为了保持我们所持有的数据的安全性和私密性,DigiCert(及其附属集团公司,以下简称“DigiCert”)实施并维护了一套控制措施(例如政策、实践、程序和机制),以最大限度地减少针对未经授权 和无意的观察、披露、使用、修改、危害和破坏的威胁。制定并遵守这些控制措施可确保我们能够充分解决并减轻安全和隐私风险。
DigiCert的技术和组织控制措施符合行业标准和业务需求,以实现适当的隐私和安全级别。以下控制措施列表概述了DigiCert保护数据的标准实践的最低基线。
- 政策与文档管理——DigiCert具备、每年至少审核一次,并测试信息安全政策、业务连续性计划、灾难恢复计划和事件响应流程。DigiCert根据需要维护和更新集团内部数据共享协议和适当的供应商数据处理协议。除了公开发布的适用于DigiCert产品和服务的隐私声明外,DigiCert还每年维护并审核/更新内部框架隐私政策,该政策管理适用于DigiCert的隐私标准和流程。
- 网络安全控制措施——DigiCert的系统管理员确保,可公开访问的信息系统组件(例如公共Web服务器)位于具有单独物理网络接口的单独子网络。DigiCert的系统管理员还确保,保护网络外围的受控制的接口对某些类型的数据包进行过滤,以保护DigiCert内部网络中的设备。防火墙和边界控制设备被配置为仅允许执行DigiCert操作所必要的事物进行访问。
- 数据库安全控制措施——对DigiCert数据库的所有访问(通过系统或直接由人员进行)都会被记录并监测是否有未经授权的更改。在数据库中使用行业推荐的密码对数据进行加密,并且仅限DigiCert的信息安全政策和认证业务规则指定的角色进行直接访问。
- 访问控制措施与身份验证——所有用户与DigiCert系统的交互都可以追溯到执行此类操作的个人,而且在能够与DigiCert系统进行交互之前,必须明确识别所有用户。DigiCert人员必须首先向DigiCert系统验证他们自己的身份,然后他们才能被允许访问执行其受信任的角色所需要的任何系统组件,而角色由DigiCert的认证业务规则和信息安全政策定义。必须根据用户访问政策审批用户帐户和其他类型的DigiCert计算机系统访问权限。根据适用政策规定,会定期审核针对已授权个人的物理和逻辑控制措施,至少每年审核一次。
- 人员控制措施——所有DigiCert员工和其他有权访问DigiCert数据和/或系统的工作人员都必须遵守保密协议,并且必须通过背景调查并接受基于角色的特定培训。DigiCert维护并执行针对受信任的角色,每个角色的识别和身份验证,对未经授权的行为的制裁,职责分离,员工徽章,以及立即移除离职员工/工作人员的系统访问权限的政策和程序。
- 物理安全控制措施——每个含有敏感信息的办公室、计算机室和工作区都有物理门禁。所有办公室的门都有锁,而且DigiCert设施的所有入口门随时处于锁闭状态。可以使用门禁卡或其他门禁设备打开门,门禁卡或其他门禁设备在确认背景调查无误后发放。DigiCert数据中心、机箱和办公室由闭路电视监控系统进行监控。受保护的机箱需要生物识别和双重保管人员才能访问。所有访问都会被记录。
- 漏洞管理/修补——每月使用漏洞检测工具对所有DigiCert资产进行扫描。需要修复的系统需要在全球安全运营部规定的时间内进行修补。时间表是根据分配的通用漏洞评分系统(CVSS)得分而定。关键和高等级漏洞在72小时内修补或制定行动计划,中等级漏洞在30天内修补或制定行动计划,而低等级/信息漏洞则由DigiCert决定修补。
- 全面的内部评估——DigiCert每年进行一次全面的风险评估,以识别所有合理可预见的针对安全性、私密性、机密性和完整性的内外部威胁。
- 渗透评估/外部评估——每年至少进行一次第三方渗透评估。通常DigiCert每年对代码、基础设施和系统进行多次渗透测试,并完成红队评估。
- 培训和意识——所有员工和其他工作人员都必须每年参加隐私、安全与合规培训。处理个人身份信息和敏感信息的员工或其他人员要参加更多的培训。有权访问DigiCert系统和/或数据的所有工作人员都必须要遵守用于合理处理数据的政策和程序,例如DigiCert的信息安全政策、行为准则和可接受的使用政策。
- 第三方访问控制措施——DigiCert与可能访问DigiCert系统或数据的第三方签订的合同充分满足了安全和隐私要求。这些第三方还需要接受隐私和安全影响评估,并在访问之前降低风险。
- 存储和传输中的数据保护——存储在DigiCert系统中的所有数据都使用行业推荐的密码进行加密。同样,在全球DigiCert系统内传输的所有数据在传输过程中都使用行业推荐的密码进行加密。
- 存储、保留和删除——以物理或电子方式存储的信息具有由数据分类级别确定的适当的技术控制措施。信息根据我们的CP/CPS和适用的隐私声明删除。