Jitterbit sikkerhetstiltak

Gjelder 8. desember 2022

Sist oppdatert: 20. februar 2026

Kjernesikkerhetstiltakene Jitterbit implementerer for å beskytte klientdata er skissert i dette Jitterbit sikkerhetstiltaksvedlegg:

Oversikt

Dette dokumentet om Jitterbit-sikkerhetstiltak («sikkerhetstiltakene») beskriver de administrative, tekniske og fysiske sikkerhetstiltakene som er implementert av Jitterbit for å beskytte klientdata mot uautorisert tilgang, avsløring, endring eller ødeleggelse.

Disse sikkerhetstiltakene støtter Jitterbits forpliktelser i henhold til gjeldende juridiske, regulatoriske og kontraktsmessige krav, inkludert, men ikke begrenset til, SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, GDPR, CCPA og NZISM.

Dette dokumentet er en del av Jitterbits bredere rammeverk for sikkerhet og personvern, og det refereres til det i gjeldende kundeavtaler, inkludert databehandleravtaler (DPA-er) og samarbeidsavtaler (BAA-er). Ved konflikt mellom disse sikkerhetstiltakene og en kundeavtale, er det kundeavtalen som gjelder med hensyn til innholdet.

Begreper med stor skrift som ikke er definert her, har den betydningen som er angitt i gjeldende avtale eller dokumentasjon.

Personvern etter design og Personvern som standard

Personvern etter design
Jitterbit tar hensyn til personvern og databeskyttelse gjennom hele livssyklusen til sine produkter og tjenester, inkludert interne prosjekter, programvareutvikling, infrastrukturdesign og IT-drift.

Personvern som standard
Jitterbit-produkter og -tjenester er som standard konfigurert med personverninnstillinger. Personopplysninger samles inn, behandles og lagres kun i den grad det er nødvendig for å levere tjenesten, overholde kontraktsmessige forpliktelser og oppfylle juridiske og regulatoriske krav.

1. Tilgang og administrasjon av klientdata

1.1 Klienter kontrollerer tilgang til Jitterbit-kontoene sine gjennom brukeridentiteter, rollebaserte tilgangskontroller og flerfaktorautentisering.

1.2 Jitterbit-personell har ikke tilgang til ukrypterte klientdata med mindre klienten uttrykkelig har gitt tillatelse til det for støtte, feilsøking eller driftsformål.

1.3 Jitterbit behandler Klientdata utelukkende etter instruksjoner fra kunden, i den grad det er nødvendig for å levere, vedlikeholde og støtte Jitterbit-applikasjonen i samsvar med gjeldende avtale.

1.4 Metadata for klientapplikasjoner og prosjekter generert av Jitterbit-applikasjonen lagres kun i det geografiske området de kommer fra (NA, EMEA eller APAC), med mindre annet er kontraktsmessig avtalt.

1.5 Jitterbit vedlikeholder dokumenterte dataflytdiagrammer som beskriver hvordan klientdata flyter gjennom Jitterbit-applikasjonen, og tilbyr slike diagrammer på rimelig forespørsel.

2. Logisk separasjon av klientdata

Jitterbit håndhever logisk separasjon av klientdata gjennom lagdelte tekniske kontroller, inkludert:

  • Segmenterte databasearkitekturer med separate skjemaer
  • Pålitelige og autentiserte tjeneste-til-tjeneste-tilkoblinger
  • Kryptering av sensitive data
  • Logiske filtreringslag mellom leietakere og delte ressurser
  • Tilgangskontrollmekanismer for å begrense datatilgang basert på identitet og rolle

 

3. Administrasjon av tilgang til applikasjonsinfrastruktur

3.1 Tilgang til systemer og infrastruktur som støtter Jitterbit-applikasjonen er begrenset til autorisert personell basert på jobbansvar og prinsipper om minste privilegier.

3.2 Tilgang til system- og applikasjonslogger er begrenset til autorisert personell for driftsstøtte, feilsøking og sikkerhetsovervåking.

3.3 Administrativ tilgang krever unike brukerlegitimasjoner, sterk autentisering og flerfaktorautentisering over sikre tilkoblinger.

3.4 Passordstandarder for servere og infrastruktur oppfyller eller overgår anerkjente bransjekrav.

3.5 Tilgangsrettigheter tilbakekalles eller justeres umiddelbart ved oppsigelse eller rolleendring.

3.6 Brukertilgang til produksjonsinfrastruktur gjennomgås med jevne mellomrom.

3.7 Tilgangsforsøk og administrative handlinger logges og overvåkes.

3.8 Nettverkstilgang er begrenset ved hjelp av standardkonfigurasjoner for sikkerhetsgrupper.

3.9 Brannmurer og nettverkssegmenteringskontroller brukes til å begrense innkommende og utgående trafikk.

3.10 Verktøy for inntrengingsdeteksjon og overvåking brukes til å oppdage mistenkelig eller unormal aktivitet.

4. Risikostyring

4.1 Jitterbit opprettholder et formelt risikostyringsprogram i samsvar med anerkjente rammeverk, som for eksempel NIST.

4.2 Tekniske og ikke-tekniske risikovurderinger gjennomføres gjennom hele året, inkludert automatiserte skanninger, interne gjennomganger og tredjepartsvurderinger og penetrasjonstester.

4.3 Vurderingsresultatene gjennomgås av sikkerhets- og personvernledelsen og spores gjennom definerte utbedringsprosesser.

4.4 Identifiserte risikoer prioriteres og håndteres ved hjelp av risikobaserte tiltak.

4.5 Trusselinformasjonskilder overvåkes for å identifisere nye trusler og sårbarheter.

5. Sårbarhetsskanning og penetrasjonstesting

5.1 Automatiserte sårbarhetsskanninger utføres regelmessig på systemer som støtter Jitterbit-applikasjonen.

5.2 Oppdagede sårbarheter vurderes basert på alvorlighetsgrad, utnyttbarhet og forretningsmessig innvirkning.

5.3 Sårbarheter som oppfyller definerte risikoterskler prioriteres for utbedring.

5.4 Uavhengige tredjeparts penetrasjonstester utføres minst årlig.

5.5 Intern sikkerhetstesting og kodegjennomgangsaktiviteter utføres regelmessig.

5.6 Sikre utviklingspraksiser inkluderer avhengighetshåndtering, statisk og dynamisk testing og sporing av utbedringer.

6. Fjerntilgang og endepunktsikkerhet

6.1 Administrativ tilgang til skymiljøer krever sikre tilkoblinger og sterk autentisering.

6.2 Klientdata lagres ikke på lokale ansattes enheter med mindre det er uttrykkelig påkrevd og beskyttet av passende kontroller.

6.3 Endepunktbeskyttelse, enhetsherding og overvåkingskontroller håndheves på Jitterbit-administrerte enheter.

7. Applikasjonsplassering og dataopphold

7.1 Klientdata lagres i angitte Jitterbit-applikasjonsregioner (USA, EU, Asia-Stillehavsregionen).

7.2 Produksjonsmiljøer er utformet for å forhindre uautorisert replikering på tvers av regioner.

7.3 Konfigurasjoner for katastrofegjenoppretting respekterer krav til datalagring med mindre annet er kontraktsmessig avtalt.

8. Logging og overvåking av systemhendelser

8.1 Overvåkingsverktøy samler inn hendelser knyttet til infrastruktur, applikasjoner og sikkerhet.

8.2 Logger er sentraliserte, beskyttet mot manipulering og tilgangskontrollerte.

8.3 Oppbevaringsperioder for logg defineres basert på systemets kritiske karakter, regulatoriske krav og driftsbehov.

9. Systemadministrasjon, forebygging av skadelig programvare og administrasjon av oppdateringer

9.1 Systemer er styrket i henhold til beste praksis i bransjen.

9.2 Operativsystemer og applikasjoner oppdateres regelmessig.

9.3 Kontroller for deteksjon og forebygging av skadelig programvare implementeres og vedlikeholdes.

9.4 Høyrisikosårbarheter prioriteres for utbedring i samsvar med definerte tidslinjer.

10. Sikkerhetsopplæring og personellkontroller

10.1 Alt personell får opplæring i sikkerhet og personvern ved ansettelse og minst én gang i året.

10.2 Personalet erkjenner ansvaret for å rapportere mistenkte sikkerhetshendelser.

10.3 Det gjennomføres periodiske bevisstgjøringsaktiviteter, inkludert phishing-simuleringer.

10.4 Bakgrunnssjekk utføres der det er lovlig tillatt.

10.5 Tredjeparter med tilgang til klientdata er kontraktsmessig forpliktet til å oppfylle Jitterbits sikkerhetsstandarder.

11. Fysisk sikkerhet

11.1 Jitterbit-applikasjonen driftes av skytjenesteleverandører som opprettholder fysiske sikkerhetskontroller og uavhengige sertifiseringer.

11.2 Jitterbit gjennomgår relevante tredjeparts revisjonsrapporter årlig.

12. Melding om sikkerhetsbrudd

12.1 Et sikkerhetsbrudd omfatter uautorisert tilgang til eller avsløring av klientdata, eller uautorisert tilgang til systemer som behandler klientdata.

12.2 Jitterbit varsler berørte kunder uten unødig forsinkelse i samsvar med kontraktsmessige og regulatoriske krav.

12.3 Varsler inneholder relevante detaljer om hendelsen og responstiltak.

12.4 Jitterbit undersøker, begrenser og reduserer sikkerhetshendelser ved hjelp av etablerte prosedyrer for hendelsesrespons.

13. Katastrofegjenoppretting og forretningskontinuitet

13.1 Jitterbit opprettholder dokumenterte planer for katastrofegjenoppretting og forretningskontinuitet.

13.2 Evnen til gjenoppretting etter katastrofer testes med jevne mellomrom.

13.3 Kunder er ansvarlige for å konfigurere sine egne sikkerhetskopierings- og tverrregionstrategier der det er aktuelt.

14. Sikkerhetssamsvar og -sikring

Jitterbit utfører uavhengige vurderinger og sertifiseringer, som kan omfatte:

  • SOC 1- og SOC 2-rapporter
  • ISO 27001-sertifisering (dekker også ISO 27017 og ISO 27018-vedlegg)
  • ISO 42001-sertifisering
  • HIPAA-samsvar for forpliktelser for forretningsforbindelser
  • GDPR-, CCPA-, LGPD- og NZISM-samsvarsprogrammer
  • Uavhengig penetrasjonstesting og sårbarhetsvurderinger

15. Implementering av sky- og lokale agenter

15.1 Jitterbit Cloud er designet med sterke sikkerhetskontroller aktivert som standard.

15.2 Lokale agentdistribusjonsalternativer lar kunder behandle sensitive data i sine egne miljøer.

16. Datakryptering

16.1 Klientdata i ro krypteres ved hjelp av AES-krypteringsalgoritmer i henhold til bransjestandard.

16.2 Klientdata under overføring er beskyttet ved hjelp av sikre kommunikasjonsprotokoller som TLS.

17. Sikkerhetskontroller for kunstig intelligens

17.1 Jitterbit anvender ytterligere sikkerhetstiltak for AI-aktiverte funksjoner og systemer.

17.2 AI-modeller, konfigurasjoner og datasett er tilgangskontrollerte og beskyttet mot uautorisert modifisering eller uttrekk.

17.3 AI-relaterte data klassifiseres og håndteres i samsvar med Jitterbits standarder for databeskyttelse.

17.4 AI-systemer overvåkes for sikkerhet, integritet og driftsavvik.

17.5 Praksis for styring av kunstig intelligens er i samsvar med nye standarder, inkludert ISO 42001, og vektlegger menneskelig tilsyn, ansvarlighet og ansvarlig bruk.

17.6 AI-systemer bruker ingen kundedata til å trene LLM-modellene.

17.7 AI-agenter og autonome arbeidsflyter
Jitterbit AI-agenter og autonome arbeidsflyter opererer innenfor definerte sikkerhetsrekkverk for å sikre sikker, reviderbar og ansvarlig atferd. Kunder forblir datakontrollører og beholder fleksibiliteten til å bruke sine egne store språkmodeller (LLM-er) eller foretrukne AI-leverandører gjennom Jitterbits tilkoblingsrammeverk. AI-agenter er underlagt strenge identitets-, autentiserings- og autorisasjonskontroller, med tillatelser begrenset til minimum nødvendige handlinger. All agentaktivitet logges, overvåkes og revideres. AI-agenter har ikke lov til å få tilgang til, behandle eller utvinne klientdata utover eksplisitt autoriserte brukstilfeller. Automatiserte handlinger utført av AI-agenter er utformet med menneskelig tilsyn, godkjenningskontrollpunkter der det er aktuelt, og feilsikre mekanismer for å forhindre utilsiktede eller skadelige utfall. AI-agenter evalueres kontinuerlig for sikkerhet, dataintegritet og samsvar med Jitterbits standarder for AI-styring, databeskyttelse og risikostyring.

18. Delt ansvarsmodell

Sikkerhet er et delt ansvar mellom Jitterbit og kundene. Selv om Jitterbit implementerer robuste sikkerhetskontroller for plattformen, er kundene ansvarlige for:

  • Administrere brukertilgang og påloggingsinformasjon
  • Konfigurere sikkerhetsfunksjoner i kontoene sine
  • Administrere sine egne strategier for sikkerhetskopiering og gjenoppretting av data

Har du spørsmål? Vi er her for å hjelpe.

Kontakt oss