Jitterbit Sikkerhedsforanstaltninger

Gælder den 8. december 2022

Sidst opdateret: 20. februar 2026

De centrale sikkerhedsforanstaltninger Jitterbit Implementer til beskyttelse af klientdata er beskrevet i denne Jitterbit Bilag om sikkerhedsforanstaltninger:

Oversigt

Denne Jitterbit Dokumentet om sikkerhedsforanstaltninger ("Sikkerhedsforanstaltninger") beskriver de administrative, tekniske og fysiske sikkerhedsforanstaltninger, der er implementeret af Jitterbit at beskytte klientdata mod uautoriseret adgang, videregivelse, ændring eller ødelæggelse.

Disse sikkerhedsforanstaltninger understøtter Jitterbit's forpligtelser i henhold til gældende juridiske, regulatoriske og kontraktlige krav, herunder, men ikke begrænset til, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA og NZISM.

Dette dokument er en del af Jitterbits bredere sikkerheds- og privatlivsramme og er refereret til i gældende kundeaftaler, herunder databehandlingsaftaler (DPA'er) og forretningspartneraftaler (BAA'er). I tilfælde af en konflikt mellem disse sikkerhedsforanstaltninger og en kundeaftale, er det kundeaftalen, der gælder med hensyn til dens emne.

Udtryk med stort begyndelsesbogstav, der ikke er defineret heri, har de betydninger, der er angivet i den gældende aftale eller dokumentation.

Privacy by Design og Privacy by Default

Privacy by Design
Jitterbit inkorporerer hensyn til privatlivs- og databeskyttelse gennem hele livscyklussen for sine produkter og tjenester, herunder interne projekter, softwareudvikling, infrastrukturdesign og IT-drift.

Privatliv som standard
Jitterbit Produkter og tjenester er som standard konfigureret med indstillinger til beskyttelse af personlige oplysninger. Personoplysninger indsamles, behandles og opbevares kun i det omfang, det er nødvendigt for at levere tjenesten, overholde kontraktlige forpligtelser og opfylde juridiske og lovgivningsmæssige krav.

1. Adgang og administration af klientdata

1.1 Klienter kontrollerer adgang til deres Jitterbit konti via brugeridentiteter, rollebaseret adgangskontrol og multifaktorgodkendelse.

1.2 Jitterbit Personale har ikke adgang til ukrypterede klientdata, medmindre klienten udtrykkeligt har givet tilladelse til det med henblik på support, fejlfinding eller driftsmæssige formål.

1.3 Jitterbit behandler Klientdata udelukkende efter kundens instruktioner, i det omfang det er nødvendigt for at levere, vedligeholde og understøtte Jitterbit Ansøgning i henhold til gældende overenskomst.

1.4 Klientapplikations- og projektmetadata genereret af Jitterbit Applikationen hostes kun i den geografiske region, hvorfra den stammer (NA, EMEA eller APAC), medmindre andet er kontraktligt aftalt.

1.5 Jitterbit vedligeholder dokumenterede dataflowdiagrammer, der beskriver, hvordan klientdata flyder gennem Jitterbit Ansøgning og leverer sådanne diagrammer efter rimelig anmodning.

2. Logisk adskillelse af klientdata

Jitterbit håndhæver logisk adskillelse af klientdata gennem lagdelte tekniske kontroller, herunder:

  • Segmenterede databasearkitekturer med separate skemaer
  • Pålidelige og autentificerede tjeneste-til-tjeneste-forbindelser
  • Kryptering af følsomme data
  • Logiske filtreringslag mellem lejere og delte ressourcer
  • Adgangskontrolmekanismer til at begrænse dataadgang baseret på identitet og rolle

 

3. Administration af adgang til applikationsinfrastruktur

3.1 Adgang til systemer og infrastruktur, der understøtter Jitterbit Anvendelsen er begrænset til autoriseret personale baseret på jobansvar og principperne om mindst mulig privilegier.

3.2 Adgang til system- og applikationslogfiler er begrænset til autoriseret personale med henblik på operationel support, fejlfinding og sikkerhedsovervågning.

3.3 Administrativ adgang kræver unikke brugerlegitimationsoplysninger, stærk godkendelse og multifaktorgodkendelse via sikre forbindelser.

3.4 Standarder for server- og infrastrukturadgangskoder opfylder eller overgår anerkendte branchekrav.

3.5 Adgangsrettigheder tilbagekaldes eller justeres straks ved opsigelse eller rolleændring.

3.6 Brugeradgang til produktionsinfrastrukturen gennemgås med jævne mellemrum.

3.7 Adgangsforsøg og administrative handlinger logges og overvåges.

3.8 Netværksadgang er begrænset ved hjælp af standardkonfigurationer for sikkerhedsgrupper, der nægtes.

3.9 Firewalls og netværkssegmenteringskontroller bruges til at begrænse indgående og udgående trafik.

3.10 Værktøjer til indtrængningsdetektion og -overvågning bruges til at detektere mistænkelig eller unormal aktivitet.

4. Risikostyring

4.1 Jitterbit opretholder et formelt risikostyringsprogram i overensstemmelse med anerkendte rammer, såsom NIST.

4.2 Tekniske og ikke-tekniske risikovurderinger udføres året rundt, herunder automatiserede scanninger, interne gennemgange samt tredjepartsvurderinger og pentests.

4.3 Vurderingsresultaterne gennemgås af sikkerheds- og privatlivsledelsen og spores gennem definerede afhjælpningsprocesser.

4.4 Identificerede risici prioriteres og håndteres ved hjælp af risikobaserede afhjælpningsstrategier.

4.5 Trusselsefterretningskilder overvåges for at identificere nye trusler og sårbarheder.

5. Sårbarhedsscanning og penetrationstest

5.1 Automatiserede sårbarhedsscanninger udføres regelmæssigt på systemer, der understøtter Jitterbit Ansøgning.

5.2 Detekterede sårbarheder vurderes baseret på alvorlighed, udnyttelsesmuligheder og forretningsmæssig indvirkning.

5.3 Sårbarheder, der opfylder definerede risikotærskler, prioriteres til afhjælpning.

5.4 Der udføres uafhængige tredjeparts penetrationstests mindst årligt.

5.5 Intern sikkerhedstestning og kodegennemgang udføres regelmæssigt.

5.6 Sikre udviklingspraksisser omfatter afhængighedsstyring, statisk og dynamisk testning og sporing af afhjælpning.

6. Fjernadgang og slutpunktssikkerhed

6.1 Administrativ adgang til cloud-miljøer kræver sikre forbindelser og stærk godkendelse.

6.2 Klientdata gemmes ikke på lokale medarbejderenheder, medmindre det udtrykkeligt kræves og er beskyttet af passende kontroller.

6.3 Endpoint-beskyttelse, enhedshærdning og overvågningskontroller håndhæves på Jitterbit-administrerede enheder.

7. Applikationens placering og dataopholdssted

7.1 Klientdata opbevares i dertil indrettede Jitterbit Anvendelsesregioner (USA, EU, Asien og Stillehavsområdet).

7.2 Produktionsmiljøer er udformet til at forhindre uautoriseret replikering på tværs af regioner.

7.3 Konfigurationer til katastrofeberedskab overholder kravene til dataopbevaring, medmindre andet er kontraktligt aftalt.

8. Systemhændelseslogning og -overvågning

8.1 Overvågningsværktøjer indsamler hændelser vedrørende infrastruktur, applikationer og sikkerhedsforanstaltninger.

8.2 Logfiler er centraliserede, beskyttet mod manipulation og adgangskontrollerede.

8.3 Perioder for logopbevaring defineres baseret på systemets kritiske karakter, lovgivningsmæssige krav og driftsmæssige behov.

9. Systemadministration, malwareforebyggelse og programrettelseshåndtering

9.1 Systemer er hærdet i henhold til bedste praksis i branchen.

9.2 Operativsystemer og applikationer opdateres regelmæssigt.

9.3 Der implementeres og vedligeholdes kontroller til detektion og forebyggelse af malware.

9.4 Højrisikosårbarheder prioriteres til afhjælpning i overensstemmelse med definerede tidsfrister.

10. Sikkerhedstræning og personalekontrol

10.1 Alt personale modtager sikkerheds- og privatlivstræning ved ansættelse og mindst én gang årligt.

10.2 Personalet anerkender ansvaret for at rapportere mistanke om sikkerhedshændelser.

10.3 Der udføres periodiske oplysningsaktiviteter, herunder phishing-simuleringer.

10.4 Baggrundsscreening udføres, hvor det er lovligt tilladt.

10.5 Tredjeparter med adgang til Klientdata er kontraktligt forpligtet til at opfylde Jitterbit sikkerhedsstandarder.

11. Fysisk sikkerhed

11.1 The Jitterbit Applikationen hostes af cloud-udbydere, der opretholder fysiske sikkerhedskontroller og uafhængige certificeringer.

11.2 Jitterbit gennemgår relevante tredjeparts revisionsrapporter årligt.

12. Meddelelse om sikkerhedsbrud

12.1 Et sikkerhedsbrud omfatter uautoriseret adgang til eller videregivelse af Klientdata eller uautoriseret adgang til systemer, der behandler Klientdata.

12.2 Jitterbit underretter berørte kunder uden unødig forsinkelse i overensstemmelse med kontraktlige og lovgivningsmæssige krav.

12.3 Meddelelser indeholder relevante oplysninger om hændelsen og reaktionsforanstaltninger.

12.4 Jitterbit undersøger, inddæmmer og afbøder sikkerhedshændelser ved hjælp af etablerede procedurer for hændelsesrespons.

13. Disaster Recovery og Business Continuity

13.1 Jitterbit vedligeholder dokumenterede planer for katastrofeberedskab og forretningskontinuitet.

13.2 Evner til katastrofeberedskab testes med jævne mellemrum.

13.3 Kunderne er ansvarlige for at konfigurere deres egne backup- og tværregionsstrategier, hvor det er relevant.

14. Sikkerhedsoverholdelse og -sikring

Jitterbit opretholder uafhængige vurderinger og certificeringer, som kan omfatte:

  • SOC 1- og SOC 2-rapporter
  • ISO 27001-certificering (dækker også ISO 27017 og ISO 27018-bilag)
  • ISO 42001 certificering
  • HIPAA-overholdelse for forretningspartneres forpligtelser
  • GDPR-, CCPA-, LGPD- og NZISM-complianceprogrammer
  • Uafhængig penetrationstest og sårbarhedsvurderinger

15. Implementering af skyen og lokale agenter

15.1 Jitterbit Cloud er designet med stærke sikkerhedskontroller aktiveret som standard.

15.2 Muligheder for implementering af lokale agenter giver kunder mulighed for at behandle følsomme data i deres egne miljøer.

16. Datakryptering

16.1 Klientdata i hvile krypteres ved hjælp af AES-krypteringsalgoritmer, der er branchestandarder.

16.2 Klientdata under overførsel er beskyttet ved hjælp af sikre kommunikationsprotokoller såsom TLS.

17. Sikkerhedskontroller for kunstig intelligens

17.1 Jitterbit anvender yderligere sikkerhedsforanstaltninger på AI-aktiverede funktioner og systemer.

17.2 AI-modeller, konfigurationer og datasæt er adgangskontrollerede og beskyttet mod uautoriseret ændring eller udtrækning.

17.3 AI-relaterede data klassificeres og håndteres i overensstemmelse med Jitterbit databeskyttelsesstandarder.

17.4 AI-systemer overvåges for sikkerhed, integritet og operationelle uregelmæssigheder.

17.5 Praksis til styring af kunstig intelligens er i overensstemmelse med nye standarder, herunder ISO 42001, og lægger vægt på menneskeligt tilsyn, ansvarlighed og ansvarlig brug.

17.6 AI-systemer bruger ingen kundedata til at træne LLM-modellerne.

17.7 AI-agenter og autonome arbejdsgange
Jitterbit AI-agenter og autonome arbejdsgange opererer inden for definerede beskyttelsesrækværk for at sikre sikker, kontrollerbar og ansvarlig adfærd. Kunderne forbliver dataansvarlige og bevarer fleksibiliteten til at bruge deres egne store sprogmodeller (LLM'er) eller foretrukne AI-udbydere gennem Jitterbits forbindelsesramme. AI-agenter er underlagt strenge identitets-, godkendelses- og autorisationskontroller, med tilladelser begrænset til det minimum, der kræves. Al agentaktivitet logges, overvåges og kan auditeres. AI-agenter har forbud mod at tilgå, behandle eller udvinde klientdata ud over eksplicit autoriserede anvendelsesscenarier. Automatiserede handlinger udført af AI-agenter er designet med menneskelig overvågning, godkendelseskontrolpunkter, hvor det er relevant, og fejlsikre mekanismer for at forhindre utilsigtede eller skadelige resultater. AI-agenter evalueres løbende for sikkerhed, dataintegritet og overholdelse af regler. Jitterbit's standarder for AI-styring, databeskyttelse og risikostyring.

18. Delt ansvarsmodel

Sikkerhed er et fælles ansvar mellem Jitterbit og dets kunder. Mens Jitterbit implementerer robuste platformsikkerhedskontroller, er kunderne ansvarlige for:

  • Administration af brugeradgang og legitimationsoplysninger
  • Konfiguration af sikkerhedsfunktioner i deres konti
  • Håndtering af deres egne strategier for sikkerhedskopiering og gendannelse af data

Har du spørgsmål? Vi er her for at hjælpe.

Kontakt os