TURVATOIMET
Tässä dokumentissa selitetään tekniset ja organisatorist turvallisuustoimenpiteet ja -kontrollit, jotka Cision ottaa käyttöön suojatakseen henkilökohtaisia tietoja ja varmistaakseen Cisionin tuotteiden ja palveluiden jatkuvan luottamuksellisuuden, eheyden ja käytettävyyden.
Tämä dokumentti on yleiskuvaus Cisionin teknisistä ja organisatorisista turvatoimista. Lisätietoa käyttöönottamistamme turvatoimista saa pyytämällä. Cision pidättää itsellään oikeuden tarkistaa näitä turvatoimia milloin tahansa ilman ennakkoilmoitusta, mikäli tällaiset tarkistukset eivät olennaisesti vähennä tai heikennä henkilötietojen suojaa, jota Cision hoitaa asiakkuuden aikana. Tällaisessa epätodennäköisessä tapahtumassa, jossa Cision vähentää merkittävästi turvallisuutta, Cision ilmoittaa asiakkaitaan tästä.
Cision toteuttaa jäljempänä esitetyt tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyssä:
1. Organisaationhallinta ja erikseen nimetty henkilöstö, joka vastaa Cisionin tietoturvan kehittämisestä, toteuttamisesta ja ylläpidosta.
2. Auditointi- ja riskinarviointimenetelmät Cisionin organisaation organisoinnin, riskien seurannan ja arvioimiseksi sekä Cisionin periaatteiden ja menettelytapojen sekä tietoturvallisuuden ja tietoturvanoudattamisen raportointi ylimmälle sisäiselle johdolle.
3. Ylläpitää tietoturvapolitiikkaa ja varmistaa, että sitä ja sen toimenpiteitä tarkastetaan säännöllisesti ja tarpeen vaatiessa parannetaan.
4. Viestinnässä Cisionin sovelluksissa käytetään kryptografisia protokollia, kuten TLS:ää tiedonsiirron suojelemiseksi julkisissa verkoissa. Verkon reunoilla käytetään pakettisuodatinpalomuureja, verkkosovellusten palomuureja ja DDoS-suojauksia iskujen suodattamiseen. Sisäisessä verkossa sovellukset noudattavat monikerroksista mallia, joka tarjoaa mahdollisuuden soveltaa tietoturva-asetuksia kerrosten välillä.
5. Tietoturvallisuuden valvonta, joka sisältää vähintään, mutta ei välttämättä rajoitu, loogisten tietojen erotteluun, rajoitettuun (esimerkiksi roolipohjaiseen) pääsyyn ja valvontaan sekä soveltavin osin kaupallisesti saatavilla olevien ja alan standardien mukaisten salaustekniikoiden hyödyntämiseen.
6. Loogiset käyttöoikeustarkastukset, joiden tarkoituksena on hallita sähköistä tiedonsiirtoa ja järjestelmän toimintoja viranomaistason ja työtehtävien perusteella (esim. käyttöoikeuksien myöntäminen niitä tarvitseville käyttäjille ja vähimpien käyttöoikeuksien periaatteen mukaisesti, yksilöityjen tunnusten ja salasanojen käyttö kaikkien käyttäjien osalta, määräaikaistarkastukset ja oikeuksien peruuttaminen/muuttaminen mahdollisimman nopeasti työn päättyessä tai työtehtävien muuttuessa).
7. Salasanojen voimakkuuden ja käytön hallitsemista varten suunnitellut salasanasuojaukset, jotka muun muassa kieltävät salasanojen jakamisen.
8. Järjestelmäauditointi tai tapahtumakirjaus ja niihin liittyvät seurantamenetelmät, jotka proaktiivisesti tallentavat käyttäjien pääsyä ja järjestelmätoimintoja rutiininomaista tarkastusta varten.
9. Tietokeskuksen, palvelintilojen ja muiden luottamuksellisten asiakastietojen sisältävien alueiden fyysinen ja ympäröivä turvallisuus, joka on suunnitteltu: (i) suojaamaan tietovaroja luvattomalta fyysiseltä pääsyltä, (ii) hallinnoimaan, valvomaan ja kirjaamaan Cisionin tiloissa liikkuvien henkilöiden liikkeet, ja (iii) suojelemaan ympäröiviltä vaaroilta, kuten lämmöltä, tulelta ja vesivahingoilta.
10. Operatiiviset menettelyt ja valvontatoimet teknologia- ja tietojärjestelmien konfigurointiin, seurantaan ja ylläpitoon säädettyjen sisäisten ja alalla yleisesti hyväksyttyjen standardien mukaisesti, mukaan lukien järjestelmien ja medioiden turvallinen hävittäminen, jotta kaikki niihin liittyvät tiedot ovat selvittämättömiä tai palauttamattomia ennen niiden loppusijoitutusta tai vapauttamista Cisionin hallinnasta.
11. Suunniteltujen hallintamenettelyjen ja seurantamekanismien muuttaminen testaamaan, hyväksymään ja seuraamaan kaikkia muutoksia Cisionin teknologiassa ja tietovaroissa.
12. Sattumusten ja ongelmien hallintamenetelmien suunnittelu, jotta Cision voi tutkia, vastata, lieventää ja ilmoittaa sattumuksista, jotka liittyvät Cisionin tekniikkaan tai tietovarantoihin.
13. Verkkoturvallisuustarkistukset, jotka mahdollistavat yritysten palomuurien kerrostettujen DMZ-arkkitehtuurien käytön sekä tunkeutumisenilmaisujärjestelmät ja muut verkkoliikenteen ja -tapahtumien korrelaatiomenetelmät, jotka ovat suunniteltu suojaamaan järjestelmiä tunkeutumiselta ja rajoittamaan mahdollisen hyökkäyksen laajuus.
14. Haavoittavuusarviointi, patch-management, ja uhkasuojeluteknlogiat ja ajastetut seurantamenetelmät, jotka on suunniteltu tunnistamaan, arvioimaan, lieventämään ja suojaamaan tunnistettuja tietoturvauhkia, viruksia ja muita haitallisia koodeja vastaan.
15. Liiketoiminnan resilienssi/jatkuvuus ja onnettomuuksien elvytystoimet, joiden tarkoituksen on ylläpitää ja/tai palauttaa ennakoitavista hätätilanteista tai onnettomuuksista.