策中進一步描述的那樣,PowerDMARC使用商業上合理的組織和技術措施,旨在防止未經授權的訪問、使用、更改或披露存儲在PowerDMARC控制下的系統上的用戶數據。

訂戶數據和管理

PowerDMARC限制其人員訪問用戶數據,具體如下。

  • 需要通過安全登錄名和密碼進行唯一的使用者訪問授權,包括雲主機管理員訪問的多因素身份驗證;
  • 在「需要知道」的基礎上限制PowerDMARC人員可用的用戶數據;
  • 根據業務需要,限制PowerDMARC人員訪問PowerDMARC的生產環境;
  • 對用於生產訪問的使用者安全憑據進行加密;和
  • 禁止PowerDMARC人員將用戶數據儲存在電子便攜式儲存設備上,如筆記型電腦、便攜式驅動器和其他類似設備。
  • PowerDMARC在邏輯上將每個用戶的數據分開,並維護旨在防止用戶數據暴露給其他客戶或被其他客戶訪問的措施。

數據加密

PowerDMARC為用戶數據提供行業標準的加密,具體如下。

  • 在傳輸和靜態中實現加密;
  • 使用強大的加密方法來保護用戶數據,包括對存儲在PowerDMARC生產環境中的用戶數據進行AES 256位加密;和
  • 在靜態時對位於雲存儲中的所有訂閱者數據進行加密。

網路安全、物理安全和環境控制

  • PowerDMARC使用防火牆、網路訪問控制和其他技術,旨在防止未經授權訪問處理用戶數據的系統。
  • PowerDMARC維護旨在評估、測試和應用於用於提供服務的所有相關系統和應用程式的安全補丁的措施。
  • PowerDMARC監控對處理用戶數據的應用程式(包括雲服務)的特權訪問。
  • 服務在 Amazon Web Services(“AWS”)和 Heroku 上運行,並受到 Amazon 的安全和環境控制的保護。有關 AWS 安全性的詳細資訊,請存取 https://aws.amazon.com/security/ 和 http://aws.amazon.com/security/sharing-the-security-responsibility/。有關 AWS SOC 報告,請參閱 https://aws.amazon.com/compliance/soc-faqs/。
  • 存儲在 AWS 中的訂閱者數據始終是加密的。AWS,並且無權訪問未加密的訂閱者數據。

事件回應

如果PowerDMARC意識到未經授權訪問或披露其控制的用戶數據(“違規行為”),PowerDMARC將。

  • 採取合理措施減輕違規行為的有害影響,並防止進一步未經授權的訪問或披露。
  • 在確認違約后,立即以書面形式通知客戶違約。儘管有上述規定,在適用法律禁止的範圍內,PowerDMARC不需要發出這樣的通知,PowerDMARC可能會根據執法部門的要求和/或根據PowerDMARC的合法需要,在提供通知之前推遲這樣的通知,以調查或補救此事。

每份違規通知將包括:

  • 在違規期間,用戶數據被使用、訪問、獲取或披露的程度,或被合理地相信已被使用、訪問、獲取或披露的程度;
  • 對所發生事件的描述,包括違規日期和發現違規日期(如果已知);
  • 在已知的範圍內,違約的範圍;和
  • 描述PowerDMARC對違規行為的回應,包括PowerDMARC為減輕違規行為造成的傷害而採取的措施。

商業社區管理

  • PowerDMARC維護適當的業務連續性和災難恢復計劃。
  • PowerDMARC維護流程,以確保其系統、網路和數據存儲的故障轉移冗餘。

人事管理

  • PowerDMARC根據適用法律對所有新員工進行就業驗證,包括身份驗證證明和犯罪背景調查。
  • PowerDMARC為參與用戶數據處理的人員提供培訓,以確保他們不會在未經授權的情況下收集、處理或使用用戶數據,並對用戶數據保密,包括在涉及用戶數據的任何角色終止后。
  • PowerDMARC對員工系統活動進行例行和隨機監測。
  • 在員工被解僱后,無論是自願的還是非自願的,PowerDMARC都會立即禁用對PowerDMARC系統的所有訪問。
  • PowerDMARC每年都會對員工進行資訊安全意識培訓和持續的簡報。

聯繫

最後更新時間: 2020年5月10日