供应商的隐私和安全政策
1。目的和概述
这个供应商的隐私和安全政策(这“政策”)是我们的努力与供应商合作的一部分,比如自己,减少安全风险软件公司和它的客户。亚搏在线在今天的相互联系的世界中,信息安全的放置在任何一组网络系统依赖于所有的参与者在网络的安全。这一政策建立了一组最小的控件,必须遵循所有安全软件的供应商为了保护安全的软件信息,在适用情况下,安全软件系统(与我们和您的系统接口)。亚搏在线
2。术语和定义的范围
2.1定义的术语
- 协议:意味着任何书面文件或口头协议,这是纪念和控制之间的关系你和安全软件。亚搏在线
- 亚搏在线安全软件信息,或SSI:收到的任何信息或安全软件,直接或间接地以任何形式,任何数据,材料,为我们开发流程或信息或接亚搏在线收这种关系的结果。维护是否“合适”保护亚搏在线SSI取决于信息的性质。
- 亚搏在线安全软件系统,或瑞士:意味着拥有计算机系统,所使用的许可或其他安全软件过程中,传输,存储,或维持SSI。亚搏在线
- 亚搏在线安全软件,我们,我们,或《我们》:意味着安全软亚搏在线件公司。
- 你或你的:也意味着供应商和供应商的第三方提供商获得SSI或瑞士。
- 你的系统:意味着拥有计算机系统,所使用的许可或你的过程,传输,存储,或维持SSI。
- 第三方提供商:是指任何实体以外的安全软件,为您提供的产品或服务与这一政亚搏在线策的主题或协议。亚搏在线娱乐平台
- 第三方供应商系统:意味着计算机系统拥有,许可或以其他方式使用的第三方供应商的过程中,传输,存储,或维持SSI。
2.2范围
SSI是这一政策。在发生任何协议,这一政策之间的冲突和冲突将解释和解释的方式提供SSI的广泛的安全保护。
3所示。政策声明
您将实现适当的管理、技术和物理安全措施,确保安全、隐私、SSI的机密性、完整性和可用性。亚搏在线SSI是否存储,处理,或通过瑞士,您的系统,或第三方供应商系统,你(如果适用)和第三方供应商将使用信息安全控制:(1)保护任何SSI和SSS你访问在执行义务的任何协议;和(2)保护你的系统和第三方供应商系统,SSI存储,处理,或者传播。
4所示。终止访问
你的访问任何SSI和/或瑞士,包括但不限于任何安全软件客户和/或员工信息,你继续遵守这一政策。亚搏在线我们会立即自动,无条件撤销你的访问,和所有的链接和接口,SSI和/或瑞士没有责任任何理由或没有原因。
5。信息保留和处置
,在没有额外费用安全软件,保留SSI或根据协议,如果没有达成一致的保留要求亚搏在线以外的这个政策,由安全软件。年底我们指定的停留时间,在任何时候或在我们的书面请求,你将返回或者销毁,并证明退回或销毁,所有SSI,我们直接。如果我们需要信息破坏,你会毁了SSI以机密的方式。这意味着你将纸撕碎SSI的副本,你就会破坏电子副本以机密的方式使他们不再可用,可读的,或可解释的,他们不是检索的信息。没有这个政策会阻止你维护信息,仍然受保密义务,依法或任何监管机构的主题。
6。最小信息安全控制
您必须实现和维护下列最低信息安全控制。你可能实施额外的控制、适合您的业务。
6.1应用程序的安全控制
这些安全控制适用于人员、流程和/或技术参与工作的你或你的第三方供应商或代表安全软件。亚搏在线
6.2审计的安全控制
- 如果我们请求,你将提供的书面描述遵守这个政策,其中包括,至少,你如何实现每个安全控制提出如下。这将完成书面描述在你的费用和认证的书面授权的代表。
- 另外,如果我们要求,你将允许我们,或我们的独立的第三方审计你遵守这一政策(包括但不限于执行渗透测试和漏洞扫描)。你会与我们合作,在你自己的费用,解决审计中的任何缺陷识别。
- 本节没有限制我们的审计或其他权利我们可能在任何其他协议与你或你的第三方供应商。
6.3安全控制目录
1。安全管理:必须有一个全面的书面信息安全项目,基于行业最佳实践标准,旨在保护机密性、完整性和可用性(“中央情报局”)在你的管理下的资产
| 1。1 | 政策框架 | 安全程序必须开发和维护操作信息安全策略一致的相关标准,如ISO 27001/27002或国家标准 |
| 1。2 | 政策评估 | 信息隐私和安全政策定期回顾和修订 |
| 1。3 | 项目经理 | 人(s)指定的协调和负责项目和隐私和安全相关的活动和事件 |
| 1。4 | 培训和意识 | 定期执行安全培训和意识活动,旨在让中情局雇员识别风险 |
| 1。5 | 沟通 | 信息隐私和安全政策定期传达给适当的人员和第三方供应商 |
2。风险管理:必须执行风险评估来评估风险有关收集、存储和使用的信息。信息分类和所有权必须定义允许的所有信息资产盘点和管理,控制应用程序,并遵守相关数据保留策略。
| 2。1 | 风险缓解 | 不断地识别和减少内部和外部的风险,可能导致未经授权的披露,滥用、丢失、变更、破坏,或其他机密信息包括SSI妥协 |
| 2。2 | 风险评估 | 定期(但不低于年度)信息隐私和安全风险评估在每个区域的相关操作 |
| 2。3 | 测试和监控 | 定期测试和监控措施的有效性的关键控制、系统和程序亚搏在线 |
| 2。4 | 信息分类 | 适当的分类,标签,和处理的信息 |
3所示。人员安全:必须实现控制,使员工、承包商/或有工人,和服务提供者坚持根据角色和访问策略和标准,减少盗窃的风险,欺诈、设施或信息的损失,和滥用。
| 3.1 | 人员筛选 | 减少盗窃的风险、欺诈和/或滥用设施,确保员工,承包商和第三方用户理解他们的责任和适合他们的角色考虑,包括通过任何合适的人员筛选 |
| 3.2 | 用户认可的安全意识 | 所有员工,承包商和第三方用户意识到信息安全威胁和担忧,他们的职责和责任,经常需要承认意识,并具备支持组织的安全政策的过程中他们的正常工作,并减少人为错误的风险 |
4所示。物理和环境安全:必须实现相应的风险相称的物理控制,管理,和审查,以防止未经授权的物理访问,破坏和干扰信息资产和IT基础设施和设备。此外,物理防护和外部环境威胁,如自然灾害、恶意攻击,或事故必须实现管理和审查。
| 4所示。1 | 实施控制 | 实现物理和环境安全控制地址目的、范围、角色、职责、管理承诺,实体之间的协调,和遵从性(免费引用NIST 800 - 53年启4(信息安全和隐私控制),附录F(控制目录),家庭体育(物理和环境保护)) |
5。运营管理:组织必须安全地操作IT基础设施和应用程序支持通过的应用关键信息资产的运营管理控制,包括但不限于系统和网络的维护文档,就业的一致和安全的变化和事件管理流程,和维护供应商和打补丁的基础设施和软件支持。
| 5.1 | 负责资产 | 适当的保护的资产分类的基础上,信息的敏感性,和其他因素 |
| 5.2 | 资产的所有权 | 责任分配给指定的部分(s)的组织与信息处理相关的所有信息和资产设施 |
6。安全监视和响应:供应商必须利用适当的网络和服务端点控制促进用户活动的安全日志和监控,异常,错误,和事件按照商业、法律和监管要求。收集日志和相关的分析必须妥善存档,防止未经授权的访问,并定期检讨。
| 6.1 | 事件响应 | 符合指定的事件反应过程SSI和瑞士 |
| 但是 | 信息安全事件报告和弱点 | 通信信息安全事件和弱点与信息系统相关的方式允许及时的纠正措施 |
| 6.1.2 | 报告信息安全事件 | 报告信息安全事件尽快通过适当的管理渠道 |
| 6.1.3 | 信息安全事件管理和改进 | 提供一致的和有效的方法来管理信息安全事件 |
| 6.2 | 责任和程序 | 跟踪记录职责和程序迅速应对信息安全事件,有效地,有条不紊 |
| 6.3 | 与安全软件与外部各方的合作亚搏在线 | 配合安全软件的任何事故的调查S亚搏在线SI或瑞士;此外,全力配合任何评论,审计,或安全评估软件请求,任何金融机构,执法和信用卡品牌组织相关事件的调查和根本原因亚搏在线 |
7所示。加密控制:加密控制保护机密性、完整性和可用性的信息资产在交通和其他包括管理和控制使用的密钥必须开发,实施,并定期进行评审。
| 7.1 | 使用的信息 | 只使用SSI的目的是提供和没有其他目的;遵守任何规定加密控制安全软件,将合理的情形亚搏在线 |
| 7.2 | PII的加密和便携设备 | 加密(i)笔记本电脑和其他移动设备存储SSI的个人身份信息;以及(2)文件包含个人身份信息的笔记本电脑或其他移动设备 |
| 7.3 | 在运输途中PII的加密 | 加密(i)所有消息包含SSI的个人身份信息(包含个人身份信息或文件)在运输途中在公共网络;以及(2)所有文件包含个人身份信息包含在一个消息发在公共网络 |
8。访问控制:对资源的访问必须通过使用信息安全访问控制和监管风险相称的健壮的授权机制。
| 8。1 | 最小访问必要的 | 访问必须限制在最低必要执行所需的功能 |
| 8。2 | 密码策略 | 维护和执行地址密码长度的密码策略,组成、复杂性,停摆,历史,和过期 |
| 8。3 | 远程访问策略 | 维护和执行远程访问策略的地址连接,软件和硬件需求、加密和安全计算和设备管理 |
| 8。4 | 终止访问 | 撤销访问任何供应商员工、承包商或第三方用户SSI和设施过程SSI或提供瑞士在终止他们的就业,合同或协议,或调整访问改变的责任 |
9。网络安全:网络必须利用特定的信息安全控制来保护信息资产,遍历供应商的网络。
| 9。1 | 防火墙 | 供应商必须适当地利用防火墙基础设施隔离敏感的环境中,和限制使用不安全的协议 |
10。供应商管理:供应商必须管理其保护安全的第三方软件资源并确保机密性、完整性和可用性的SSI和资产。亚搏在线
| 10.1 | 书面协议与第三方供应商 | 评估、选择和保留第三方提供商能够适当地维护SSI和建立协议与第三方供应商需要遵守这些安全控制和综合信息隐私和安全程序亚搏在线 |
| 10.2 | 材料变化的通知 | 及时书面通知安全软件的任何变化可亚搏在线能产生实质性不利影响义务这一政策的效果你或你的第三方提供商的信息隐私和安全程序 |
11。业务连续性和灾难恢复:供应商必须有适当的BC和博士能力,防止或减少业务中断和相关的影响。供应商必须定期测试其BC和博士能力。
| 11。1 | 业务连续性管理的信息安全方面 | 抵消中断业务活动和保护关键业务流程的影响信息系统的主要故障或灾难和确保他们的及时恢复 |
12。合规:信息安全和数据保护控制和过程必须符合适用的法律,法律,法规或合同义务,任何行业标准的信息安全需求,以避免违约和/或妥协的SSI和瑞士。
| 12。1 | 亚搏在线安全软件的隐私政策 | 只有使用安全软件的亚搏在线客户信息按照安全软件的客户隐私政策(www.baooytra.com/privacy) |
| 12。2 | PCI数据安全标准(只适用于供应商与访问支付卡信息) | 如果你获得或将创建、接收、存储过程,或者传输安全软件的客户的持卡人信息(如信用卡、借记卡、储值或预付卡信息),你在你自己的费用,保证(只要你保持保管、亚搏在线保健、或控制的持卡人数据): 你(我),并将依然存在,负责安全持卡人信息在其保健、保管、占有,或控制;和 (2)您将遵守适用的开采支付卡行业数据安全标准(“PCI标准”)。 如果第三方提供商将获得或将创建、接收、存储过程,或者传输安全软件的客户的持卡人信息,你保证你需要这些需求的第三方供应商。亚搏在线 |
| 12。3 | 遵守国际法律 | 如果你获得或将创建、接收、存储过程,或者传输SSI的客户,你同意并保证所有加工、储存、保留和破坏你和你的个人数据的第三方供应商将在遵守所有适用的国际兑换成联邦、省、州和当地的法律、规则、规定和条例,包括但不限于数据违反通知法律。为了澄清没有上述限制,如果你收集、接收、过程、储存、保留,或破坏任何加拿大公民的个人信息,加州或欧盟与执行服务的安全软件,然后:亚搏在线 1。所有加工、存储、保留和处理个人数据的加拿大公民会遵守加拿大的法律对个人信息保护和电子文件法和省级法规可能适用于基于位置; 2。所有加工、存储、保留和处理个人数据的加州公民将符合加州消费者隐私法;和 3所示。所有加工、存储、保留和处理个人数据的欧盟公民遵守欧盟的总体数据保护法规2016/679,包括所有实现立法和继任者的律例,法律、规则、法规和指令。 |