Om de goede beveiliging en de privacy van de gegevens in zijn bezit te waarborgen, heeft DigiCert (inclusief alle daaraan gelieerde bedrijven, hierna gezamenlijk 'DigiCert; genoemd) een reeks maatregelen geïmplementeerd. Deze maatregelen omvatten onder andere beleidsregels, werkwijzen, procedures en mechanismen, en zijn bedoeld om de kwetsbaarheid van de gegevens voor bedreigingen, in de vorm van onbevoegde en onbedoelde observatie, openbaarmaking, gebruik, wijziging, beschadiging en vernietiging, zoveel mogelijk te beperken. Omdat we deze maatregelen hebben genomen en ons eraan houden, zorgen we ervoor dat we de risico’s op het gebied van beveiliging en privacy op een doeltreffende manier kunnen verkleinen.
De technische en organisatorische maatregelen die DigiCert heeft getroffen, zijn in lijn met de branchenormen en bedrijfsbehoeften en zorgen daarmee voor de juiste niveaus aan privacy en beveiliging. De onderstaande lijst omvat de minimaal vereiste standaardwerkwijzen voor het beschermen van gegevens.
- Beheer van beleidsregels en documenten: DigiCert beschikt over een Informatiebeveiligingsbeleid, Bedrijfscontinuïteitsplan, Disasterrecoveryplan en Incidentresponsplan, die minimaal eenmaal per jaar worden gereviewd en getest. DigiCert onderhoudt en actualiseert indien nodig een overeenkomst inzake gegevensuitwisseling binnen de groep en de toepasselijke verwerkersovereenkomsten met leveranciers. Naast de openbaar beschikbare privacyverklaring die van toepassing is op de producten en services van DigiCert, onderhoudt en reviewt/actualiseert DigiCert jaarlijks een intern privacybeleidskader dat ten grondslag ligt aan de privacynormen en -processen binnen het bedrijf.
- Netwerkbeveiliging: De systeembeheerders van DigiCert zorgen ervoor dat onderdelen van openbaar toegankelijke informatiesystemen, zoals webservers, zich in aparte subnetwerken met gescheiden fysieke netwerkinterfaces bevinden. De systeembeheerders van DigiCert zorgen er ook voor dat alle beheerde interfaces die de buitenrand van het netwerk beschermen, filteren op bepaalde typen packets om de apparaten in het interne netwerk van DigiCert te beschermen. Firewalls en grensbewakingsapparaten zijn zodanig geconfigureerd dat ze uitsluitend toegang bieden aan wat noodzakelijk is voor het uitvoeren van de activiteiten van DigiCert.
- Databasebeveiliging: Alle toegang tot databases van DigiCert (zowel via systemen als rechtstreeks door personeel) wordt geregistreerd en er vindt bewaking plaats ter voorkoming van onbevoegde wijzigingen. Gegevens in de databases worden versleuteld volgens de aanbevolen methoden en directe toegang is beperkt tot de rollen die zijn vastgelegd in het Informatiebeveiligingsbeleid en de Verklaring inzake certificeringspraktijken van DigiCert.
- Toegangsbeheer en authenticatie: Alle gebruikersinteracties met de systemen van DigiCert zijn te herleiden naar de persoon die de acties heeft uitgevoerd, en alle gebruikers moeten zijn geïdentificeerd voordat interactie met de systemen van DigiCert mogelijk is. Medewerkers van DigiCert moeten zich authenticeren bij de systemen van DigiCert voordat ze toegang krijgen tot de onderdelen van het systeem waarmee ze hun vertrouwde rol kunnen vervullen. De rollen zijn gedefinieerd in het Informatiebeveiligingsbeleid en de Verklaring inzake certificeringspraktijken van DigiCert. Gebruikersaccounts en andere typen toegang tot de computersystemen van DigiCert moeten worden goedgekeurd in overeenstemming met het Toegangsbeleid voor gebruikers. Zowel fysieke als logische controlemaatregelen met betrekking tot geautoriseerde personen worden, zoals beschreven in de toepasselijke beleidsdocumenten, periodiek en ten minste eenmaal per jaar gereviewd.
- Medewerkerscontroles: Alle medewerkers en onderaannemers van DigiCert met toegang tot de gegevens en/of systemen van DigiCert moeten geheimhoudingsverklaringen tekenen, worden onderworpen aan een antecedentenonderzoek en krijgen gerichte training op basis van hun rol. DigiCert onderhoudt en handhaaft beleidsregels en procedures voor vertrouwde rollen, identificatie en authenticatie voor elke rol, sancties voor ongeautoriseerde handelingen, scheiding van taken, badges voor medewerkers en het onmiddellijk beëindigen van de toegang tot systemen van medewerkers/onderaannemers die geen werkzaamheden meer verrichten voor het bedrijf.
- Fysieke beveiligingsmechanismen: De fysieke toegang tot alle kantoren, computerruimtes en werkruimtes waarin zich gevoelige gegevens bevinden, is beperkt. De deuren van alle kantoren zijn voorzien van een slot en de toegangsdeuren van DigiCert-panden zijn altijd vergrendeld. Deze deuren kunnen worden geopend met een pasje of ander toegangsbeheermiddel dat wordt afgegeven na afronding van een antecedentenonderzoek. De datacenters, kooi en kantoren van DigiCert worden bewaakt met CCTV-camera's. De beveiligde kooi is uitsluitend toegankelijk na biometrische controle en in de aanwezigheid van twee bewakers. Alle toegang wordt geregistreerd.
- Beheer van kwetsbaarheden/patching: Alle assets van DigiCert worden maandelijks gescand met speciale tools voor het opsporen van kwetsbaarheden. Systemen waarvoor herstelacties zijn vereist, moeten worden gepatcht binnen de tijd die daarvoor is gedefinieerd door Global Security Operations. Deze tijden zijn gebaseerd op de toegewezen CVSS-score (Common Vulnerability Scoring System). Kwetsbaarheden in de categorieën Kritiek of Ernstig worden binnen 72 uur gepatcht, kwetsbaarheden in de categorie Gemiddeld worden binnen 30 dagen gepatcht of er wordt binnen 30 dagen een actieplan voor gemaakt, en kwetsbaarheden in de categorie Laag of Informatie worden gepatcht naar goeddunken van DigiCert.
- Uitgebreide interne evaluatie: Ieder jaar vindt een uitgebreide risicoanalyse plaats voor het opsporen van alle redelijkerwijs te verwachten interne en externe bedreigingen voor de beveiliging, privacy, vertrouwelijkheid en integriteit.
- Penetratietest/externe beoordeling: Elk jaar vindt ten minste één penetratietest door een externe partij plaats. DigiCert voert gewoonlijk meerdere penetratietests per jaar uit op de code, infrastructuur en systemen, naast gerichte aanvalssimulaties.
- Training en bewustmaking: Alle medewerkers en onderaannemers zijn verplicht om ieder jaar trainingen te volgen op het gebied van privacy, beveiliging en compliance. Degenen die omgaan met persoonlijk identificeerbare informatie en vertrouwelijke informatie volgen extra trainingen. Iedereen die toegang heeft tot de systemen en/of gegevens van DigiCert is verplicht zich te houden aan de beleidsregels en procedures voor het werken met gegevens, zoals het Informatiebeveiligingsbeleid, de Gedragscode en het Beleid inzake aanvaardbaar gebruik van DigiCert.
- Toegangscontrole voor derden: De contracten die DigiCert heeft gesloten met derde partijen die mogelijk toegang hebben tot de systemen en/of gegevens van DigiCert, bevatten adequate clausules met betrekking tot beveiligings- en privacyverplichtingen. Deze derde partijen worden ook onderworpen aan een privacy- en beveiligingsevaluatie en eventuele risico's worden zoveel mogelijk beperkt voordat toegang wordt verleend.
- Bescherming van gegevens tijdens opslag en verzending: Alle gegevens die zijn opgeslagen in de systemen van DigiCert worden versleuteld volgens de aanbevolen methoden. Alle gegevens die worden verzonden binnen de wereldwijde systemen van DigiCert worden tijdens de verzending versleuteld volgens de aanbevolen methoden.
- Opslag, bewaring en verwijdering: Voor informatie die fysiek of elektronisch is opgeslagen zijn passende technische maatregelen genomen op basis van de classificatie van de gegevens. Verwijdering van informatie vindt plaats in overeenstemming met het Certificaatbeleid, de Verklaring inzake certificeringspraktijken en de privacyverklaring van DigiCert.