信息安全政策
PowerDMARC SaaS平台由MENAINFOSEC公司拥有和运营。PowerDMARC是ISO 27001:2013认证的平台。
PowerDMARC认为保护用户数据是首要任务。正如本PowerDMARC信息安全政策所描述的那样,PowerDMARC采用商业上合理的组织和技术措施,以防止未经授权的访问,使用,改变或披露存储在PowerDMARC控制的系统中的用户数据。
订阅者数据和管理
PowerDMARC对其人员访问用户数据的限制如下。
- 要求通过安全登录和密码进行独特的用户访问授权,包括云主机管理员访问的多因素认证。
- 在 "需要知道 "的基础上,限制PowerDMARC人员获得用户数据。
- 根据业务需要,限制PowerDMARC人员对PowerDMARC的生产环境的访问。
- 对生产访问的用户安全凭证进行加密;以及
- 禁止PowerDMARC人员将用户数据存储在电子便携式存储设备上,如电脑笔记本、便携式驱动器和其他类似设备。
- PowerDMARC在逻辑上分离了每个用户的数据,并采取了旨在防止用户数据暴露于其他客户或被其访问的措施。
数据加密
PowerDMARC为用户数据提供行业标准的加密,具体如下。
- 在运输和静止状态下实施加密。
- 使用强大的加密方法来保护用户数据,包括对存储在PowerDMARC的生产环境中的用户数据进行AES 256位加密;以及
- 在休息时对位于云存储的所有用户数据进行加密。
网络安全、实体安全和环境控制
- PowerDMARC使用防火墙,网络访问控制和其他技术,旨在防止未经授权访问处理用户数据的系统。
- PowerDMARC维护旨在评估,测试和应用安全补丁的措施,用于提供服务的所有相关系统和应用程序。
- PowerDMARC监控对处理用户数据的应用程序的特权访问,包括云服务。
- 服务在亚马逊网络服务("AWS")和Heroku上运行,并受到亚马逊的安全和环境控制的保护。有关AWS安全的详细信息可在https://aws.amazon.com/security/ 和http://aws.amazon.com/security/sharing-the-security-responsibility/。关于AWS SOC报告,请见https://aws.amazon.com/compliance/soc-faqs/。
- 存储在AWS内的用户数据在任何时候都是加密的。AWS并不能访问未加密的用户数据。
事故应对
如果PowerDMARC发现其控制下的用户数据有未经授权的访问或披露("违规行为"),PowerDMARC将。
- 采取合理的措施,减轻违规行为的有害影响,防止进一步的未经授权的访问或披露。
- 在确认违规行为后,以书面形式通知客户该违规行为,不得无故拖延。尽管有上述规定,但在适用法律禁止的范围内,PowerDMARC不需要进行这样的通知,而且PowerDMARC可以根据执法部门的要求和/或考虑到PowerDMARC在提供通知前调查或补救的合法需要,推迟此类通知。
每份违约通知都将包括。
- 用户数据在入侵期间被使用、访问、获取或披露的程度,或有理由相信被使用、访问、获取或披露的程度。
- 对所发生事件的描述,包括违法行为发生的日期和发现违法行为的日期(如果知道)。
- 在已知的范围内,违法行为的范围;以及
- 描述PowerDMARC对违法行为的反应,包括PowerDMARC为减轻违法行为造成的伤害所采取的措施。
商业社区管理
- PowerDMARC保持适当的业务连续性和灾难恢复计划。
- PowerDMARC保持着确保其系统、网络和数据存储的故障切换冗余的流程。
人事管理
- PowerDMARC根据适用法律,对所有新员工进行就业核查,包括身份验证和犯罪背景调查。
- PowerDMARC为其参与处理用户数据的人员提供培训,以确保他们不在未经授权的情况下收集、处理或使用用户数据,并对用户数据进行保密,包括在涉及用户数据的任何角色终止后。
- PowerDMARC对员工的系统活动进行常规和随机监测。
- 一旦员工离职,无论是自愿还是非自愿,PowerDMARC都会立即停止对PowerDMARC系统的所有访问。
- PowerDMARC对其员工进行年度信息安全意识培训和持续的简报。
联系我们
- 如果你对本政策有任何疑问,请与我们联系,[email protected]。
最后更新。2020年5月10日
