Jitterbit säkerhetsåtgärder
Senast uppdaterad: 6 / 1 / 2021
De centrala säkerhetsåtgärderna som Jitterbit implementerar för att skydda klientdata beskrivs i denna bilaga till Jitterbits säkerhetsåtgärder:
Jitterbit säkerhetspolicy
Detta dokument om Jitterbit säkerhetsåtgärder ("Säkerhetspolicyn") beskriver de administrativa, tekniska och fysiska åtgärder som Jitterbit vidtar för att skydda klientdata från obehörig åtkomst eller avslöjande. Jitterbit har bedömts uppfylla kraven i SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) och EU:s GDPR-regler. Jitterbit har en skriftlig informationssäkerhetsplan för att implementera villkoren i denna säkerhetspolicy som granskas och godkänns årligen av dess högsta ledningsgrupp. Denna säkerhetspolicy hänvisas till i och görs till en del av ditt klientavtal med Jitterbit ("Avtalet"). I händelse av konflikt mellan villkoren i avtalet och denna säkerhetspolicy, ska denna säkerhetspolicy styra med avseende på dess ämne. Termer med versaler som används men inte definieras i denna säkerhetspolicy har de betydelser som anges i avtalet eller i dokumentationen.
Integritetsdesign: Jitterbit har aktivt dataskydd och integritet i åtanke vid varje steg; detta inkluderar interna projekt, produktutveckling, mjukvaruutveckling och IT-system.
Sekretess som standard: När Jitterbit släpper en produkt eller tjänst till allmänheten tillämpas strikta sekretessinställningar som standard, utan någon manuell inmatning från användaren. Dessutom lagras, bearbetas och/eller överförs personuppgifter som tillhandahålls av användaren för att möjliggöra en produkts optimala användning under endast den tid som krävs för att tillhandahålla produkten eller tjänsten, i enlighet med definierade standarder.
1. Åtkomst och hantering av klientdata
1.1 Klienten kontrollerar åtkomsten till sitt konto i Jitterbit-applikationen via användar-ID, lösenord och tvåfaktorsautentisering.
1.2 Jitterbit-personal har inte tillgång till okrypterad klientdata såvida inte klienten ger åtkomst till sitt Jitterbit-konto till sådan Jitterbit-personal. "Jitterbit Personal" betyder Jitterbit-anställda och Jitterbit-auktoriserade individuella underleverantörer.
1.3 Jitterbit använder klientdata endast när det är nödvändigt för att tillhandahålla Jitterbit-applikationen och supporten till klienten, i enlighet med avtalet.
1.4 Klientapplikations- och projektmetadata som genereras av Jitterbit-applikationen är värd för Jitterbit endast i Jitterbit Application-produktionsmiljön och endast inom den region som den kommer från (dvs. USA-data stannar i USA, EU-data stannar i EU och APAC-data i APAC-regionen).
1.5 Jitterbit ska skapa och underhålla flödesdiagram som anger hur klientdata flödar genom Jitterbit-applikationen. Jitterbit ska tillhandahålla sådana flödesdiagram på kundens rimliga begäran.
2. Logisk separering av klientdata
2.1 Jitterbit Harmony isolerar klientdata genom att använda:
- Secure DB Architecture-separerad databas och separerad schemaarkitektur
- Säkra anslutningar eller tabeller – Pålitliga databasanslutningar
- Kryptering – skymmer kritisk data så att den förblir otillgänglig för obehöriga även om de kommer i besittning av den. Se avsnitt 16 för mer information.
- Filtrering: Använda ett mellanliggande lager mellan en hyresgäst och en datakälla som fungerar som ett såll, vilket gör att det för kunden verkar som om dess data är den enda informationen i databasen.
- Åtkomstkontrollistor – för att avgöra vem som kan komma åt data i Jitterbit-applikationen och vad de kan göra med den.
3. Jitterbit Application Infrastructure Access Management
3.1 Tillgång till systemen och infrastrukturen som stöder Jitterbit-applikationen är begränsad till Jitterbit-personal som behöver sådan åtkomst som en del av sina arbetsuppgifter.
3.2 Åtkomst till system- och applikationsloggar är begränsad till auktoriserad Jitterbit-personal enbart i syfte att stödja, identifiera problem och förbättra Jitterbit-applikationen.
3.2 Unika användar-ID, lösenord och tvåfaktorsautentiseringsuppgifter via en VPN-anslutning tilldelas Jitterbit-personal som kräver åtkomst till Jitterbit-servrarna som stöder Jitterbit-applikationen.
3.3 Serverlösenordspolicy för Jitterbit-applikationen i produktionsmiljön överskrider PCI-DSS-lösenordskraven.
3.4 Åtkomstprivilegier för separerade Jitterbit-personal avaktiveras omedelbart. Åtkomstprivilegier för personer som går över till jobb som kräver minskade rättigheter anpassas i enlighet med detta.
3.5 Användaråtkomst till systemen och infrastrukturen som stöder Jitterbit-applikationen granskas kvartalsvis.
3.6 Åtkomstförsök till systemen och infrastrukturen som stöder Jitterbit-applikationen loggas och övervakas av Jitterbit.
3.7 AWS-säkerhetsgrupper har förneka alla standardpolicyer och möjliggör endast affärsmässiga nätverksprotokoll för utgående och inkommande nätverkstrafik.
3.8 Brandväggar – Jitterbit använder en AWS-levererad säkerhetsgruppsbrandvägg bakom en lastbalanserare för att kontrollera åtkomst och trafik till och från infrastrukturvärdar.
3.9 Intrångsdetektering – Jitterbit övervakar sin Lacework.net IDS
4. Riskhantering
4.1 Jitterbits riskhanteringsprocess är modellerad på NIST 800-30
4.2 Jitterbit genomför tekniska och icke-tekniska riskbedömningar av olika slag under hela året, inklusive själv- och tredjepartsbedömningar och tester, automatiserade skanningar och manuella granskningar.
4.3 Resultat av bedömningar, inklusive formella rapporter i tillämpliga fall, rapporteras till informationssäkerhetsombudet och dataskyddsombudet. En säkerhetskommitté träffas varannan vecka för att granska rapporter, identifiera kontrollbrister och materiella förändringar i hotmiljön och ge rekommendationer för nya eller förbättrade kontroller och strategier för att minska hotet till den högsta ledningen.
4.4 Ändringar av kontroller och strategier för att minska hoten utvärderas och prioriteras för implementering på en riskjusterad basis.
4.5 Hot övervakas på olika sätt, inklusive hotunderrättelsetjänster, leverantörsmeddelanden och betrodda offentliga källor.
5. Sårbarhetsskanning och penetrationstestning
5.1 Sårbarhetssökningar med verktyg av kommersiell kvalitet utförs automatiskt kvartalsvis och ad-hoc på system som krävs för att driva och hantera Jitterbit-applikationen. Sårbarhetsdatabasen uppdateras regelbundet.
5.2 Skanningar som upptäcker sårbarheter, som uppfyller Jitterbit-definierade riskkriterier, utförs regelbundet; prioriterade meddelanden delas med säkerhetspersonal och adresseras.
5.3 Potentiella effekter av sårbarheter som utlöser varningar utvärderas av personalen.
5.4 Sårbarheter som utlöser varningar och har publicerat utnyttjande rapporteras till säkerhetskommittén, som fastställer och övervakar lämpliga åtgärdsåtgärder.
5.5 Säkerhetshantering övervakar eller prenumererar på betrodda källor för sårbarhetsrapporter och hotintelligens. 5.6 Penetrationstester av en oberoende tredjepartsexpert genomförs minst en gång per år.
5.7 Penetrationstester utförda av Jitterbit Security utförs regelbundet under hela året.
5.8 Jitterbit Harmony koden granskas av intern och extern personal med hjälp av öppen källkod och verktyg av kommersiell kvalitet. Upptäckta sårbarheter tilldelas kritiska nivåer och åtgärdas snabbt, enligt de risker som presenteras och åtgärdsalternativen.
6. Fjärråtkomst och trådlöst nätverk
6.1 All åtkomst till Jitterbit VPC:er (t.ex. utvecklings- och produktionskonton) kräver autentisering genom en säker anslutning via godkända metoder såsom VPN och upprätthålls med ömsesidig certifikatautentisering och tvåfaktorsautentisering.
6.3 Jitterbits företagskontor, inklusive LAN- och Wi-Fi-nätverk på dessa kontor, anses vara opålitliga nätverk och kräver framgångsrik autentisering till VPN i AWS-konton för åtkomst. Endast en medlem av IT-supportteamet har rätt att säkert fjärråtkomst till företagets kontorsnätverk för att stödja brandväggen, phones och annan infrastruktur.
6.4 Jitterbit upprätthåller en policy att inte lagra klientdata på lokala stationära datorer, bärbara datorer, mobila enheter, delade enheter, flyttbara media, såväl som på offentliga system som inte faller under Jitterbits administrativa kontroll eller efterlevnadsövervakningsprocesser.
7. Jitterbit Application Plats
7.1 Klientdata lagras i tillgängliga Jitterbit Application Regions: USA, EU och AP; USA-molnet replikerar inte med EMEA-molnet (eller AP-molnet) eller tvärtom. Varje region i USA replikerar mellan varandra i USA.
8. Systemhändelseloggning
8.1 Övervakningsverktyg och tjänster används för att övervaka system inklusive nätverk, serverhändelser och AWS API-säkerhetshändelser, tillgänglighetshändelser och resursanvändning.
8.2 Jitterbit-infrastruktur Säkerhetshändelseloggar samlas in i ett centralt system och skyddas från manipulering. Loggar lagras i 12 månader.
8.3 Jitterbit Harmony applikationsloggar samlas in i ett centralt system och skyddas mot manipulering. Loggar lagras i 90 dagar
9. Systemadministration, förebyggande av skadlig programvara och patchhantering
9.1 Jitterbit har skapat, implementerat och underhåller systemadministrationsprocedurer för system som får åtkomst till klientdata som uppfyller eller överträffar branschstandarder, inklusive utan begränsning, systemhärdning, system- och enhetspatchning (operativsystem och applikationer) och korrekt installation av programvara för upptäckt av hot, skadlig programvara förebyggande och dagliga signatur- och heuristiska uppdateringar av detsamma.
9.2 Anställdas internetåtkomst granskas med begränsad åtkomst till svartlistade webbplatser.
9.3 Jitterbit Security granskar US-Cert och andra meddelanden om nya sårbarheter varje vecka och bedömer deras inverkan på Jitterbit baserat på ett Jitterbit-definierat riskkriterium, inklusive tillämplighet och svårighetsgrad.
9.4 Tillämpliga US-Cert och andra säkerhetsuppdateringar klassade som "höga" eller "kritiska" åtgärdas inom 30 dagar efter uppdateringen av patchen.
10. Jitterbit Säkerhetsutbildning och Jitterbit Personal
10.1 Jitterbit upprätthåller ett säkerhetsmedvetandeprogram för Jitterbit Personal, som tillhandahåller grundutbildning, fortlöpande medvetenhet och individuell Jitterbit Personals erkännande av avsikt att följa Jitterbits företagssäkerhetspolicyer. Nyanställda fullföljer grundutbildning om säkerhet, HIPAA, CCPA och GDPR, undertecknar ett proprietärt informationsavtal och undertecknar digitalt informationssäkerhetspolicyn som täcker nyckelaspekter av Jitterbits informationssäkerhetspolicy.
10.2 All Jitterbit-personal erkänner att de är ansvariga för att rapportera faktiska eller misstänkta säkerhetsincidenter eller problem, stölder, intrång, förluster och otillåten avslöjande av eller åtkomst till klientdata.
10.3 All Jitterbit-personal måste på ett tillfredsställande sätt genomföra årlig säkerhetsutbildning. Periodiska påminnelser och proaktiv nätfiskeutbildning levereras regelbundet.
10.4 Jitterbit utför brottslig bakgrundsscreening som en del av Jitterbit-anställningsprocessen, i den utsträckning som är lagligt tillåten.
10.5 Jitterbit kommer att säkerställa att dess underleverantörer, leverantörer och andra tredje parter som har direkt tillgång till kunddata i samband med Jitterbit-applikationerna följer tillämpliga datasäkerhetsstandarder som definieras av Jitterbit i policy och procedurer, som är en kombination av ISO 27001/27002, NIST 800-53, CIS, CSA och CERT, HIPAA och GDPR krav.
11. Fysisk säkerhet
11.1 Jitterbit-applikationen är värd i AWS och alla fysiska säkerhetskontroller hanteras av AWS. Jitterbit granskar AWS SOC 2 Type 2-rapporten årligen för att säkerställa lämpliga fysiska säkerhetskontroller.
12. Meddelande om säkerhetsbrott
12.1 Ett "Säkerhetsbrott" är (a) obehörig åtkomst till eller utlämnande av klientdata, eller (b) obehörig åtkomst till systemen inom Jitterbit-applikationen som överför eller analyserar klientdata.
12.2 Jitterbit kommer att meddela kunden skriftligen utan onödigt dröjsmål inom sjuttiotvå (72) timmar efter ett bekräftat säkerhetsbrott.
12.3 Sådant meddelande kommer att beskriva säkerhetsöverträdelsen och statusen för Jitterbits utredning. 12.4 Jitterbit kommer att vidta lämpliga åtgärder för att innehålla, undersöka och mildra säkerhetsöverträdelsen.
13. Katastrofåterställning
13.1 Jitterbit upprätthåller en Disaster Recovery Plan (“DRP”) för Jitterbit-applikationerna. DRP testas årligen. 13.2 Jitterbit-applikationen hanteras i olika AWS-regioner som fristående distributioner, som kan användas som en del av klientens DRP-strategi. För att effektivt kunna använda den tvärregionala tillgängligheten av Jitterbit-applikationen för katastrofåterställningsändamål, är klienten ansvarig för följande:
13.2.1 Begär ytterligare Jitterbit Application-konton i olika regioner för att stödja dess DRP-program. 13.2.2 Hantera dess datareplikering över tillämpliga regioner.
13.2.3 Konfigurera och hantera sina Jitterbit-konton.
13.2.4 Hantera säkerhetskopierings- och återställningsstrategier.
14. Jitterbit-säkerhetsefterlevnad, certifieringar och intyg från tredje part
14.1 Jitterbit anlitar ackrediterade tredje parter för att utföra revisioner och för att intyga olika efterlevnad och certifieringar årligen, inklusive:
14.1.1 SOC 2-intygsrapport
14.1.2 SOC 1-intygsrapport
14.1.2 HIPAA-efterlevnadsrapport för affärspartners
14.1.3 GDPR-efterlevnadsrapport
14.1.4 Sammanfattning av penetrationstestningsrapport
14.1.5 Sammanfattning av sårbarhetsbedömningsrapport
14.1.6 ISO 27001-intygsrapport
14.1.7 CCPA Compliance Report for California Privacy Act
15. Jitterbit Cloud och lokal agent
15.1 Jitterbit Harmony Cloud har designats med de högsta säkerhetsinställningarna i åtanke så att även enkla implementeringar (lägre säkerhetskrav) kan dra fördel av denna "inbakade" höga säkerhet.
15.2 Jitterbit tillhandahåller ett implementeringsalternativ (lokal agent) för klienter som väljer att behandla känslig data utanför Jitterbits molninfrastruktur och bakom sin egen brandvägg och företagsnätverk.
16. Datakryptering
16.1 Kryptering av klientdata i viloläge Harmony: Harmony Molndata krypteras i vila med en AES-256 FIPS 140-2-algoritm. För mer information, granska Jitterbit Harmony Vitbok om arkitektur och säkerhet på: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Kryptering av klientdata under överföring till/från Harmony: Harmony Molndata krypteras under transport med HTTPS (TLS 1.2), SSH och/eller IPsecSsEC. För mer information, granska Jitterbit Harmony Vitbok om arkitektur och säkerhet på:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
17. Kundens ansvar
17.1 Kunden ansvarar för att hantera sina egna användarkonton och roller inom Jitterbit-applikationen och för att skydda sitt eget konto och användaruppgifter. Kunden kommer att följa villkoren i sitt avtal med Jitterbit samt alla tillämpliga lagar.
17.2 Kunden kommer omedelbart att meddela Jitterbit om en användaruppgifter har äventyrats eller om Kunden misstänker möjliga misstänkta aktiviteter som kan negativt påverka säkerheten för Jitterbit-applikationen eller Kundens konto. Kunden får inte utföra några säkerhetspenetrationstester eller säkerhetsbedömningsaktiviteter utan uttryckligt skriftligt förhandsgodkännande från Jitterbit.
17.3 För Jitterbit-applikationer som inte är värd för Jitterbit är klienten ansvarig för att uppdatera sin Jitterbit-klientprogramvara närhelst Jitterbit tillkännager en uppdatering.
17.4 Kunder ansvarar för att hantera en säkerhetskopieringsstrategi avseende kunddata.
17.5 Klienter vars klientdata inkluderar PCI, PHI, GDPR, PII eller andra känsliga data bör implementera Jitterbit-tillhandahållen IP-vitlista och multifaktorautentisering (MFA) i Jitterbit-applikationen och överväga användningen av den lokala agenten, med ytterligare begränsad loggningskonfiguration .