Laatst bijgewerkt: 6 / 1 / 2021

De belangrijkste beveiligingsmaatregelen die Jitterbit implementeert om klantgegevens te beschermen, worden uiteengezet in deze Jitterbit-beveiligingsmaatregelenbijlage:

Jitterbit-beveiligingsbeleid

Dit document met Jitterbit-beveiligingsmaatregelen (het "Beveiligingsbeleid") schetst de administratieve, technische en fysieke maatregelen die Jitterbit neemt om Klantgegevens te beschermen tegen ongeoorloofde toegang of openbaarmaking. Jitterbit is beoordeeld om te voldoen aan de vereisten van SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) en EU GDPR-regels. Jitterbit heeft een schriftelijk informatiebeveiligingsplan om de voorwaarden van dit beveiligingsbeleid te implementeren, dat jaarlijks wordt beoordeeld en goedgekeurd door het senior managementteam. Er wordt naar dit beveiligingsbeleid verwezen in en maakt deel uit van uw Klantovereenkomst met Jitterbit (de "Overeenkomst"). In het geval van een conflict tussen de voorwaarden van de Overeenkomst en dit Beveiligingsbeleid, is dit Beveiligingsbeleid leidend met betrekking tot het onderwerp ervan. Termen met een hoofdletter die in dit Beveiligingsbeleid worden gebruikt maar niet worden gedefinieerd, hebben de betekenis die is uiteengezet in de Overeenkomst of in de Documentatie.

Privacy door ontwerp: Jitterbit houdt actief rekening met gegevensbescherming en privacy bij elke stap; dit omvat interne projecten, productontwikkeling, softwareontwikkeling en IT-systemen.

Standaard privacy: Zodra Jitterbit een product of dienst voor het publiek vrijgeeft, worden standaard strikte privacy-instellingen toegepast, zonder enige handmatige invoer van de gebruiker. Bovendien worden persoonlijke gegevens die door de gebruiker worden verstrekt om een ​​optimaal gebruik van een product mogelijk te maken, alleen opgeslagen, verwerkt en/of verzonden voor de tijd die nodig is om het product of de dienst te leveren, in overeenstemming met gedefinieerde normen.

1. Toegang tot en beheer van klantgegevens

1.1 Klant regelt de toegang tot zijn account in de Jitterbit-applicatie via gebruikers-ID's, wachtwoorden en tweefactorauthenticatie.
1.2 Jitterbit-personeel heeft geen toegang tot niet-versleutelde Klantgegevens, tenzij Klant toegang geeft tot zijn Jitterbit-account aan dergelijk Jitterbit-personeel. "Jitterbit-personeel" betekent Jitterbit-werknemers en door Jitterbit geautoriseerde individuele onderaannemers.
1.3 Jitterbit gebruikt Klantgegevens alleen voor zover nodig om de Jitterbit-toepassing en ondersteuning aan Klant te bieden, zoals bepaald in de Overeenkomst.
1.4 Metadata van klantapplicaties en projecten die door de Jitterbit-applicatie zijn gegenereerd, worden alleen door Jitterbit gehost in de productieomgeving van de Jitterbit-applicatie en alleen binnen de regio waaruit ze afkomstig zijn (dwz gegevens uit de VS blijven in de VS, gegevens uit de EU blijven in de EU en APAC-gegevens in APAC-regio).
1.5 Jitterbit zal stroomdiagram(men) maken en bijhouden die aangeven hoe Klantgegevens door de Jitterbit-applicatie stromen. Jitterbit zal dergelijke stroomschema's verstrekken op redelijk verzoek van de Klant.

2. Logische scheiding van klantgegevens

2.1 Jitterbit Harmony isoleert klantgegevens door gebruik te maken van:

• Veilige DB-architectuur - gescheiden database en gescheiden schema-architectuur
• Veilige verbindingen of tabellen – Vertrouwde databaseverbindingen
• Versleuteling – verbergt kritieke gegevens zodat deze ontoegankelijk blijven voor onbevoegde partijen, zelfs als ze deze in bezit krijgen. Zie paragraaf 16 voor meer details.
• Filteren: Gebruik van een tussenlaag tussen een huurder en een gegevensbron die als een zeef fungeert, waardoor het voor de Klant lijkt alsof zijn gegevens de enige gegevens in de database zijn.
• Toegangscontrolelijsten - om te bepalen wie toegang heeft tot gegevens in de Jitterbit-toepassing en wat ze ermee kunnen doen.

3. Toegangsbeheer voor Jitterbit-applicatie-infrastructuur

3.1 Toegang tot de systemen en infrastructuur die de Jitterbit-applicatie ondersteunen, is beperkt tot Jitterbit-personeel dat dergelijke toegang nodig heeft als onderdeel van hun functieverantwoordelijkheden.
3.2 Toegang tot systeem- en applicatielogboeken is beperkt tot geautoriseerd Jitterbit-personeel, uitsluitend met het doel de Jitterbit-applicatie te ondersteunen, problemen te identificeren en te verbeteren.
3.2 Unieke gebruikers-ID's, wachtwoorden en referenties voor tweefactorauthenticatie via een VPN-verbinding worden toegewezen aan Jitterbit-personeel dat toegang nodig heeft tot de Jitterbit-servers die de Jitterbit-applicatie ondersteunen.
3.3 Serverwachtwoordbeleid voor de Jitterbit-applicatie in de productieomgeving overschrijdt de PCI-DSS-wachtwoordvereisten.
3.4 Toegangsrechten van gescheiden Jitterbit-personeel worden onmiddellijk uitgeschakeld. De toegangsprivileges van personen die overstappen naar functies waarvoor verminderde privileges vereist zijn, worden dienovereenkomstig aangepast.
3.5 Gebruikerstoegang tot de systemen en infrastructuur die de Jitterbit-applicatie ondersteunen, wordt elk kwartaal beoordeeld.
3.6 Toegangspogingen tot de systemen en infrastructuur die de Jitterbit Applicatie ondersteunen worden gelogd en gecontroleerd door Jitterbit.
3.7 AWS-beveiligingsgroepen hebben een standaardbeleid voor alles weigeren en schakelen alleen door het bedrijf vereiste netwerkprotocollen in voor uitgaand en binnenkomend netwerkverkeer.
3.8 Firewalls – Jitterbit gebruikt een door AWS geleverde firewall van beveiligingsgroepen achter een load balancer om de toegang tot en het verkeer van en naar infrastructuurhosts te controleren.
3.9 Inbraakdetectie – Jitterbit bewaakt zijn Lacework.net IDS

4. Risicomanagement

4.1 Het risicobeheerproces van Jitterbit is gemodelleerd naar NIST 800-30
4.2 Jitterbit voert het hele jaar door verschillende soorten technische en niet-technische risicobeoordelingen uit, waaronder zelfbeoordelingen en tests door derden, geautomatiseerde scans en handmatige beoordelingen.
4.3 Resultaten van beoordelingen, inclusief formele rapportages indien relevant, worden gerapporteerd aan de Information Security Officers en Data Protection Officers. Een beveiligingscommissie komt tweewekelijks bijeen om rapporten te beoordelen, controletekortkomingen en materiële veranderingen in de dreigingsomgeving te identificeren en aanbevelingen te doen voor nieuwe of verbeterde controles en strategieën voor het beperken van bedreigingen aan het senior management.
4.4 Wijzigingen in controles en strategieën voor het beperken van bedreigingen worden geëvalueerd en geprioriteerd voor implementatie op basis van risicocorrectie.
4.5 Bedreigingen worden op verschillende manieren gemonitord, waaronder bedreigingsinformatiediensten, meldingen van leveranciers en vertrouwde openbare bronnen.

5. Scannen van kwetsbaarheden en penetratietesten

5.1 Kwetsbaarheidsscans met behulp van commerciële tools worden automatisch elk kwartaal en ad-hoc uitgevoerd op systemen die nodig zijn om de Jitterbit-applicatie te gebruiken en te beheren. De kwetsbaarheidsdatabase wordt regelmatig bijgewerkt.
5.2 Er worden regelmatig scans uitgevoerd die kwetsbaarheden detecteren en voldoen aan de door Jitterbit gedefinieerde risicocriteria; op prioriteit gebaseerde meldingen worden gedeeld met beveiligingspersoneel en geadresseerd.
5.3 Potentiële impact van kwetsbaarheden die waarschuwingen activeren, wordt geëvalueerd door het personeel.
5.4 Kwetsbaarheden die waarschuwingen activeren en exploits hebben gepubliceerd, worden gerapporteerd aan het Beveiligingscomité, dat passende herstelmaatregelen bepaalt en er toezicht op houdt.
5.5 Beveiligingsbeheer bewaakt of abonneert zich op vertrouwde bronnen van kwetsbaarheidsrapporten en bedreigingsinformatie. 5.6 Penetratietesten door een onafhankelijke derde deskundige worden minimaal jaarlijks uitgevoerd.
5.7 Door Jitterbit Security uitgevoerde penetratietesten worden regelmatig gedurende het jaar uitgevoerd.
5.8 Jitterbit Harmony code wordt beoordeeld door intern en extern personeel met behulp van open-source en commerciële tools. Ontdekte kwetsbaarheden krijgen een kritikaliteitsniveau toegewezen en worden snel verholpen, afhankelijk van het gepresenteerde risico en de herstelopties.

6. Toegang op afstand en draadloos netwerk

6.1 Alle toegang tot de Jitterbit VPC's (bijv. ontwikkelings- en productieaccounts) vereist authenticatie via een beveiligde verbinding via goedgekeurde methoden zoals VPN's en wordt afgedwongen met wederzijdse certificaatauthenticatie en tweefactorauthenticatie.
6.3 Jitterbit-bedrijfskantoren, inclusief LAN- en Wi-Fi-netwerken in die kantoren, worden beschouwd als niet-vertrouwde netwerken en vereisen succesvolle authenticatie bij de VPN in de AWS-accounts voor toegang. Slechts één lid van het IT-ondersteuningsteam mag op veilige afstand toegang krijgen tot het bedrijfsnetwerk om de firewall te ondersteunen. phones en andere infrastructuur.
6.4 Jitterbit hanteert een beleid om klantgegevens niet op te slaan op lokale desktops, laptops, mobiele apparaten, gedeelde schijven, verwisselbare media, evenals op openbare systemen die niet onder de administratieve controle of nalevingscontroleprocessen van Jitterbit vallen.

7. Jitterbit-toepassingslocatie

7.1 Klantgegevens worden opgeslagen in de beschikbare Jitterbit-toepassingsregio's: VS, EU en AP; de Amerikaanse cloud repliceert niet met de EMEA-cloud (of AP-cloud) of omgekeerd. Elke regio binnen de VS repliceert tussen elke andere Amerikaanse regio.

8. Logboekregistratie van systeemgebeurtenissen

8.1 Bewakingstools en -services worden gebruikt om systemen te bewaken, waaronder netwerk-, servergebeurtenissen en AWS API-beveiligingsgebeurtenissen, beschikbaarheidsgebeurtenissen en het gebruik van bronnen.
8.2 Jitterbit-infrastructuur Beveiligingsgebeurtenis Logboeken worden verzameld in een centraal systeem en beschermd tegen sabotage. Logboeken worden 12 maanden bewaard.
8.3 Jitterbit Harmony toepassingslogboeken worden verzameld in een centraal systeem en beschermd tegen sabotage. Logboeken worden 90 dagen bewaard

9. Systeembeheer, malwarepreventie en patchbeheer

9.1 Jitterbit heeft systeembeheerprocedures gecreëerd, geïmplementeerd en onderhouden voor systemen die toegang hebben tot Klantgegevens die voldoen aan de industriestandaarden of deze overtreffen, inclusief maar niet beperkt tot systeemverharding, systeem- en apparaatpatching (besturingssysteem en applicaties) en correcte installatie van software voor het detecteren van bedreigingen, malware preventie, en dagelijkse ondertekening en heuristische updates daarvan.
9.2 Internettoegang van werknemers wordt gecontroleerd met beperkte toegang tot sites op de zwarte lijst.
9.3 Jitterbit Security beoordeelt US-Cert en andere nieuwe aankondigingen van kwetsbaarheden wekelijks en beoordeelt hun impact op Jitterbit op basis van een door Jitterbit gedefinieerd risicocriterium, inclusief toepasbaarheid en ernst.
9.4 Toepasselijke US-Cert- en andere beveiligingsupdates met de classificatie "hoog" of "kritiek" worden binnen 30 dagen na de release van de patch verholpen.

10. Jitterbit-beveiligingstraining en Jitterbit-personeel

10.1 Jitterbit onderhoudt een beveiligingsbewustmakingsprogramma voor Jitterbit-personeel, dat voorziet in initiële opleiding, doorlopende bewustwording en individuele erkenning door Jitterbit-personeel van de intentie om te voldoen aan het beveiligingsbeleid van Jitterbit. Nieuwe medewerkers voltooien de initiële training over beveiliging, HIPAA, CCPA en GDPR, ondertekenen een bedrijfseigen informatieovereenkomst en ondertekenen digitaal het informatiebeveiligingsbeleid dat de belangrijkste aspecten van het Jitterbit-informatiebeveiligingsbeleid omvat.
10.2 Alle Jitterbit-medewerkers erkennen dat zij verantwoordelijk zijn voor het melden van daadwerkelijke of vermoedelijke beveiligingsincidenten of zorgen, diefstallen, inbreuken, verliezen en ongeoorloofde openbaarmaking van of toegang tot Klantgegevens.
10.3 Al het Jitterbit-personeel moet de jaarlijkse beveiligingstraining naar tevredenheid afronden. Er worden regelmatig periodieke herinneringen en proactieve phishing-trainingen gegeven.
10.4 Jitterbit voert een onderzoek naar de criminele achtergrond uit als onderdeel van het Jitterbit-wervingsproces, voor zover wettelijk toegestaan.
10.5 Jitterbit zal ervoor zorgen dat zijn onderaannemers, verkopers en andere derde partijen die directe toegang hebben tot de klantgegevens in verband met de Jitterbit-applicaties zich houden aan de toepasselijke gegevensbeveiligingsnormen zoals gedefinieerd door Jitterbit in Beleid en procedures, wat een combinatie is van ISO 27001/27002, NIST 800-53, CIS, CSA en CERT, HIPAA en GDPR vereisten.

11. Fysieke beveiliging

11.1 De Jitterbit-applicatie wordt gehost in AWS en alle fysieke beveiligingscontroles worden beheerd door AWS. Jitterbit beoordeelt jaarlijks het AWS SOC 2 Type 2-rapport om te zorgen voor passende fysieke beveiligingscontroles.

12. Kennisgeving van beveiligingsinbreuk

12.1 Een "Beveiligingsinbreuk" is (a) de ongeoorloofde toegang tot of openbaarmaking van Klantgegevens, of (b) de ongeoorloofde toegang tot de systemen binnen de Jitterbit-applicatie die Klantgegevens verzenden of analyseren.
12.2 Jitterbit zal Klant zonder onnodige vertraging binnen tweeënzeventig (72) uur na een bevestigde Beveiligingsinbreuk schriftelijk op de hoogte stellen.
12.3 Een dergelijke melding beschrijft de Beveiligingsinbreuk en de status van het onderzoek van Jitterbit. 12.4 Jitterbit zal passende maatregelen nemen om de Beveiligingsinbreuk in te dammen, te onderzoeken en te beperken.

13. Noodherstel

13.1 Jitterbit onderhoudt een Disaster Recovery Plan ("DRP") voor de Jitterbit-applicaties. Het DRP wordt jaarlijks getoetst. 13.2 De Jitterbit-applicatie wordt beheerd in verschillende AWS-regio's als zelfstandige implementaties, die kunnen worden gebruikt als onderdeel van de DRP-strategie van Klant. Om de interregionale beschikbaarheid van de Jitterbit Applicatie effectief te gebruiken voor noodherstel, is Klant verantwoordelijk voor het volgende:
13.2.1 Extra Jitterbit Application-accounts aanvragen in verschillende regio's ter ondersteuning van het DRP-programma. 13.2.2 Beheer van de gegevensreplicatie in alle toepasselijke regio's.
13.2.3 Zijn Jitterbit-accounts configureren en beheren.
13.2.4 Back-up- en herstelstrategieën beheren.

14. Jitterbit-beveiligingsnaleving, certificeringen en verklaringen van derden

14.1 Jitterbit huurt geaccrediteerde derde partijen in om jaarlijks audits uit te voeren en te getuigen van verschillende nalevings- en certificeringen, waaronder:
14.1.1 SOC 2 Attestrapport
14.1.2 SOC 1 Attestrapport
14.1.2 HIPAA-nalevingsrapport voor zakenpartners
14.1.3 AVG-nalevingsrapport
14.1.4 Penetratietestrapport Samenvatting
14.1.5 Samenvatting Kwetsbaarheidsbeoordelingsrapport
14.1.6 ISO 27001-attestrapport
14.1.7 CCPA-nalevingsrapport voor de privacywet van Californië

15. Jitterbit Cloud en lokale agent

15.1 Jitterbit Harmony Cloud is ontworpen met de hoogste beveiligingsinstellingen in het achterhoofd, zodat zelfs eenvoudige implementaties (lagere beveiligingsvereisten) kunnen profiteren van deze "ingebakken" hoge beveiliging.
15.2 Jitterbit biedt een implementatiemogelijkheid (Local Agent) voor Klanten die ervoor kiezen om gevoelige gegevens buiten de Jitterbit-cloudinfrastructuur en achter hun eigen firewall en bedrijfsnetwerk te verwerken.

16. Gegevenscodering

16.1 Versleuteling van klantgegevens in rust aan Harmony: Harmony Cloudgegevens worden in rust versleuteld met een AES-256 FIPS 140-2-algoritme. Bekijk de Jitterbit voor meer informatie Harmony Whitepaper over architectuur en beveiliging op: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Versleuteling van klantgegevens tijdens de overdracht van/naar Harmony: Harmony Cloudgegevens worden onderweg versleuteld met behulp van HTTPS (TLS 1.2), SSH en/of IPsecSsEC. Bekijk de Jitterbit voor meer informatie Harmony Whitepaper over architectuur en beveiliging op:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Verantwoordelijkheden van de klant

17.1 Klant is verantwoordelijk voor het beheer van zijn eigen gebruikersaccounts en rollen binnen de Jitterbit-applicatie en voor het beschermen van zijn eigen account en gebruikersreferenties. Klant zal zich houden aan de voorwaarden van zijn Overeenkomst met Jitterbit en aan alle toepasselijke wetten.
17.2 Klant zal Jitterbit onmiddellijk op de hoogte stellen als een gebruikersreferentie is gecompromitteerd of als Klant mogelijke verdachte activiteiten vermoedt die een negatieve invloed kunnen hebben op de beveiliging van de Jitterbit-applicatie of het account van Klant. Klant mag geen beveiligingspenetratietesten of beveiligingsbeoordelingsactiviteiten uitvoeren zonder de uitdrukkelijke voorafgaande schriftelijke toestemming van Jitterbit.
17.3 Voor Jitterbit-applicaties die niet door Jitterbit worden gehost, is Klant verantwoordelijk voor het bijwerken van zijn Jitterbit-clientsoftware wanneer Jitterbit een update aankondigt.
17.4 Klanten zijn verantwoordelijk voor het beheer van een back-upstrategie met betrekking tot Klantgegevens.
17.5 Klanten van wie de klantgegevens PCI, PHI, GDPR, PII of andere gevoelige gegevens bevatten, moeten door Jitterbit geleverde IP-whitelisting en multi-factor authenticatie (MFA) in de Jitterbit-toepassing implementeren en het gebruik van de lokale agent overwegen, met aanvullende beperkte logboekconfiguratie .