安全措施

波
莱格斯实施的技术和组织安全措施:

A.年度合规证据

1.第三方安全审核:
莱迪思是,并将继续每年对SOC 2 II型标准进行审计。审计应由独立的第三方完成。根据客户的书面请求,格子将提供最新结果的核准副本(在机密基础上)最新的年度审计报告,以便客户可以验证格子是否遵守审计标准,以反对其评估和该DPA。虽然该报告每年提供独立审计的莱迪思安全姿势的确认,但下面进一步详述最常见的兴趣点。格子应在书面请求的三十(30)天内的三十(30)天内的符合要求的初始证据中提供客户。

2. Web应用程序渗透测试摘要:
Lattice应继续每年聘请独立的第三方进行web应用渗透测试。应客户书面要求,Lattice应向客户提供一份调查结果摘要。Lattice应在合理的、基于风险的时间框架内解决报告中发现的所有中等、关键和严重漏洞。格点应在客户提出书面要求后三十(30)天内向客户提供初步的合规证据。

3.安全意识培训:格点应向所有人员提供年度安全培训。“安全培训”应针对安全主题,通过物理、逻辑和社会工程机制向用户传授信息安全和防止数据丢失、误用或泄露的防护措施的重要性。培训材料应涉及行业标准主题,包括但不限于:
•信息安全的重要性和正确处理个人信息。
•物理控制,如访客协议,保护便携设备和适当的数据销毁。
•与强密码选择/最佳实践相关的逻辑控制。
•如何识别网络钓鱼等社交工程攻击。

4.漏洞扫描:晶格应确保在每种情况下,在每次使用行业标准漏洞扫描工具时,必须确保在服务器上执行漏洞扫描,并且网络安全扫描在每种情况下至少完成。

B.安全

1.过程级要求
a.格点应实施用户终止控制,包括员工终止后立即取消/禁用访问权限。
湾记录的更改控制过程将用于记录和批准格子环境中的所有主要版本。
c. Lattice应拥有并维护补丁管理流程,以在合理的、基于风险的时间框架内实施补丁。

2.网络需求
一种。格子应使用防火墙,安全组/ VPC或类似技术来保护存储客户个人数据的服务器。

3.托管要求
a.当Lattice处理客户个人数据时,服务器应通过适当的物理安全机制(包括但不限于徽章访问控制、安全边界和强制用户配置控制(即新账户的适当授权、及时终止帐户和频繁审查用户帐户)。这些物理安全机制由数据中心合作伙伴提供,如AWS、Salesforce和谷歌,但不限于这些合作伙伴。所有云托管系统均应进行扫描,如果适用且经云服务提供商批准。
b.云环境数据隔离:Lattice将根据其建立的程序隔离所有客户个人数据。服务的客户实例可能位于其他非客户实例使用的服务器上。

4.应用程序级要求
一种。晶格应在处理客户个人数据的应用程序中保持整体应用程序架构,过程流和安全功能的文档。
b. Lattice应在开发处理客户个人数据的应用程序时采用安全编程技术和协议。
c. Lattice应采用行业标准扫描工具和/或适用的代码评审实践,在发布前识别应用程序漏洞。

5.数据级要求
a.用于传输和静止的客户个人数据的加密和哈希协议应支持NIST批准的加密标准(如SSH、TLS)。
b.点阵应确保笔记本电脑磁盘加密。
C。格子应确保访问信息和应用系统功能仅限于授权人员。
d.存储在存档或备份系统上的客户个人数据的安全性应与存储在操作系统上的数据的安全性相同或更高。

6.最终用户计算级别要求
一种。晶格应采用具有每日签名更新的防病毒解决方案,用于连接到客户网络或处理客户个人数据的最终用户计算设备。
b. Lattice将制定政策,禁止使用可移动媒体存储或携带客户个人数据。可移动媒体包括闪存驱动器,cd和dvd。

7.法规遵循需求
a. Lattice将在法律允许的情况下,在获取客户个人数据之前,对向客户提供服务的所有员工进行犯罪背景核查。背景调查应根据相关法律、法规和道德规范进行。
b. Lattice将保持信息安全政策(ISP),并每年在执行层面进行审查和批准。

8.共享责任
格子的服务需要共同的责任模型。例如,客户必须维护客户用户帐户的控件(例如当客户员工终止时禁用/删除访问,为客户用户建立密码要求等)。

额外的隐私资源