供应商隐私和安全政策
1. 目的和概述
本供应商隐私和安全政策(本“政策”)是我们与供应商(如您)合作的努力的一部分,以降低安全软件公司及其客户面临的风险。亚搏在线在当今互联的世界中,任何一组联网系统上的信息的安全性都依赖于该网络中所有参与者的安全性。本政策制定了所有安全软件供应商必须遵守的最低限度控制措施,以保护安全软件信息,以及适用时的安全软件系统(以及您的系统,如果它们与我们的系统有接口的话)。亚搏在线
2.定义术语及范围
2.1 定义术语
- 协议:指记录并管理您与Safe Software之间关系的任何书面文件或口头协议。亚搏在线
- 亚搏在线安全软件信息,或SSI:指从Safe Software直接或间接以任何形式收到的或关于Safe Software的亚搏在线任何信息,以及您为我们开发的或因本关系而收到的任何数据、材料、流程或信息。保护SSI是否“合适亚搏在线”取决于信息的性质。
- 亚搏在线安全软件系统,或瑞士:指安全软件拥有、许可或以其他方式使用的计算机系统,用于处理、传输、存储或维护SSI。亚搏在线
- 亚搏在线安全软件,我们,我们的,或我们:指安全软件公亚搏在线司。
- 你或你的:指可访问SSI或SSS的供应商以及供应商的第三方供应商。
- 您的系统:指由您拥有、许可或以其他方式使用的处理、传输、存储或维持SSI的计算机系统。
- 第三方提供商:指向您提供与本政策或本协议标的有关的产品或服务的安全软件亚搏在线以外的任何实体。亚搏在线娱乐平台
- 第三方供应商系统:指处理、传输、存储或维护SSI的第三方供应商拥有、许可或以其他方式使用的计算机系统。
2.2范围
所有SSI均受本政策约束。如果本政策与任何协议之间发生任何冲突,将以提供SSI最广泛的安全和保护的方式来解释和解释该冲突。
3. 政策声明
您将实施适当的管理、技术和物理保障措施,以确保SSI的安全性、私密性、机密性、完整性和可用性。亚搏在线SSI是否存储,处理,或通过瑞士,您的系统,或第三方供应商系统,你(如果适用)和第三方供应商将使用信息安全控制:(1)保护任何SSI和SSS你访问在执行义务的任何协议;(2)保护您的系统和存储、处理或传输SSI的第三方供应商系统。
4. 访问的终止
您对任何SSI和/或SSS的访问,包括但不限于任何安全软件客户和/或员工信息,将取决于您对本政策的持续遵守。亚搏在线我们可以立即、自动、无条件地撤销您对SSI和/或SSS的访问以及所有链接和接口,而不因任何原因或无任何理由承担责任。
5. 信息保留和处理
您将按照本协议的要求保留SSI,不向安全软件收取额外费用;如果在本政策之外亚搏在线没有商定的保留要求,则按照安全软件的书面指示保留SSI。在我们指定的保留期限结束时,或根据我们在任何时候提出的书面要求,您将按照我们的指示返回或销毁所有SSI,并书面证明您已销毁或归还所有SSI。如果我们要求销毁信息,你必须以保密的方式销毁SSI。这意味着,您将撕碎SSI的纸质副本,并以保密的方式销毁电子副本,使它们不再可用、可读或可破译,并且关于它们的信息无法检索。本政策的任何内容均不会阻止您按照法律或您所受的任何监管机构的要求,保留仍受保密义务约束的信息。
6.最低限度的资讯保安管制
您必须实施和维护以下最低限度的信息安全控制。您可以对您的业务实施适当的附加控制。
6.1安全控制的应用
这些安全控制应适用于您或您的第三方供应商使用或代表安全软件所从事的工作中涉及的人员、过程和/或技术。亚搏在线
6.2安全控制审计
- 如果我们提出要求,您应提供一份书面说明,说明您是否遵守本政策,其中至少包括您如何实施下列各项安全控制。此书面描述将由您自费完成,并由您的授权代表以书面证明。
- 此外,如果我们提出要求,您将允许我们或我们的独立第三方审计您对本政策的遵守情况(包括但不限于执行渗透测试和漏洞扫描)。贵方将与我方合作,自费弥补审计中发现的任何缺陷。
- 本节并未限制我们的审计或我们在与您或您的第三方供应商的任何其他协议中可能享有的其他权利。
6.3安全控制目录
1.安全管理:必须有一个全面的书面信息安全计划,该计划基于您所在行业的最佳做法标准,旨在保护您管理的资产的机密性、完整性和可用性(“CIA”)
| 1.1 | 政策框架 | 安全计划必须制定和维护与相关标准(如ISO 27001/27002或NIST)一致的操作信息安全政策 |
| 1.2 | 政策评估 | 定期检讨及修订资料私隐及保安政策 |
| 1.3 | 项目经理 | 被指定协调并对项目以及与隐私和安全相关的活动和事件负责的人员 |
| 1.4 | 培训和意识 | 定期进行安全培训和意识活动,旨在使员工能够识别中情局面临的风险 |
| 1.5 | 沟通 | 信息隐私和安全政策定期传达给适当的人员和您的第三方供应商 |
2.风险管理:必须进行风险评估,以评估有关信息收集、存储和使用的风险状况。必须为所有信息资产定义信息分类和所有权,以便清点和管理、控制应用程序以及遵守相关的数据保留策略。
| 2.1 | 风险缓解 | 持续识别和减轻可能导致未经授权披露、误用、丢失、更改、破坏或其他泄露机密信息(包括SSI)的内部和外部风险 |
| 2.2 | 风险评估 | 定期(但不少于每年)对相关操作的各个领域进行信息隐私和安全风险评估 |
| 2.3 | 测试和监控 | 定期检测和监控你们安全措施的关键控制、系统和程序的有效性亚搏在线 |
| 2.4 | 信息分类 | 适当的分类,标签和处理信息 |
3.人员安全:必须实施控制,使雇员、承包商/临时工人和服务提供者能够根据角色和访问遵守政策和标准,并减少盗窃、欺诈、损失和滥用设施或信息的风险。
| 3.1 | 人员筛选 | 为了降低盗窃、欺诈和/或滥用设施的风险,确保员工、承包商和第三方用户了解他们的责任,并适合他们被考虑的角色,包括通过任何适当的人员筛选 |
| 3.2 | 安全意识的用户确认 | 所有员工,承包商和第三方用户意识到信息安全威胁和担忧,他们的职责和责任,经常需要承认意识,并具备支持组织的安全政策的过程中他们的正常工作,并减少人为错误的风险 |
4.物理和环境安全:必须实施、管理和审查与风险相称的适当的物理控制,以防止未经授权的物理访问、损坏和对信息资产和IT基础设施和设备的干扰。此外,必须实施、管理和审查针对外部和环境威胁的物理保护,如自然灾害、恶意攻击或事故。
| 4.1 | 实施控制 | 实施物理和环境安全控制,解决目的、范围、角色、职责、管理承诺、实体之间的协调和合规(免费参考是NIST 800-53 rev. 4(信息安全和隐私控制),附录F(控制目录),家庭体育(物理与环境保护) |
5.运营管理:组织必须通过应用关键运营管理控制,安全地运营IT基础设施和支持信息资产的应用程序,包括但不限于维护系统和网络文档,采用一致和安全的变更和事件管理流程,维护供应商支持和修补的基础设施和软件。
| 5.1 | 负责资产 | 基于分类、信息敏感性和其他因素的适当的资产保护 |
| 5.2 | 资产的所有权 | 将与信息处理设施相关的所有信息和资产的责任分配给组织的指定部分 |
6.安全监控和响应:供应商必须根据业务、法律和法规要求,利用适当的网络和基于端点的控制来促进用户活动、异常、故障和事件的安全记录和监控。收集的日志和相关分析必须适当存档,防止未经授权的访问,并定期审查。
| 6.1 | 事件响应 | 遵守SSI和SSS规定的事件响应流程 |
| 但是 | 报告信息安全事件和弱点 | 与信息系统相关的信息安全事件和弱点进行沟通,以便及时采取纠正措施 |
| 6.1.2 | 报告资讯保安事件 | 通过适当的管理渠道尽快报告信息安全事件 |
| 6.1.3 | 信息安全事件的管理及改进 | 提供一致和有效的方法来管理资讯保安事故 |
| 6.2 | 责任和程序 | 按照文件规定的职责和程序,快速、有效、有序地应对信息安全事件 |
| 6.3 | 与安全软件及外部合作亚搏在线 | 与安全软件合作调查任何涉及SS亚搏在线I或SSS的事件;此外,全面配合安全软件要求的任何审查、审计或评估,以及与事件和潜在原因调查有关的任何金融机构、执法机构和信用卡品牌组织亚搏在线 |
7.加密控制:必须定期开发、实施和审查用于保护传输和静止信息资产的保密性、完整性和可用性的加密控制,包括用于管理和使用加密密钥的控制。
| 7.1 | 使用的信息 | 只将SSI用于其提供的目的,而不用于其他目的;遵守安全软件指定的任何加密控制措施,该等措施对具体情况是合理的亚搏在线 |
| 7.2 | PII和便携设备的加密 | 加密(i)笔记本电脑和存储个人可识别信息的SSI的所有其他便携式设备;以及(ii)所有手提电脑或其他手提设备上载有个人身分资料的档案 |
| 7.3 | 传输中的PII加密 | 加密(i)在公共网络传输过程中包含个人识别信息SSI的所有消息(或包含个人识别信息的文件);以及(ii)通过公共网络发送的信息中包含个人识别信息的所有文件 |
8.访问控制:必须通过使用信息安全访问控制和与风险相称的健壮授权机制来管理资源访问。
| 8.1 | 最小访问必要的 | 访问必须限制在执行所需功能所需的最低限度 |
| 8.2 | 密码策略 | 维护并执行密码策略,以解决密码的长度、组成、复杂性、锁定、历史记录和过期问题 |
| 8.3 | 远程访问策略 | 维护和实施远程访问策略,以解决连接、软件和硬件要求、加密和安全计算以及设备管理等问题 |
| 8.4 | 访问的终止 | 撤销任何供应商员工、承包商或第三方用户对SSI和处理SSI或在其雇佣、合同或协议终止时提供SSS访问权的设施的访问权,或在责任变更时调整访问权 |
9.网络安全:必须利用特定于网络的信息安全控制来保护流经供应商网络的信息资产。
| 9.1 | 防火墙 | 供应商必须适当地利用防火墙基础设施来隔离敏感环境,并限制不安全协议的使用 |
10.供应商管理:供应商必须管理其第三方,以保护安全软件资源,并确保SSI和资产的机密性、完整性和可用性。亚搏在线
| 10.1 | 与第三方供应商的书面协议 | 评估、选择并保留能够适当保护SSI的第三方提供商,并和要求遵守这些安全控制和全面信息隐私和安全计划的第三方提供商建立协议亚搏在线 |
| 10.2 | 重大更改通知书 | 如果任何变更可能对本政策项下的义亚搏在线务或您或您的第三方提供商的信息隐私和安全计划的有效性产生重大不利影响,请立即书面通知Safe Software |
12.业务连续性和灾难恢复:供应商必须具有适当的BC和DR功能,以防止或减轻业务中断和相关影响。供应商必须定期测试其BC和DR能力。
| 12.1 | 业务连续性管理的信息安全方面 | 应对业务活动中断,保护关键业务流程不受信息系统重大故障或灾难影响,确保业务流程及时恢复 |
13.合规性:信息安全和数据保护控制和过程必须符合适用的法律、法规、监管或合同义务,以及任何行业标准信息安全要求,以避免违反和/或危及SSI和SSS。
| 13.1 | 亚搏在线安全软件私隐政策 | 仅根据Safe S亚搏在线oftware的客户隐私政策(www.baooytra.com/privacy)使用Safe Software客户信息 |
| 13.3 | PCI数据安全标准[仅适用于可访问支付卡信息的供应商] | 如果您有权访问或将创建、接收、存储、处理或传输安全软件或我们客户的持卡人信息(如信用卡、借记卡、储值卡或预付卡信息),您应自费保证(只要您保持对此类持亚搏在线卡人数据的保管、照管或控制): (i) 您现在和将来都有责任保护其照管、保管、持有或控制的持卡人信息;和 (ii)您将遵守适用的当时现行支付卡行业数据安全标准(“PCI标准”)。 如果第三方提供商将有权访问或创建、接收、存储、处理或传输Safe Software或我们客户的持卡人信息,您保证您将向第三方提供商要求这些要求。亚搏在线 |
| 13.5 | 遵守国际法 | 如果您有权访问或将创建、接收、存储、处理或传输我们客户的SSI,您同意并保证您和您的第三方提供商对个人数据的所有处理、存储、保留和销毁将遵守当时所有适用的国际、联邦、省、州和当地法律、法规,法规和条例,包括但不限于数据泄露通知法。出于澄清的目的,在不限制上述规定的情况下,如果您收集、接收、处理、存储、保留或销毁加拿大、加利福尼亚或欧盟任何公民与执行安全软件服务相关的个人信息,则:亚搏在线 1.加拿大公民个人数据的所有处理、存储、保留和处置均应遵守加拿大《个人信息保护和电子文档法》以及任何基于地理位置适用的省级法律; 2.加州公民个人数据的所有处理、存储、保留和处置将遵守《加州消费者隐私法》;和 3.欧盟公民个人数据的所有处理、存储、保留和处置均遵守欧盟通用数据保护条例2016/679,包括所有实施立法和后续法规、法律、规则、法规和指令。 |