Jitterbit sikkerhedsforanstaltninger

Effektivt fra den 8. december 2022

Sidst opdateret: 20. februar 2026


De centrale sikkerhedsforanstaltninger, som Jitterbit implementerer for at beskytte klientdata, er beskrevet i dette bilag om Jitterbits sikkerhedsforanstaltninger:

Oversigt

Dette Jitterbit Sikkerhedsforanstaltninger-dokument (“Sikkerhedsforanstaltningerne”) beskriver de administrative, tekniske og fysiske sikkerhedsforanstaltninger, som Jitterbit implementerer for at beskytte Klientdata mod uautoriseret adgang, videregivelse, ændring eller destruktion.

Disse sikkerhedsforanstaltninger understøtter Jitterbits forpligtelser i henhold til gældende juridiske, regulatoriske og kontraktuelle krav, herunder, men ikke begrænset til, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA og NZISM.

Dette dokument udgør en del af Jitterbits bredere ramme for sikkerhed og privatliv og henvises til i gældende kundeaftaler, herunder databehandleraftaler (DPA'er) og aftaler om forretningspartnere (BAA'er). I tilfælde af en konflikt mellem disse sikkerhedsforanstaltninger og en kundeaftale, er kundeaftalen gældende med hensyn til dens emne.

Store bogstaver i termer, der ikke er defineret heri, har de betydninger, der er fastsat i den gældende aftale eller dokumentation.

Privacy by Design og Privacy by Default

Privacy by Design
Jitterbit integrerer privatliv og databeskyttelse i hele livscyklussen for sine produkter og tjenester, herunder interne projekter, softwareudvikling, infrastrukturdesign og IT-drift.

Privatliv som standard
Jitterbit's produkter og tjenester er som standard konfigureret med privatlivsbeskyttende indstillinger. Personlige data indsamles, behandles og opbevares kun i det omfang, det er nødvendigt for at levere tjenesten, overholde kontraktlige forpligtelser og opfylde lovmæssige og regulatoriske krav.

1. Klientdataadgang og -administration

1.1 Kunder styrer adgangen til deres Jitterbit-konti gennem brugeridentiteter, rollebaserede adgangskontroller og multifaktorautentificering.

Jitterbit-personale får ikke adgang til ukrypterede klientdata, medmindre det er udtrykkeligt godkendt af klienten til support-, fejlfinding- eller driftsmæssige formål.

1.3 Jitterbit behandler klientdata udelukkende efter kundens anvisninger, som det er nødvendigt for at levere, vedligeholde og understøtte Jitterbit-applikationen i overensstemmelse med den gældende aftale.

1.4 Klientapplikationen og projektmetadata genereret af Jitterbit-applikationen hostes kun inden for den geografiske region, hvorfra den stammer (NA, EMEA eller APAC), medmindre andet er aftalt kontraktmæssigt.

1.5 Jitterbit vedligeholder dokumenterede datastrømsdiagrammer, der beskriver, hvordan klientdata flyder gennem Jitterbit-applikationen, og stiller sådanne diagrammer til rådighed efter rimelig anmodning.

2. Logisk adskillelse af klientdata

Jitterbit håndhæver logisk adskillelse af klientdata gennem lagdelte tekniske kontroller, herunder:

  • Segmenterede databasearkitekturer med separate skemaer
  • Pålidelige og godkendte service-til-service-forbindelser
  • Kryptering af følsomme data
  • Logiske filtreringslag mellem lejere og delte ressourcer
  • Adgangskontrolmekanismer til at begrænse dataadgang baseret på identitet og rolle

 

3. Adgangsstyring til applikationsinfrastruktur

3.1 Adgang til systemer og infrastruktur, der understøtter Jitterbit-applikationen, er begrænset til autoriseret personale baseret på jobansvar og princippet om mindst privilegium.

3.2 Adgang til system- og applikationslogs er begrænset til autoriseret personale til driftsmæssig support, fejlfinding og sikkerhedsovervågningsformål.

3.3 Administrativ adgang kræver unikke brugerlegitimationsoplysninger, stærk godkendelse og multifaktorgodkendelse over sikre forbindelser.

3.4 Server- og infrastruktur-adgangskoder overholder eller overstiger anerkendte branchekrav.

3.5 Adgangsrettigheder tilbagekaldes eller justeres omgående ved medarbejderfratrædelse eller rolleændring.

3.6 Brugeradgang til produktionsinfrastruktur gennemgås med jævne mellemrum.

3.7 Adgangsforsøg og administrative handlinger logges og overvåges.

3.8 Netværksadgang er begrænset ved hjælp af et "deny-by-default" sikkerhedsgruppekonfiguration.

3.9 Firewalls og netværkssegmenteringskontroller bruges til at begrænse indgående og udgående trafik.

3.10 Intrusion detection- og overvågningsværktøjer bruges til at opdage mistænkelig eller afvigende aktivitet.

4. Risikostyring

4.1 Jitterbit opretholder et formelt risikostyringsprogram, der er afstemt med anerkendte rammer, såsom NIST.

4.2 Tekniske og ikke-tekniske risikovurderinger udføres hele året, herunder automatiserede scanninger, interne gennemgange og tredjeparts vurderinger og pentests.

4.3 Vurderingsresultater gennemgås af sikkerheds- og privatlivsledelsen og spores gennem definerede udbedringsprocesser.

4.4 Identificerede risici prioriteres og håndteres ved hjælp af risikobaserede udbedringsstrategier.

4.5 Trusselefterretningskilder overvåges for at identificere nye trusler og sårbarheder.

5. Sårbarhedsscanning og penetrationstest

5.1 Automatiserede sårbarhedsscanninger udføres regelmæssigt på systemer, der understøtter Jitterbit-applikationen.

5.2 Detekterede sårbarheder vurderes baseret på alvorlighed, udnyttelighed og forretningsmæssig påvirkning.

5.3 Sårbarheder, der opfylder definerede risikotærskler, prioriteres til udbedring.

5.4 Uafhængige tredjeparts penetrationstests udføres mindst én gang årligt.

5.5 Interne sikkerhedstest og kodevurderingsaktiviteter udføres regelmæssigt.

5.6 Sikre udviklingspraksisser inkluderer afhængighedsstyring, statisk og dynamisk test samt sporing af udbedring.

6. Fjernadgang og Endpoint-sikkerhed

6.1 Administrativ adgang til cloud-miljøer kræver sikre forbindelser og stærk godkendelse.

6.2 Kundedata gemmes ikke på lokale medarbejderenheder, medmindre det er udtrykkeligt påkrævet og beskyttet af passende kontroller.

6.3 Endpointbeskyttelse, enhedshærdning og overvågningskontroller håndhæves på Jitterbit-administrerede enheder.

7. Applikationsplacering og dataopbevaring

7.1 Kundedata gemmes i udpegede Jitterbit-applikationsregioner (US, EU, APAC).

7.2 Produktionsmiljøer er designet til at forhindre uautoriseret replikering på tværs af regioner.

7.3 Katastrofegendannelseskonfigurationer respekterer krav om datalokalisering, medmindre andet er aftalt kontraktuelt.

8. Systemhændelseslogning og overvågning

8.1 Overvågningsværktøjer indsamler hændelser fra infrastruktur, applikationer og sikkerhed.

8.2 Logfiler er centraliserede, beskyttede mod manipulation og adgangskontrollerede.

8.3 Log-opbevaringsperioder defineres baseret på systemkritikalitet, regulatoriske krav og operationelle behov.

9. Systemadministration, malwareforebyggelse og patchstyring

9.1 Systemerne hærdes i overensstemmelse med branchemæssig bedste praksis.

9.2 Operativsystemer og applikationer patches regelmæssigt.

9.3 Kontroller til malware-detektion og -forebyggelse er implementeret og vedligeholdt.

9.4 Højrisikovulnerabiliteter prioriteres til udbedring i overensstemmelse med definerede tidsrammer.

10. Sikkerhedstræning og personale kontrol

10.1 Alt personale modtager sikkerheds- og fortrolighedstræning ved ansættelse og mindst én gang årligt.

10.2 Personnel anerkender ansvaret for at indberette formodede sikkerhedshændelser.

10.3 Periodiske bevidstgørelsesaktiviteter, herunder phishing-simuleringer, gennemføres.

10.4 Baggrundstjek udføres, hvor det er lovligt tilladt.

10.5 Tredjeparter med adgang til klientdata er kontraktuelt forpligtet til at overholde Jitterbits sikkerhedsstandarder.

11. Fysisk sikkerhed

11.1 Jitterbit-applikationen hostes af cloudtjenesteudbydere, der opretholder fysiske sikkerhedskontroller og uafhængige certificeringer.

11.2 Jitterbit gennemgår relevante tredjeparts revisionsrapporter årligt.

12. Meddelelse om sikkerhedsbrud

12.1 Et sikkerhedsbrud omfatter uautoriseret adgang til eller videregivelse af Klientdata, eller uautoriseret adgang til systemer, der behandler Klientdata.

12.2 Jitterbit underretter berørte kunder uden unødig forsinkelse i overensstemmelse med kontraktlige og lovmæssige krav.

12.3 Notifikationer indeholder relevante detaljer vedrørende hændelsen og responsaktioner.

12.4 Jitterbit undersøger, indeholder og afbøder sikkerhedshændelser ved hjælp af etablerede procedurer for hændelsesrespons.

13. Krisehåndtering og forretningskontinuitet

13.1 Jitterbit opretholder dokumenterede planer for katastrofegendannelse og forretningskontinuitet.

13.2 Katastrofeberedskab testes med jævne mellemrum.

13.3 Kunder er ansvarlige for selv at konfigurere deres backup- og tværregionsstrategier, hvor det er relevant.

14. Sikkerhedsoverholdelse og -sikring

Jitterbit opretholder uafhængige vurderinger og certificeringer, som kan omfatte:

  • SOC 1 og SOC 2 rapporter
  • ISO 27001-certificering (inkluderer også bilag til ISO 27017, ISO 27018)
  • ISO 42001 certificering
  • HIPAA-overholdelse for forretningspartneres forpligtelser
  • GDPR, CCPA, LGPD og NZISM compliance-programmer
  • Uafhængig penetrationstestning og sårbarhedsvurderinger

15. Cloud- og lokal agentinstallation

15.1 Jitterbit Cloud er designet med stærke sikkerhedskontroller aktiveret som standard.

15.2 Lokale agent-implementeringsmuligheder giver kunderne mulighed for at behandle følsomme data inden for deres egne miljøer.

16. Datakryptering

16.1 Klientdata i hvile er krypteret ved hjælp af branch standard AES-krypteringsalgoritmer.

16.2 Klientdata under overførsel beskyttes ved hjælp af sikre kommunikationsprotokoller såsom TLS.

17. Sikkerhedskontroller for kunstig intelligens

17.1 Jitterbit anvender yderligere sikkerhedsforanstaltninger til AI-aktiverede funktioner og systemer.

17.2 AI-modeller, konfigurationer og datasæt er adgangsstyrede og beskyttede mod uautoriseret ændring eller udtrækning.

17.3 AI-relaterede data klassificeres og håndteres i overensstemmelse med Jitterbits datobeskyttelsesstandarder.

17.4 AI-systemer overvåges for sikkerhed, integritet og operationelle anomalier.

17.5 AI-styringspraksisser stemmer overens med nye standarder, herunder ISO 42001, og fremhæver menneskeligt tilsyn, ansvarlighed og ansvarlig brug.

17.6 AI-systemer bruger ingen kundedata til at træne LLM-modellerne.

17.7 AI-agenter og autonome arbejdsgange
Jitterbit AI-agenter og autonome arbejdsgange fungerer inden for fastlagte rammer for at sikre sikker, sporbar og ansvarlig adfærd. Kunderne forbliver dataansvarlige og bevarer fleksibiliteten til at anvende deres egne store sprogmodeller (LLM’er) eller foretrukne AI-udbydere via Jitterbits forbindelsesrammeværk. AI-agenter er underlagt strenge identitets-, autentificerings- og autorisationskontroller, hvor tilladelserne er begrænset til de minimalt nødvendige handlinger. Al agentaktivitet logges, overvåges og kan revideres. AI-agenter må ikke tilgå, behandle eller udtrække kundedata ud over eksplicit godkendte anvendelsestilfælde. Automatiserede handlinger, der udføres af AI-agenter, er designet med menneskelig overvågning, godkendelseskontroller, hvor det er relevant, samt fejlsikre mekanismer for at forhindre utilsigtede eller skadelige resultater. AI-agenter evalueres løbende med hensyn til sikkerhed, dataintegritet og overholdelse af Jitterbits standarder for AI-styring, databeskyttelse og risikostyring.

18. Delt ansvarsmodel

Sikkerhed er et delt ansvar mellem Jitterbit og dets kunder. Mens Jitterbit implementerer robuste sikkerhedskontroller på platformen, er kunderne ansvarlige for:

  • Styring af brugeradgang og legitimationsoplysninger
  • Konfigurering af sikkerhedsfunktioner inden for deres konti
  • Administration af deres egne backup- og gendannelsesstrategier

Har du spørgsmål? Vi er her for at hjælpe.

Kontakt os