為了保持我們所持有的資料的安全性和私密性,DigiCert(及其附屬集團公司,以下簡稱“DigiCert”)實施並維護了一套控制措施(例如原則、做法、程序和機制),以最大限度地減少針對未經授權和無意的觀察、披露、使用、修改、危害和破壞的威脅。制定並遵守這些控制措施可確保我們能夠充分解決並減輕安全和隱私權風險。
DigiCert的技術和組織控制措施符合行業標準和業務需求,以實現適當的隱私權和安全級別。以下控制措施清單概述了DigiCert保護資料的標準做法的最低基準。
- 原則與文件管理——DigiCert具備、每年至少檢閱一次,並測試訊息安全原則、業務連續性方案、災難復原方案和事件回應流程。DigiCert根據需要維護和更新集團內部資料共用協定和適當的供應商資料處理協定。除了公開發佈的適用於DigiCert產品和服務的隱私權聲明外,DigiCert還每年維護並檢閱/更新內部框架隱私權原則,該原則管理適用於DigiCert的隱私權標準和流程。
- 網路安全控制措施——DigiCert的系統管理員確保,可公開存取的訊息系統元件(例如公用Web伺服器)位於具有單獨實體網路介面的單獨子網路。DigiCert的系統管理員還確保,保護網路週邊的受控制的介面對某些類型的資料包進行過濾,以保護DigiCert內部網路中的装置。防火牆和邊界控制装置被設定為僅允許執行DigiCert作業所必要的事物進行存取。
- 資料庫安全控制措施——對DigiCert資料庫的所有存取(透过系統或直接由人員進行)都會被記錄並監測是否有未經授權的更改。在資料庫中使用行業推薦的密碼對資料進行加密,並且僅限DigiCert的訊息安全原則和認證業務規則指派的角色進行直接存取。
- 存取控制措施與身份驗證——所有使用者與DigiCert系統的互動都可以追溯到執行此類作業的個人,而且在能夠與DigiCert系統進行互動之前,必須明確識別所有使用者。DigiCert人員必須首先向DigiCert系統驗證他們自己的身份,然後他們才能被允許存取執行其受信任的角色所需要的任何系統元件,而角色由DigiCert的認證業務規則和訊息安全原則定義。必須根據使用者存取原則審批使用者帳戶和其他類型的DigiCert電腦系統存取權限。根據適用原則規定,會定期檢閱針對已授權個人的實體和邏輯控制措施,至少每年檢閱一次。
- 人員控制措施——所有DigiCert員工和其他有權存取DigiCert資料和/或系統的工作人員都必須遵守保密協定,並且必須透过背景調查並接受角色型特定培訓。DigiCert維護並執行針對受信任的角色,每個角色的識別和身份驗證,對未經授權的行為的制裁,職責分離,員工徽章,以及立即移除離職員工/工作人員的系統存取權限的原則和程序。
- 實體安全控制措施——每個含有敏感訊息的辦公室、電腦室和工作區都有實體門禁。所有辦公室的門都有鎖,而且DigiCert設施的所有入口門隨時處於閉鎖狀態。可以使用門禁卡或其他門禁装置打開門,門禁卡或其他門禁装置在確認背景調查無誤後發放。DigiCert資料中心、機箱和辦公室由閉路電視監控系統進行監控。受保護的機箱需要生物識別和雙重保管人員才能存取。所有存取都會被記錄。
- 漏洞管理/修補——每月使用漏洞檢測工具對所有 DigiCert 資產進行掃描。需要修復的系統需要在全球安全運營部定義的時間表內進行修補。時間表基於分配的通用漏洞評分系統 (CVSS) 分數。嚴重和高度漏洞在 72 小時內修補或製定行動計劃,中等漏洞在 30 天內修補或製定行動計劃,低/信息漏洞由 DigiCert 自行決定修補。
- 全面的內部評估——DigiCert每年進行一次全面的風險評估,以識別所有合理可預見的針對安全性、私密性、機密性和完整性的內外部威脅。
- 滲透評估/外部評估——每年至少進行一次第三方滲透評估。通常DigiCert每年對程式碼、基礎結構和系統進行多次滲透測試,並完成紅隊評估。
- 培訓和意識——所有員工和其他工作人員都必須每年參加隱私權、安全與合規培訓。處理個人身份訊息和敏感訊息的員工或其他人員要參加更多的培訓。有權存取DigiCert系統和/或資料的所有工作人員都必須要遵守用於合理處理資料的原則和程序,例如DigiCert的訊息安全原則、行為準則和可接受的使用原則。
- 第三方存取控制措施——DigiCert與可能存取DigiCert系統或資料的第三方簽訂的合约充分滿足了安全和隱私權要求。這些第三方還需要接受隱私權和安全影響評估,並在存取之前降低風險。
- 儲存和傳輸中的資料保護——儲存在DigiCert系統中的所有資料都使用行業推薦的密碼進行加密。同樣,在全球DigiCert系統內傳輸的所有資料在傳輸過程中都使用行業推薦的密碼進行加密。
- 儲存、保留和移除——以實體或電子方式儲存的訊息具有由資料分類級別確定的適當的技術控制措施。訊息根據我們的CP/CPS和適用的隱私權聲明移除。