Viimeksi päivitetty: 6 / 1 / 2021

Keskeiset turvatoimenpiteet, joita Jitterbit toteuttaa asiakastietojen suojaamiseksi, on kuvattu tässä Jitterbit Security Measures -liitteessä:

Jitterbitin suojauskäytäntö

Tässä Jitterbit Security Measures -asiakirjassa ("Turvallisuuspolitiikka") esitetään hallinnolliset, tekniset ja fyysiset toimenpiteet, jotka Jitterbit sitoutuu suojaamaan Asiakastietoja luvattomalta käytöltä tai paljastamiselta. Jitterbitin on arvioitu täyttävän SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) ja EU:n GDPR-säännöt. Jitterbitillä on tämän suojauspolitiikan ehtojen toteuttamiseksi kirjallinen tietoturvasuunnitelma, jonka ylin johtoryhmä tarkistaa ja hyväksyy vuosittain. Tähän suojauskäytäntöön viitataan ja se on osa asiakassopimustasi Jitterbitin kanssa ("Sopimus"). Mikäli Sopimuksen ehtojen ja tämän turvallisuuspolitiikan välillä on ristiriitaa, tämä turvallisuuspolitiikka pätee sen kohteen osalta. Isoilla kirjaimilla kirjoitetuilla termeillä, joita käytetään, mutta joita ei ole määritelty tässä turvallisuuspolitiikassa, on Sopimuksessa tai Dokumentaatiossa määritellyt merkitykset.

Suunniteltu yksityisyys: Jitterbit pitää aktiivisesti tietosuojan ja yksityisyyden mielessä kaikissa vaiheissa; tämä sisältää sisäiset projektit, tuotekehityksen, ohjelmistokehityksen ja IT-järjestelmät.

Yksityisyys oletuksena: Kun Jitterbit julkaisee tuotteen tai palvelun yleisölle, tiukat tietosuoja-asetukset ovat oletuksena käytössä ilman käyttäjän manuaalista syöttöä. Lisäksi käyttäjän antamia henkilötietoja tuotteen optimaalisen käytön mahdollistamiseksi säilytetään, käsitellään ja/tai siirretään vain sen ajan, joka on tarpeen tuotteen tai palvelun tarjoamiseksi määriteltyjen standardien mukaisesti.

1. Asiakastietojen käyttö ja hallinta

1.1 Asiakas hallitsee pääsyä tililleen Jitterbit-sovelluksessa käyttäjätunnuksien, salasanojen ja kaksivaiheisen todennuksen avulla.
1.2 Jitterbit-henkilöstöllä ei ole pääsyä salaamattomiin asiakastietoihin, ellei Asiakas anna pääsyä Jitterbit-tiliinsä sellaiselle Jitterbit-henkilöstölle. "Jitterbit Personnel" tarkoittaa Jitterbitin työntekijöitä ja Jitterbitin valtuutettuja yksittäisiä alihankkijoita.
1.3 Jitterbit käyttää Asiakastietoja vain tarpeen mukaan Jitterbit-sovelluksen ja tuen tarjoamiseksi Asiakkaalle Sopimuksen mukaisesti.
1.4 Jitterbit-sovelluksen luomaa asiakassovellusta ja projektin metadataa isännöi Jitterbit vain Jitterbit-sovelluksen tuotantoympäristössä ja vain alueella, josta ne ovat peräisin (eli Yhdysvaltain tiedot pysyvät Yhdysvalloissa, EU-tiedot pysyvät EU:ssa ja APAC-tiedot APAC-alue).
1.5 Jitterbitin tulee luoda ja ylläpitää vuokaavioita, jotka osoittavat, kuinka asiakastiedot kulkevat Jitterbit-sovelluksen läpi. Jitterbit toimittaa tällaiset vuokaaviot Asiakkaan kohtuullisesta pyynnöstä.

2. Asiakastietojen looginen erottelu

2.1 Jitterbit Harmony eristää asiakastiedot käyttämällä:

• Secure DB Architecture -erotettu tietokanta ja erotettu skeemarkkitehtuuri
• Suojatut yhteydet tai taulukot – Luotetut tietokantayhteydet
• Salaus – peittää kriittiset tiedot niin, että luvattomat osapuolet eivät pääse niihin käsiksi, vaikka ne olisivat heidän hallussaan. Katso lisätietoja kohdasta 16.
• Suodatus: Vuokralaisen ja tietolähteen välisen välikerroksen käyttäminen, joka toimii kuin seula, jolloin asiakkaalle näyttää siltä, ​​että sen tiedot ovat ainoat tietokannan tiedot.
• Pääsynhallintaluettelot – määrittääksesi, kuka voi käyttää Jitterbit-sovelluksen tietoja ja mitä he voivat tehdä niillä.

3. Jitterbit-sovellusinfrastruktuurin käyttöoikeuksien hallinta

3.1 Pääsy Jitterbit-sovellusta tukeviin järjestelmiin ja infrastruktuuriin on rajoitettu Jitterbitin henkilöstölle, joka tarvitsee pääsyn osana työtehtäviään.
3.2 Pääsy järjestelmä- ja sovelluslokeihin on rajoitettu valtuutetulle Jitterbit-henkilöstölle ainoastaan ​​Jitterbit-sovelluksen tukemista, ongelmien tunnistamista ja parantamista varten.
3.2 Ainutlaatuiset käyttäjätunnukset, salasanat ja kaksivaiheiset todennustiedot VPN-yhteyden kautta määrätään Jitterbitin henkilöstölle, joka tarvitsee pääsyn Jitterbit-sovellusta tukeviin Jitterbit-palvelimiin.
3.3 Palvelimen salasanakäytäntö Jitterbit-sovellukselle tuotantoympäristössä ylittää PCI-DSS-salasanavaatimukset.
3.4 Erotetun Jitterbit-henkilöstön käyttöoikeudet poistetaan käytöstä välittömästi. Alennettuja oikeuksia vaativiin töihin siirtyvien henkilöiden pääsyoikeudet mukautetaan vastaavasti.
3.5 Käyttäjien pääsy Jitterbit-sovellusta tukeviin järjestelmiin ja infrastruktuuriin tarkistetaan neljännesvuosittain.
3.6 Jitterbit kirjaa ja valvoo pääsyyritykset Jitterbit-sovellusta tukeviin järjestelmiin ja infrastruktuuriin.
3.7 AWS-suojausryhmillä on kielto-oletuskäytännöt, ja ne mahdollistavat vain liiketoiminnan edellyttämät verkkoprotokollat ​​ulos- ja sisääntuloverkkoliikenteelle.
3.8 Palomuurit – Jitterbit käyttää AWS:n toimittamaa suojausryhmien palomuuria kuormantasaajan takana valvoakseen pääsyä ja liikennettä infrastruktuurin isännille ja sieltä pois.
3.9 Tunkeutumisen tunnistus – Jitterbit tarkkailee Lacework.net IDS:ään

4. Riskienhallinta

4.1 Jitterbitin riskinhallintaprosessi on mallinnettu NIST 800-30:n mukaan
4.2 Jitterbit suorittaa erilaisia ​​teknisiä ja ei-teknisiä riskiarviointeja ympäri vuoden, mukaan lukien oman ja kolmannen osapuolen arvioinnit ja testit, automaattiset skannaukset ja manuaaliset tarkistukset.
4.3 Arviointien tulokset, mukaan lukien tarvittaessa viralliset raportit, raportoidaan tietoturvavastaaville ja tietosuojavastaaville. Turvatoimikunta kokoontuu kahden viikon välein tarkastelemaan raportteja, tunnistamaan valvontapuutteita ja olennaisia ​​muutoksia uhkaympäristössä sekä antamaan suosituksia uusista tai parannetuista valvonta- ja uhkien lieventämisstrategioista ylimmälle johdolle.
4.4 Muutokset valvontaan ja uhkien lieventämisstrategioihin arvioidaan ja priorisoidaan täytäntöönpanoa varten riskien mukaan.
4.5 Uhkia seurataan useilla eri tavoilla, mukaan lukien uhkien tiedustelupalvelut, toimittajien ilmoitukset ja luotetut julkiset lähteet.

5. Haavoittuvuuden skannaus ja läpäisytestaus

5.1 Haavoittuvuustarkistukset kaupallisilla työkaluilla suoritetaan automaattisesti neljännesvuosittain ja ad hoc -järjestelmissä, joita tarvitaan Jitterbit-sovelluksen toimintaan ja hallintaan. Haavoittuvuustietokanta päivitetään säännöllisesti.
5.2 Tarkistuksia, jotka havaitsevat haavoittuvuuksia, jotka täyttävät Jitterbitin määrittämät riskikriteerit, suoritetaan säännöllisesti; prioriteettipohjaiset ilmoitukset jaetaan turvallisuushenkilöstön kanssa ja osoitetaan.
5.3 Henkilökunta arvioi hälytyksiä aiheuttavien haavoittuvuuksien mahdolliset vaikutukset.
5.4 Haavoittuvuudet, jotka laukaisevat hälytyksiä ja ovat julkaisseet hyväksikäyttöjä, raportoidaan turvallisuuskomitealle, joka määrittää ja valvoo asianmukaisia ​​korjaustoimia.
5.5 Tietoturvan hallinta valvoo tai tilaa luotettavia haavoittuvuusraporttien ja uhkatietojen lähteitä. 5.6 Riippumattoman kolmannen osapuolen asiantuntijan tunkeutumistestit suoritetaan vähintään kerran vuodessa.
5.7 Jitterbit Securityn suorittamia läpäisytestejä tehdään säännöllisesti ympäri vuoden.
5.8 Jitterbit Harmony Sisäinen ja ulkoinen henkilökunta tarkistaa koodin käyttämällä avoimen lähdekoodin ja kaupallisia työkaluja. Löydetyille haavoittuvuuksille määritetään kriittisyystasot, ja ne korjataan nopeasti esitetyn riskin ja korjausvaihtoehtojen mukaan.

6. Etäkäyttö ja langaton verkko

6.1 Kaikki pääsy Jitterbit VPC:ihin (esim. kehitys- ja tuotantotilit) edellyttää todennusta suojatun yhteyden kautta hyväksyttyjen menetelmien, kuten VPN:ien, kautta ja pakotettu molemminpuolisella varmennetodennus ja kaksitekijätodennus.
6.3 Jitterbit-yritystoimistot, mukaan lukien LAN- ja Wi-Fi-verkot näissä toimistoissa, katsotaan epäluotetuiksi verkoiksi, ja ne edellyttävät onnistunutta autentikointia AWS-tilien VPN-verkkoon pääsyä varten. Vain yksi IT-tukitiimin jäsen saa käyttää turvallisesti etäyhteyden yrityksen toimistoverkkoon tukeakseen palomuuria, phones ja muu infrastruktuuri.
6.4 Jitterbit noudattaa käytäntöä, jonka mukaan asiakastietoja ei tallenneta paikallisille pöytäkoneille, kannettaville tietokoneille, mobiililaitteille, jaetuille asemille, irrotettaville tietovälineille sekä julkisiin järjestelmiin, jotka eivät kuulu Jitterbitin hallinnollisen valvonnan tai vaatimustenmukaisuuden valvontaprosessien piiriin.

7. Jitterbit-sovelluksen sijainti

7.1 Asiakastiedot tallennetaan käytettävissä oleville Jitterbit-sovellusalueille: USA, EU ja AP; Yhdysvaltain pilvi ei replikoidu EMEA-pilven (tai AP-pilven) kanssa tai päinvastoin. Jokainen Yhdysvaltojen sisällä oleva alue replikoituu toistensa Yhdysvaltojen alueiden välillä.

8. Järjestelmän tapahtumien kirjaus

8.1 Valvontatyökaluja ja -palveluita käytetään seuraamaan järjestelmiä, mukaan lukien verkko-, palvelintapahtumat ja AWS API -suojaustapahtumat, saatavuustapahtumat ja resurssien käyttö.
8.2 Jitterbit-infrastruktuuri Tietoturvatapahtumalokit kerätään keskusjärjestelmään ja suojataan kajottamiselta. Lokit säilytetään 12 kuukautta.
8.3 Jitterbit Harmony sovelluslokit kerätään keskitettyyn järjestelmään ja suojataan muuttamiselta. Lokit säilytetään 90 päivää

9. Järjestelmänhallinta, haittaohjelmien esto ja korjaustiedostojen hallinta

9.1 Jitterbit on luonut, toteuttanut ja ylläpitää järjestelmän hallintamenettelyjä järjestelmille, jotka käyttävät asiakastietoja, jotka täyttävät tai ylittävät alan standardit, mukaan lukien rajoituksetta järjestelmän vahvistaminen, järjestelmän ja laitteen korjaus (käyttöjärjestelmä ja sovellukset) sekä uhkien havaitsemisohjelmiston ja haittaohjelmien asianmukainen asennus ehkäisy sekä päivittäiset allekirjoitukset ja heuristiset päivitykset.
9.2 Työntekijöiden Internet-käyttö on auditoitu rajoitetulla pääsyllä mustalle listalle oleville sivustoille.
9.3 Jitterbit Security tarkistaa US-Cert- ja muiden uusien haavoittuvuuksien ilmoitukset viikoittain ja arvioi niiden vaikutuksen Jitterbitiin Jitterbitin määrittämän riskikriteerin perusteella, mukaan lukien soveltuvuus ja vakavuus.
9.4 Sovellettavat US-Cert ja muut "korkeiksi" tai "kriittisiksi" luokitellut tietoturvapäivitykset käsitellään 30 päivän kuluessa korjaustiedoston julkaisemisesta.

10. Jitterbit Security Training ja Jitterbit henkilöstö

10.1 Jitterbit ylläpitää Jitterbitin henkilöstölle tietoturvatietoisuusohjelmaa, joka tarjoaa peruskoulutuksen, jatkuvan tietoisuuden ja yksilöllisen Jitterbitin henkilöstön tunnustuksen aikomuksestaan ​​noudattaa Jitterbitin yritysturvallisuuskäytäntöjä. Uudet työntekijät suorittavat peruskoulutuksen turvallisuudesta, HIPAA:sta, CCPA:sta ja GDPR:stä, allekirjoittavat omistusoikeudellisen tietosopimuksen ja allekirjoittavat digitaalisesti tietoturvapolitiikan, joka kattaa Jitterbitin tietoturvapolitiikan keskeiset näkökohdat.
10.2 Kaikki Jitterbitin henkilökunta tiedostavat olevansa vastuussa todellisista tai epäillyistä tietoturvahäiriöistä tai -huoleista, varkauksista, loukkauksista, menetyksistä ja Asiakastietojen luvattomista paljastamisesta tai pääsystä niihin raportoimisesta.
10.3 Kaiken Jitterbitin henkilöstön on läpäistävä tyydyttävästi vuotuinen turvallisuuskoulutus. Säännöllisesti toimitetaan säännöllisiä muistutuksia ja ennakoivaa tietojenkalastelukoulutusta.
10.4 Jitterbit suorittaa rikollisen taustan seulonnan osana Jitterbitin rekrytointiprosessia lain sallimissa rajoissa.
10.5 Jitterbit varmistaa, että sen alihankkijat, toimittajat ja muut kolmannet osapuolet, joilla on suora pääsy asiakastietoihin Jitterbit-sovellusten yhteydessä, noudattavat soveltuvia tietoturvastandardeja, jotka Jitterbit on määritellyt käytännöissä ja menettelyissä, mikä on yhdistelmä ISO 27001/27002, NIST 800-53, CIS, CSA ja CERT, HIPAA ja GDPR vaatimukset.

11. Fyysinen turvallisuus

11.1 Jitterbit-sovellusta isännöi AWS, ja AWS hallitsee kaikkia fyysisiä suojaustoimintoja. Jitterbit tarkistaa AWS SOC 2 Type 2 -raportin vuosittain varmistaakseen asianmukaiset fyysiset turvatarkastukset.

12. Ilmoitus tietoturvaloukkauksesta

12.1 "Tietoturvaloukkaus" on (a) luvaton pääsy Asiakastietoihin tai niiden paljastaminen tai (b) luvaton pääsy Jitterbit-sovelluksen järjestelmiin, jotka lähettävät tai analysoivat Asiakastietoja.
12.2 Jitterbit ilmoittaa Asiakkaalle kirjallisesti ilman aiheetonta viivytystä seitsemänkymmentäkahden (72) tunnin kuluessa vahvistetusta tietoturvaloukkauksesta.
12.3 Tällaisessa ilmoituksessa kuvataan tietoturvaloukkaus ja Jitterbitin tutkinnan tila. 12.4 Jitterbit ryhtyy tarvittaviin toimiin suojatakseen, tutkiakseen ja lieventääkseen tietoturvaloukkausta.

13. Katastrofi

13.1 Jitterbit ylläpitää Disaster Recovery Plan ("DRP") Jitterbit-sovelluksille. DRP testataan vuosittain. 13.2 Jitterbit-sovellusta hallitaan eri AWS-alueilla erillisinä käyttöönottoina, joita voidaan käyttää osana asiakkaan DRP-strategiaa. Käyttääkseen tehokkaasti Jitterbit-sovelluksen alueiden välistä saatavuutta katastrofipalautustarkoituksiin Asiakas on vastuussa seuraavista:
13.2.1 Pyydetään lisää Jitterbit Application -tilejä eri alueilla tukemaan sen DRP-ohjelmaa. 13.2.2 Tietojen replikoinnin hallinta soveltuvilla alueilla.
13.2.3 Jitterbit-tilien määrittäminen ja hallinta.
13.2.4 Varmuuskopiointi- ja palautusstrategioiden hallinta.

14. Jitterbit Security -yhteensopivuus, sertifioinnit ja kolmannen osapuolen todistukset

14.1 Jitterbit palkkaa akkreditoituja kolmansia osapuolia suorittamaan auditointeja ja todistamaan erilaisia ​​vaatimustenmukaisuuden ja sertifiointeja vuosittain, mukaan lukien:
14.1.1 SOC 2 -todistusraportti
14.1.2 SOC 1 -todistusraportti
14.1.2 HIPAA-vaatimustenmukaisuusraportti liikekumppaneille
14.1.3 GDPR-vaatimustenmukaisuusraportti
14.1.4 Läpäisytestausraportin yhteenveto
14.1.5 Haavoittuvuuden arviointiraportin yhteenveto
14.1.6 ISO 27001 -todistusraportti
14.1.7 California Privacy Actin CCPA-vaatimustenmukaisuusraportti

15. Jitterbit Cloud ja paikallinen agentti

15.1 Jitterbit Harmony Cloud on suunniteltu korkeimpia suojausasetuksia ajatellen, jotta jopa yksinkertaiset toteutukset (pienemmät tietoturvavaatimukset) voivat hyödyntää tätä "paistettua" korkeaa turvallisuutta.
15.2 Jitterbit tarjoaa toteutusvaihtoehdon (paikallinen edustaja) asiakkaille, jotka päättävät käsitellä arkaluonteisia tietoja Jitterbit-pilviinfrastruktuurin ulkopuolella ja oman palomuurinsa ja yritysverkkonsa takana.

16. Tiedonsalaus

16.1 Lepotilassa olevien asiakastietojen salaus Harmony: Harmony Pilvitiedot salataan lepotilassa AES-256 FIPS 140-2 -algoritmilla. Lisätietoja on Jitterbitissä Harmony Arkkitehtuuri- ja turvallisuusraportti osoitteessa: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Asiakastietojen salaus siirrettäessä kohteeseen/osoitteesta Harmony: Harmony Pilvitiedot salataan siirron aikana HTTPS:n (TLS 1.2), SSH:n ja/tai IPsecSsEC:n avulla. Lisätietoja on Jitterbitissä Harmony Arkkitehtuuri- ja turvallisuusraportti osoitteessa:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Asiakkaan velvollisuudet

17.1 Asiakas on vastuussa omien käyttäjätilien ja roolien hallinnasta Jitterbit-sovelluksessa sekä oman tilinsä ja käyttäjätunnuksiensa suojaamisesta. Asiakas noudattaa Jitterbitin kanssa tekemänsä sopimuksen ehtoja sekä kaikkia sovellettavia lakeja.
17.2 Asiakas ilmoittaa Jitterbitille viipymättä, jos käyttäjän tunnistetiedot on vaarantunut tai jos Asiakas epäilee mahdollisia epäilyttäviä toimia, jotka voivat vaikuttaa negatiivisesti Jitterbit-sovelluksen tai Asiakkaan tilin turvallisuuteen. Asiakas ei saa suorittaa mitään tietoturvatestejä tai turva-arviointitoimia ilman Jitterbitin nimenomaista kirjallista ennakkosuostumusta.
17.3 Jos Jitterbit-sovellus ei ole Jitterbitin isännöimä, Asiakas on vastuussa Jitterbit-asiakasohjelmistonsa päivittämisestä aina, kun Jitterbit ilmoittaa päivityksestä.
17.4 Asiakkaat ovat vastuussa asiakastietojen varmuuskopiointistrategian hallinnasta.
17.5 Asiakkaiden, joiden asiakasdata sisältää PCI-, PHI-, GDPR-, PII- tai muita arkaluontoisia tietoja, tulee ottaa käyttöön Jitterbitin tarjoama IP:n sallittujen luettelo ja monitekijätodennus (MFA) Jitterbit-sovelluksessa ja harkita paikallisen edustajan käyttöä rajoitetuin lisälokimäärityksin. .