一、目的
本安全政策规定了在客户与供应商的协议期限内,供应商为保护客户数据不受未经授权的使用、访问或披露而应遵守和维护的信息安全计划和基础设施政策。供应商可不时修改本安全政策的条款,但该等条款对客户数据的保护不得低于当前生效的条款。
本安全政策的条款通过引用被纳入《主云协议》,此处未定义的大写术语应具有《供应商与客户之间的主云协议》中赋予它们的含义,但如果供应商和客户尚未订立《主云协议》,则大写术语的定义如下:
- “协议”系指订约供应商向订约用户提供订约供应商云产品和服务的协议。
- “客户”指客户就访问和使用供应商的云产品和服务与供应商签订合同。
- “客户资料”系指“用户”(包括其授权用户)向“服务”提交的任何数据、内容或材料,包括来自第三方平台的数据、内容或材料。
- “服务”指本协议项下提供的云服务。
- “供应商”系指Collibra 亚愽视频UK Limited或Collibra Inc.(视与卖方签订合同的法律实体而定)。
2信息安全管理计划
供应商应维护信息安全程序,以保护客户数据不受未经授权的访问或使用。信息安全计划将根据与隐私和数据安全实践以及适用于供应商的行业标准相关的适用法律和监管要求的变化进行记录和更新。该计划基于行业标准,包括ISO、NIST和云安全联盟的标准。
3标准
供应商采用商业上合理和适当的方法和保障措施来保护客户数据的安全性、保密性和可用性。供应商至少应遵守国际标准化组织27001 (ISO/IEC 27001)(或基本等效或替代标准)中确定的适用信息安全实践。
四、独立评估
每年,供应商都会有独立的第三方机构对我们的安全政策和程序进行独立评估。供应商每年至少接受独立第三方对其网络和应用程序的渗透测试。
五、资讯保安政策
供应商将实施、维护并遵守其内部信息安全和隐私政策,规定供应商人员(包括直接或间接访问与服务相关的客户数据的技术人员和非技术人员)的角色和责任。所有有权访问客户数据的供应商人员将接受关于供应商信息安全计划的年度培训。
六、信息安全基础设施
访问控制
供应商应确保适当的访问控制到位,以保护客户数据。供应商同意其将保持适当的访问控制(物理、技术和管理),并将按照供应商的政策和程序保持此类访问控制。访问控制将至少每6个月进行一次审计,以确保访问符合政策。
加密
供应商为订阅服务中的所有加密实现行业标准加密。至少,供应商将使用高级加密标准(AES)算法,其最小密钥大小为256位用于静止加密,传输层安全(TLS) 1.2用于传输加密。
网络安全
供应商有适当的网络保护,这是SaaS组织的标准。云原生工具,如安全组、软件定义的网络和作为代码的基础设施,确保云网络具有适当的保护。
主机安全
供应商尽合理努力确保供应商的操作系统和应用程序与订阅服务相关联,并与客户数据相关联,已根据CIS安全基准进行加固,并根据供应商的补丁管理流程打了补丁和安全,以减轻安全漏洞的影响。此外,所有服务器都具有行业标准的反病毒和基于主机的入侵检测/防御。
数据管理
供方为提供服务而获取、传输和保留的客户数据有适当的信息安全基础设施控制。在处置或重新使用包含客户数据的存储介质时,供应商将销毁、删除或以其他方式使客户数据不可恢复。客户数据在逻辑上与其他供应商客户的客户数据分离。
监控
供应商在其云环境中实现监控,以确保对事件的持续安全监控。供应商使用云原生日志来确保对访问和网络事件进行监控、记录和存储。基础设施日志最长可存储一年,以便根据需要支持分析和调查。
尽管有上述规定,"用户"理解并承认,"用户"将全权负责实施和维护其系统的访问和安全控制。
7软件开发生命周期
供应商的软件开发生命周期(SDLC)方法管理基础设施和软件组件的采购、开发、配置、维护、修改和管理。SDLC方法与供应商定义的安全性、完整性、可用性和机密性策略一致。防止未经授权的访问系统源/目标代码。对源代码存储库的访问权限定期审查,并限制为授权的员工。
8保安事故管理
请注意
供应商将通知用户任何已确认的安全事件。供方应配合"用户"的合理要求,提供有关任何该等安全事件的信息,且供方应定期提供有关安全事件以及所采取的调查行动和纠正行动的最新信息。“安全事件”指未经授权访问、获取或使用未加密的客户数据,有可能对客户的员工或参与者造成身份盗窃或经济损失。
修复
如果供应商知道或有理由知道安全事件,供应商将自费:(i)调查安全事件;(ii)向“用户”提供补救计划,以解决安全事件、缓解事件并合理防止任何进一步的事件;(iii)按照该等补救计划补救安全事件的影响;及(iv)合理配合客户及调查该等安全事件的任何执法或监管官员。
9业务连续性和灾难恢复
供应商实现并维护业务连续性和灾难恢复能力,旨在最大限度地减少向客户提供服务的中断。供应商应至少每年审查其业务连续性和灾难恢复计划,并根据需要更新此类计划。此外,供应商将自行决定对其业务连续性和灾难恢复能力进行年度测试,并应客户的书面要求,在本协议有效期内向客户提供供应商业务连续性和灾难恢复能力的摘要,包括去年进行的相关测试。