Sist oppdatert: 6 / 1 / 2021

Kjernesikkerhetstiltakene Jitterbit implementerer for å beskytte klientdata er skissert i dette Jitterbit sikkerhetstiltaksvedlegg:

Jitterbit sikkerhetspolicy

Dette dokumentet om sikkerhetstiltak fra Jitterbit («sikkerhetspolicyen») skisserer de administrative, tekniske og fysiske tiltakene som Jitterbit påtar seg for å beskytte klientdata mot uautorisert tilgang eller avsløring. Jitterbit har blitt vurdert til å oppfylle kravene i SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) og EUs GDPR-regler. Jitterbit har en skriftlig informasjonssikkerhetsplan for å implementere vilkårene i denne sikkerhetspolicyen som gjennomgås og godkjennes årlig av toppledelsen. Denne sikkerhetspolicyen er referert i og gjort til en del av din klientavtale med Jitterbit ("Avtalen"). I tilfelle konflikt mellom vilkårene i avtalen og denne sikkerhetspolicyen, skal denne sikkerhetspolicyen gjelde med hensyn til emnet. Termer med store bokstaver som brukes, men ikke er definert i denne sikkerhetspolicyen, har betydningen som er angitt i avtalen eller i dokumentasjonen.

Personvern-by-design: Jitterbit har aktivt databeskyttelse og personvern i tankene ved hvert trinn; dette inkluderer interne prosjekter, produktutvikling, programvareutvikling og IT-systemer.

Personvern som standard: Når Jitterbit lanserer et produkt eller en tjeneste til offentligheten, brukes strenge personverninnstillinger som standard, uten manuell input fra brukeren. I tillegg lagres, behandles og/eller overføres personopplysninger oppgitt av brukeren for å muliggjøre et produkts optimale bruk kun i den tiden som er nødvendig for å levere produktet eller tjenesten, i samsvar med definerte standarder.

1. Tilgang og administrasjon av klientdata

1.1 Klienten kontrollerer tilgangen til kontoen sin i Jitterbit-applikasjonen via bruker-IDer, passord og tofaktorautentisering.
1.2 Jitterbit-personell har ikke tilgang til ukrypterte klientdata med mindre klienten gir tilgang til sin Jitterbit-konto til slikt Jitterbit-personell. "Jitterbit-personell" betyr Jitterbit-ansatte og Jitterbit-autoriserte individuelle underleverandører.
1.3 Jitterbit bruker klientdata kun etter behov for å gi Jitterbit-applikasjonen og støtte til klienten, som angitt i avtalen.
1.4 Klientapplikasjons- og prosjektmetadata generert av Jitterbit-applikasjonen er vert for Jitterbit bare i produksjonsmiljøet for Jitterbit-applikasjonen og bare innenfor regionen de kommer fra (dvs. USA-data forblir i USA, EU-data forblir i EU og APAC-data i APAC-regionen).
1.5 Jitterbit skal opprette og vedlikeholde flytdiagram(r) som indikerer hvordan klientdata flyter gjennom Jitterbit-applikasjonen. Jitterbit skal levere slike flytdiagram(r) etter Kundens rimelige forespørsel.

2. Logisk separasjon av klientdata

2.1 Jitterbit Harmony isolerer klientdata ved å bruke:

• Secure DB Architecture-separert database og separert skjemaarkitektur
• Sikre tilkoblinger eller tabeller – Klarerte databasetilkoblinger
• Kryptering – skjuler kritiske data slik at de forblir utilgjengelige for uautoriserte parter selv om de kommer i besittelse av dem. Se avsnitt 16 for flere detaljer.
• Filtrering: Bruk av et mellomlag mellom en leietaker og en datakilde som fungerer som en sil, slik at det ser ut for kunden som om dataene er de eneste dataene i databasen.
• Tilgangskontrolllister – for å finne ut hvem som kan få tilgang til data i Jitterbit-applikasjonen og hva de kan gjøre med dem.

3. Jitterbit Application Infrastructure Access Management

3.1 Tilgang til systemene og infrastrukturen som støtter Jitterbit-applikasjonen er begrenset til Jitterbit-personell som trenger slik tilgang som en del av sitt jobbansvar.
3.2 Tilgang til system- og applikasjonslogger er begrenset til autorisert Jitterbit-personell utelukkende med det formål å støtte, identifisere problemer og forbedre Jitterbit-applikasjonen.
3.2 Unike bruker-IDer, passord og tofaktorautentiseringslegitimasjon over en VPN-tilkobling tildeles Jitterbit-personell som krever tilgang til Jitterbit-serverne som støtter Jitterbit-applikasjonen.
3.3 Serverpassordpolicy for Jitterbit-applikasjonen i produksjonsmiljøet overskrider PCI-DSS-passordkravene.
3.4 Tilgangsrettigheter for atskilt Jitterbit-personell deaktiveres umiddelbart. Adgangsrettigheter for personer som går over til jobber som krever reduserte rettigheter, justeres tilsvarende.
3.5 Brukertilgang til systemene og infrastrukturen som støtter Jitterbit-applikasjonen gjennomgås kvartalsvis.
3.6 Tilgangsforsøk til systemene og infrastrukturen som støtter Jitterbit-applikasjonen logges og overvåkes av Jitterbit.
3.7 AWS-sikkerhetsgrupper har nekte-alle standardpolicyer og aktiverer bare forretningskrevde nettverksprotokoller for utgående og inngående nettverkstrafikk.
3.8 Brannmurer – Jitterbit bruker en AWS-levert brannmur for sikkerhetsgrupper bak en lastbalanser for å kontrollere tilgang og trafikk til og fra infrastrukturverter.
3.9 Intrusion Detection – Jitterbit overvåker sin Lacework.net IDS

4. Risikostyring

4.1 Jitterbits risikostyringsprosess er modellert på NIST 800-30
4.2 Jitterbit gjennomfører tekniske og ikke-tekniske risikovurderinger av ulike slag gjennom året, inkludert egen- og tredjepartsvurderinger og tester, automatiserte skanninger og manuelle vurderinger.
4.3 Resultater av vurderinger, inkludert formelle rapporter som er relevante, rapporteres til informasjonssikkerhetsansvarlige og databeskyttelsesansvarlige. En sikkerhetskomité møtes annenhver uke for å gjennomgå rapporter, identifisere kontrollmangler og materielle endringer i trusselmiljøet, og komme med anbefalinger for nye eller forbedrede kontroller og trusselreduserende strategier til toppledelsen.
4.4 Endringer i kontroller og trusselreduserende strategier blir evaluert og prioritert for implementering på risikojustert basis.
4.5 Trusler overvåkes på ulike måter, inkludert trusseletterretningstjenester, leverandørvarslinger og pålitelige offentlige kilder.

5. Sårbarhetsskanning og penetrasjonstesting

5.1 Sårbarhetsskanninger ved bruk av kommersielle verktøy utføres automatisk kvartalsvis og ad hoc på systemer som kreves for å betjene og administrere Jitterbit-applikasjonen. Sårbarhetsdatabasen oppdateres jevnlig.
5.2 Skanninger som oppdager sårbarheter, oppfyller Jitterbit-definerte risikokriterier, utføres regelmessig; prioriterte varslinger deles med sikkerhetspersonell og adresseres.
5.3 Potensiell påvirkning av sårbarheter som utløser varsler vurderes av personalet.
5.4 Sårbarheter som utløser varsler og har publisert utnyttelser rapporteres til sikkerhetskomiteen, som bestemmer og overvåker passende utbedringstiltak.
5.5 Sikkerhetsadministrasjon overvåker eller abonnerer på pålitelige kilder for sårbarhetsrapporter og trusselinformasjon. 5.6 Penetrasjonstester av en uavhengig tredjepartsekspert gjennomføres minst årlig.
5.7 Penetrasjonstester utført av Jitterbit Security utføres regelmessig gjennom året.
5.8 Jitterbit Harmony koden gjennomgås av internt og eksternt personell ved hjelp av åpen kildekode og kommersielle verktøy. Oppdagede sårbarheter blir tildelt kritiske nivåer og utbedres raskt, i henhold til risikoen som presenteres og utbedringsalternativene.

6. Fjerntilgang og trådløst nettverk

6.1 All tilgang til Jitterbit VPC-er (f.eks. utviklings- og produksjonskontoer) krever autentisering gjennom en sikker tilkobling via godkjente metoder som VPN og håndhevet med gjensidig sertifikatautentisering og tofaktorautentisering.
6.3 Jitterbit-bedriftskontorer, inkludert LAN- og Wi-Fi-nettverk i disse kontorene, anses å være uklarerte nettverk og krever vellykket autentisering til VPN i AWS-kontoene for tilgang. Bare ett medlem av IT-støtteteamet har tillatelse til sikker ekstern tilgang til bedriftens kontornettverk for å støtte brannmuren, phones og annen infrastruktur.
6.4 Jitterbit opprettholder en policy om ikke å lagre klientdata på lokale stasjonære datamaskiner, bærbare datamaskiner, mobile enheter, delte stasjoner, flyttbare medier, så vel som på offentlige systemer som ikke faller inn under Jitterbits administrative kontroll eller samsvarsovervåkingsprosesser.

7. Jitterbit-applikasjonsplassering

7.1 Klientdata lagres i de tilgjengelige Jitterbit-applikasjonsregionene: USA, EU og AP; den amerikanske skyen replikeres ikke med EMEA-skyen (eller AP-skyen) eller omvendt. Hver region i USA replikerer mellom hverandre i USA.

8. Systemhendelseslogging

8.1 Overvåkingsverktøy og tjenester brukes til å overvåke systemer, inkludert nettverk, serverhendelser og AWS API-sikkerhetshendelser, tilgjengelighetshendelser og ressursutnyttelse.
8.2 Jitterbit-infrastruktur Sikkerhetshendelseslogger samles i et sentralt system og beskyttes mot tukling. Logger lagres i 12 måneder.
8.3 Jitterbit Harmony applikasjonslogger samles i et sentralt system og beskyttes mot tukling. Logger lagres i 90 dager

9. Systemadministrasjon, forebygging av skadelig programvare og oppdateringshåndtering

9.1 Jitterbit har opprettet, implementert og vedlikeholder systemadministrasjonsprosedyrer for systemer som har tilgang til klientdata som oppfyller eller overgår industristandarder, inkludert uten begrensning, systemherding, system- og enhetsoppdatering (operativsystem og applikasjoner) og riktig installasjon av trusseldeteksjonsprogramvare, skadelig programvare forebygging, og daglige signatur- og heuristiske oppdateringer av samme.
9.2 Ansattes Internett-tilgang revideres med begrenset tilgang til svartelistede nettsteder.
9.3 Jitterbit Security gjennomgår US-Cert og andre kunngjøringer om nye sårbarheter ukentlig og vurderer deres innvirkning på Jitterbit basert på et Jitterbit-definert risikokriterium, inkludert anvendelighet og alvorlighetsgrad.
9.4 Gjeldende US-Cert og andre sikkerhetsoppdateringer vurdert som "høy" eller "kritiske" behandles innen 30 dager etter utgivelsen av oppdateringen.

10. Jitterbit sikkerhetsopplæring og Jitterbit-personell

10.1 Jitterbit opprettholder et sikkerhetsbevissthetsprogram for Jitterbit-personell, som gir grunnutdanning, kontinuerlig bevissthet og individuelle Jitterbit-personells erkjennelse av intensjon om å overholde Jitterbits sikkerhetspolicyer. Nyansatte fullfører grunnleggende opplæring i sikkerhet, HIPAA, CCPA og GDPR, signerer en proprietær informasjonsavtale og signerer digitalt informasjonssikkerhetspolicyen som dekker nøkkelaspekter av Jitterbits informasjonssikkerhetspolicy.
10.2 Alt Jitterbit-personell erkjenner at de er ansvarlige for å rapportere faktiske eller mistenkte sikkerhetshendelser eller bekymringer, tyverier, brudd, tap og uautoriserte avsløringer av eller tilgang til klientdata.
10.3 Alt Jitterbit-personell er pålagt å gjennomføre årlig sikkerhetsopplæring på tilfredsstillende måte. Periodiske påminnelser og proaktiv phishing-opplæring leveres regelmessig.
10.4 Jitterbit utfører kriminell bakgrunnsscreening som en del av Jitterbit ansettelsesprosessen, i den grad det er lovlig tillatt.
10.5 Jitterbit vil sikre at dets underleverandører, leverandører og andre tredjeparter som har direkte tilgang til klientdataene i forbindelse med Jitterbit-applikasjonene overholder gjeldende datasikkerhetsstandarder som definert av Jitterbit i policy og prosedyrer, som er en kombinasjon av ISO 27001/27002, NIST 800-53, CIS, CSA og CERT, HIPAA og GDPR-krav.

11. Fysisk sikkerhet

11.1 Jitterbit-applikasjonen er vert i AWS og alle fysiske sikkerhetskontroller administreres av AWS. Jitterbit gjennomgår AWS SOC 2 Type 2-rapporten årlig for å sikre passende fysiske sikkerhetskontroller.

12. Melding om sikkerhetsbrudd

12.1 Et "Sikkerhetsbrudd" er (a) uautorisert tilgang til eller utlevering av klientdata, eller (b) uautorisert tilgang til systemene i Jitterbit-applikasjonen som overfører eller analyserer klientdata.
12.2 Jitterbit vil varsle Kunden skriftlig uten unødig forsinkelse innen syttito (72) timer etter et bekreftet sikkerhetsbrudd.
12.3 Slik melding vil beskrive sikkerhetsbruddet og statusen til Jitterbits etterforskning. 12.4 Jitterbit vil iverksette passende tiltak for å inneholde, undersøke og redusere sikkerhetsbruddet.

13. Katastrofegjenoppretting

13.1 Jitterbit opprettholder en Disaster Recovery Plan (“DRP”) for Jitterbit-applikasjonene. DRP testes årlig. 13.2 Jitterbit-applikasjonen administreres i forskjellige AWS-regioner som frittstående distribusjoner, som kan brukes som en del av klientens DRP-strategi. For å effektivt bruke den tverrregionale tilgjengeligheten til Jitterbit-applikasjonen for gjenopprettingsformål, er klienten ansvarlig for følgende:
13.2.1 Be om ytterligere Jitterbit Application-kontoer i forskjellige regioner for å støtte DRP-programmet. 13.2.2 Administrere datareplikeringen på tvers av aktuelle regioner.
13.2.3 Konfigurere og administrere Jitterbit-kontoene.
13.2.4 Administrere strategier for sikkerhetskopiering og gjenoppretting.

14. Jitterbit-sikkerhetsoverholdelse, sertifiseringer og tredjepartsattester

14.1 Jitterbit ansetter akkrediterte tredjeparter for å utføre revisjoner og for å attestere ulike samsvar og sertifiseringer årlig, inkludert:
14.1.1 SOC 2 Attestasjonsrapport
14.1.2 SOC 1 Attestasjonsrapport
14.1.2 HIPAA-samsvarsrapport for forretningsforbindelser
14.1.3 GDPR-samsvarsrapport
14.1.4 Sammendrag av rapport om penetrasjonstesting
14.1.5 Sammendrag av rapport om sårbarhet
14.1.6 ISO 27001 attestasjonsrapport
14.1.7 CCPA-samsvarsrapport for California Privacy Act

15. Jitterbit Cloud og lokal agent

15.1 Jitterbit Harmony Cloud er designet med de høyeste sikkerhetsinnstillingene i tankene, slik at selv enkle implementeringer (lavere sikkerhetskrav) kan dra nytte av denne "innebygde" høysikkerheten.
15.2 Jitterbit tilbyr et implementeringsalternativ (lokal agent) for klienter som velger å behandle sensitive data utenfor Jitterbit-skyinfrastrukturen og bak sin egen brannmur og bedriftsnettverk.

16. Datakryptering

16.1 Kryptering av klientdata ved hvile på Harmony: Harmony Skydata er kryptert i hvile med en AES-256 FIPS 140-2-algoritme. For mer informasjon, se Jitterbit Harmony Hvitbok om arkitektur og sikkerhet på: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Kryptering av klientdata under overføring til/fra Harmony: Harmony Skydata er kryptert under transport ved hjelp av HTTPS (TLS 1.2), SSH og/eller IPsecSsEC. For mer informasjon, se Jitterbit Harmony Hvitbok om arkitektur og sikkerhet på:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Kundens ansvar

17.1 Kunden er ansvarlig for å administrere sine egne brukerkontoer og roller i Jitterbit-applikasjonen og for å beskytte sin egen konto og brukerlegitimasjon. Klienten skal overholde vilkårene i avtalen med Jitterbit samt alle gjeldende lover.
17.2 Kunden vil umiddelbart varsle Jitterbit hvis en brukerlegitimasjon har blitt kompromittert eller hvis Kunden mistenker mulige mistenkelige aktiviteter som kan påvirke sikkerheten til Jitterbit-applikasjonen eller klientens konto negativt. Kunden kan ikke utføre noen sikkerhetsgjennomtrengningstester eller sikkerhetsvurderingsaktiviteter uten uttrykkelig forhåndsgodkjenning fra Jitterbit.
17.3 For Jitterbit-applikasjoner som ikke er vert for Jitterbit, er klienten ansvarlig for å oppdatere sin Jitterbit-klientprogramvare hver gang Jitterbit kunngjør en oppdatering.
17.4 Kunder er ansvarlige for å administrere en sikkerhetskopieringsstrategi angående klientdata.
17.5 Klienter hvis klientdata inkluderer PCI, PHI, GDPR, PII eller andre sensitive data, bør implementere Jitterbit-levert IP-hvitelisting og multifaktorautentisering (MFA) i Jitterbit-applikasjonen og vurdere bruken av den lokale agenten, med ytterligere begrenset loggingskonfigurasjon .