日期:2020年12月

在lucidat,保護您的數據是我們所做的一切工作的重中之重。我們有健全的流程和實踐,確保我們所做的每一件事的數據、服務器、應用程序、網絡、物理和訪問安全。

在我們的安全實踐中,我們完全遵守通用數據保護條例(GDPR)。我們的係統、基礎設施和我們自己的行為在設計時都考慮到了保密性、完整性和可用性,因此我們可以提供可靠的服務,提供您信任的數據。

作為一家公司,我們為確保數據保護是設計和默認的而感到自豪——使安全成為我們文化資本的一部分(第25條)。

我們有全麵的程序和程序,以確保隻有您獲得授權的人才能訪問您的數據。我們的處理合作夥伴的選擇隻基於他們符合我們自己的安全標準(第25和32條)。

一旦出現問題,我們有全麵的備份和程序,以盡量減少數據的任何更改、未經授權的訪問或丟失(第5(1)條)。如果數據權利發生妥協,我們有健全的程序來確保遏製和恢複。以及清晰的通信協議。

由於安全是我們工作的核心,我們每年對整體安全進行兩次審查,並圍繞責任和問責製進行明確的治理。所有員工都接受定期培訓,並參加公開討論和測試,以確保安全始終是我們工作的重中之重。

我們的具體措施如下:

技術措施

服務器安全

  • 我們通過外部機構進行年度PEN測試,以確保我們的服務器環境是完全安全的

  • 所有服務器都有每日自動應用的安全更新
    -所有服務器都是通過“基礎設施代碼”構建的——確保一個高度一致、安全和有彈性的服務器環境

  • 所有服務器都托管在虛擬專用網絡中,並使用行業標準的加固實踐(如非標準端口和防火牆)進行加固,限製了我們的攻擊表麵積

  • 對服務器和在線資源的所有(虛擬)訪問是:
    -以最少特權(POLP)為基礎進行
    -由CTO或首席工程師簽署
    -由雙因素認證和安全密碼(和/或密鑰)保護

  • 教職員工對服務器沒有物理訪問。AWS數據中心安全控製詳細介紹如下:https://aws.amazon.com/compliance/data-center/controls/

  • 我們的數據至少每天都會自動備份

  • 所有的elicidat服務伟德官网BETV都設置為自動擴展,以確保在高需求時期的彈性

  • 我們有一個全麵的災難恢複計劃
    —我們確保在災難發生時,所有數據都能及時恢複
    -我們每年都進行災難恢複演練

  • 所有的開發都遵循我們的軟件開發生命周期過程——它保證了安全的開發過程
    -通過這一過程確定、減輕和管理與開發有關的任何風險
    -所有的開發和測試都在安全的環境中進行,不能訪問生產數據(或任何個人身份信息)

  • 從許可終止起3年後,所有使用lucidat的學習者和作者的個人身份數據將被刪除或匿名化

  • 我們對所有第三方供應商進行盡職調查,以確保他們符合我們的安全標準,並符合GDPR

數據移動

  • 所有數據都是加密的,在靜止和傳輸(使用SSH或HTTPS和AES256加密)

  • 訪問我們的安全網絡隻能通過VPN

  • 進行批量數據下載需要獲得CTO或首席工程師的批準
    -根據我們的軟件訪問控製政策,以最小權限(POLP)為基礎管理下載數據的訪問——完成給定任務所需的最小權限,當不再需要時取消訪問權限

  • 為了將數據傳遞給客戶,我們采用了安全的流程伟德国际1946bv官网

  • “不可插”存儲(如u盤)不在盧卡達使用

  • 員工經常被要求從筆記本電腦中刪除任何下載的數據,並確保在使用後安全刪除
    -下載資料隻用於支持我們提供的服務或應客戶的要求
    —下載的個人資料在使用後立即刪除

物理和組織措施

工作人員

  • 所有員工每年接受正式的強製性網絡安全培訓,並在適當情況下接受關於以下政策的培訓

  • 支持最佳實踐和最新流程的信息通過團隊和公司會議定期傳播

  • 我們鼓勵所有員工反饋意見,以便在同一次會議上改進我們的流程

  • 遵守安全是強製性的,並在雇傭合同中確定有可執行的行動

  • 我們的內部安全規則適用於員工是否在辦公室工作或遠程工作

電腦和所有設備…

  • 是否被每年檢討的資訊科技保安核對表所涵蓋

  • 是否被加密,並受到防火牆、反惡意軟件和殺毒軟件的保護

  • 自動運行軟件更新,以確保它們得到持續的保護

  • 資產是否被跟蹤並在發生損失時遠程清除

  • 在一段時間不活動後自動注銷

  • 員工有義務保持良好的數據衛生,安全刪除任何下載到筆記本電腦上的數據

  • 所有使用的密碼都是安全的,使用字母-數字字符和符號的混合,並通過一個密碼管理應用程序進行管理和執行

  • 所有計算機都由MDM軟件集中管理,以強製遵守策略

第三方軟件訪問

  • 根據我們的軟件訪問控製政策,對第三方軟件的訪問是基於最小權限(POLP)管理的——完成給定任務所需的最小權限,當不再需要時取消訪問權限

  • 在供應商支持的情況下,我們使用雙因素身份驗證,在個人數據存儲在第三方係統的情況下,我們要求2FA

  • 所有員工都需要通過我們的密碼管理應用程序進行安全和唯一的訪問

  • 我們的訪問控製策略根據數據的類別和類型概述了每個角色可以訪問的數據權限

  • 離開者將立即從所有軟件中刪除

  • 我們對供應商進行盡職調查,以確保他們符合我們的安全標準,並符合GDPR

物理安全

  • 對物理空間的訪問是在POLP的基礎上進行管理的,POLP是完成給定任務所需的最小權限,在不再需要時取消訪問

  • 來訪者在辦公室裏總是有陪同的

  • 所有鑰匙和報警代碼知識通過資產跟蹤進行管理,包括第三方(主要是我們的清潔公司和辦公室鎖定/解鎖服務)

  • 所有可接入網絡的設備(主要是筆記本電腦和平板電腦)在不使用時都被安全鎖好
    -在辦公室裏沒有服務器基礎設施-這大大降低了我們在這方麵的風險

  • 非工作時間進入辦公室是受到嚴格限製的,所有員工都通過我們的員工手冊了解到這些政策

  • 所有以紙張為基礎的廢物都被粉碎並妥善處理

  • 像筆記本電腦這樣的IT資產在處理之前會被安全地擦除

  • 辦公室設置確保電腦屏幕上的內容不能透過窗戶看到。

BYOD政策

  • 員工使用自己的設備訪問lucidat軟件或數據必須按照我們的安全規則進行

  • 這主要意味著:
    -屏幕必須在一段時間不活動後自動鎖定
    —設備解鎖時,必須輸入安全密碼或指紋
    -在某些情況下,我們的員工可以使用自己的設備訪問闡發的服務或軟件。伟德官网BETV在這種情況下,員工被禁止將個人數據下載到他們的設備上。
    -在沒有設備訪問的情況下,可以遠程阻止對闡發軟件或係統的所有訪問
    -任何涉及個人設備的安全妥協將遵循我們的事件和違規政策中概述的相同流程
    -員工必須立即通知任何設備丟失,盜竊或未經授權的訪問,以訪問闡發係統

供應商

  • 我們對所有第三方供應商進行盡職調查,以確保他們符合我們的安全標準,並遵守GDPR

  • 所有使用lucidat係統或基礎設施的供應商都受到與我們員工相同的訪問控製。例如-強密碼,資產跟蹤設備,良好的數據衛生,離場過程如上所述

  • 第三方知道並希望遵守我們的安全(和其他)政策,其中包括訪問控製的安全

  • 在我們對供應商的常規賬戶管理過程中,我們:
    -圍繞處理lucidat數據設定明確的流程職責預期
    定期檢查流程和政策的遵守情況

策略管理

  • 我們每6個月對這項政策進行一次審查,同時對我們的整體安全進行年度風險評估

  • 關鍵人物:
    - CTO對信息安全負有最終責任
    所有領導團隊成員(部門主管)都有責任遵守本部門的政策

  • 我們的事件管理、數據泄露和災難恢複政策每年都進行審查

  • 任何安全事件都將立即記錄,一旦解決,將作為我們安全風險評估和GDPR審查會議的一部分,對從中吸取的教訓進行審查

  • 任何影響我們處理數據方式的業務變更,都會在采取任何行動之前進行風險分析和評估

這回答了你的問題嗎?
Baidu
map