Enterprise-sikkerhed, I kan stole på

Vores livscyklus for softwareudvikling (SDLC) sikrer, at vores applikationer og programmeringsgrænseflader (API'er) er designet, implementeret og testet i overensstemmelse med førende branchestandarder — såsom OWASP, ISO og SOC — og overholder juridiske, lovbestemte eller regulatoriske overholdelsesforpligtelser.

Du vil blive tilsluttet, når alle aftaler og politikker er accepteret for brug af tjenesten. Du er ansvarlig for at sikre, at din brug af Caseware Cloud er i overensstemmelse med gældende love og regler.

Juridiske detaljer kan findes i Cloud Services-aftalen her: https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Vores politikker og procedurer er blevet etableret og vedligeholdes til støtte for datasikkerhed for at omfatte fortrolighed, integritet og tilgængelighed på tværs af flere systemgrænseflader, jurisdiktioner og forretningsfunktioner for at forhindre ukorrekt videregivelse, ændring eller ødelæggelse.

Uafhængige revisioner udføres af registrerede tredjeparter som en del af vores compliance-program for ISO 27001 og SOC 2 for vores Cloud-tjenester. Vi har også et internt revisionsprogram, ekstern penetrationstest og regelmæssigt planlagt intern sårbarhedstest. Sårbarhedstestresultater deles med kunder som beskrevet i politikken for klientinitieret test. Resultaterne af disse processer spores gennem vores forbedringsproces. Metoden og værktøjerne, der bruges til at udføre penetrationstest, er skræddersyet til hver vurdering for specifikke mål og angriberprofiler. SOC 2 rapporter leveres under NDA til klienter. Vores SOC 3-rapport er tilgængelig i PDF-format her.

Produktionsdata gemmes på Amazon Web Services (AWS). Applikationen håndterer logisk adskillelse af klientdata gennem databaseisolering. Data, der overføres til og fra vores service (herunder sikkerhedskopier), er 100% krypteret over en SSL-forbindelse (AES-256-bit - den samme styrke, der bruges i netbank). Datatransmission sker mellem klient og server og databaser. Der er kontrol på plads til sikker og krypteret massedataoverførsel. Der er ingen e-mail-transmissioner. Du kan finde flere oplysninger om sikkerhed i: https://www.casewarecloud.com/security.html. Vores juridiske team overvåger vores lovgivningsmæssige forpligtelser. Se vores Cloud Services-aftale for juridiske krav: https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Caseware har en konsekvent samlet ramme for planlægning af forretningskontinuitet og har etableret, dokumenteret og vedtaget dette for at sikre, at alle forretningskontinuitetsplaner er konsistente med hensyn til at adressere prioriteter for test, vedligeholdelse og informationssikkerhedskrav.

Krav til forretningskontinuitetsplaner omfatter følgende:

• Defineret formål og omfang, tilpasset relevante afhængigheder
• Tilgængelig for og forstået af dem, der vil bruge dem
• Ejet af en eller flere navngivne personer, der er ansvarlige for deres gennemgang, opdatering og godkendelse
• Definerede kommunikationslinjer, roller og ansvar
• Detaljerede genoprettelsesprocedurer, manuel omlægning og referenceoplysninger
• Metode til påkaldelse af plan

Vores planer for forretningskontinuitet og sikkerhedshændelser testes med planlagte intervaller eller ved væsentlige organisatoriske eller miljømæssige ændringer. Hændelsesresponsplaner involverer berørte kunder (lejer) og andre forretningsforbindelser, der repræsenterer kritiske afhængigheder af forretningsprocesser inden for forsyningskæden.

Vores service hostes på Amazons AWS, og forsyningstjenester og miljøforhold (f.eks. vand-, strøm-, temperatur- og fugtighedskontrol, telekommunikation og internetforbindelse) sikres, overvåges, vedligeholdes og testes for kontinuerlig effektivitet med planlagte intervaller for at sikre beskyttelse mod uautoriseret aflytning eller skade, og er designet med automatiseret failover eller andre redundanser i tilfælde af planlagte eller uplanlagte afbrydelser.

Vores cloud-tjeneste er fuldstændig virtuel og hostet på Amazon Web Services (AWS). Amazon er også ISO- og SOC2-kompatibel og ansvarlig for at begrænse adgangen til faciliteter, der huser produktionssystemerne, til autoriserede personer. AWS er også ansvarlig for miljøbeskyttelse og forebyggende vedligeholdelse af produktionssystemer. AWS har offentliggjort yderligere detaljer her: https://aws.amazon.com/compliance/data-center/controls. Disse certificeringer vedrører fysisk sikkerhed, systemtilgængelighed, netværks- og IP-ryggradsadgang, kundeprovisionering og problemstyring. Fysisk adgang og miljøkontrol administreres og kontrolleres af AWS. Oplysninger om AWS's fysiske beskyttelsesforsikring kan findes på: https://aws.amazon.com/compliance.

Caseware har tilpasset vores sikkerhedsprogram til ISO 27001, og vi har forretningskontinuitetsprocesser på plads til at håndtere forstyrrelser i kritiske tjenester. Vi overvåger alle cloud-instanser for ydeevne og tilgængelighed og inkorporerer følgende:

• Identificer kritiske produkter og tjenester
• Identificer alle afhængigheder, herunder processer, applikationer, forretningspartnere og tredjepartstjenesteudbydere
• Forstå trusler mod kritiske produkter og tjenester
• Bestem virkninger som følge af planlagte eller ikke-planlagte forstyrrelser, og hvordan disse varierer over tid
• Fastlæg den maksimale tolerable periode for afbrydelse
• Fastlægge prioriteter for genopretning
• Fastsætte mål for restitutionstid for genoptagelse af kritiske produkter og tjenester inden for deres maksimale tolerable periode med afbrydelse
• Anslå de ressourcer, der kræves til genoptagelse

Kunder kan se vores driftsstatus i realtid på vores statusside her: https://caseware.statuspage.io/.

Vi opretholder et centralt system til dokumentation og træner alle medarbejdere i processer. Procedurer omfatter ændringsstyring, sikkerhedsprocesser, roller og ansvar for interne brugere. Vores procedurer opdateres efter behov, og revisionshistorik logges. Derudover skal politikker og procedurer omfatte definerede roller og ansvarsområder understøttet af regelmæssig uddannelse af arbejdsstyrken.

Caseware opretholder en optegnelses- og opbevaringspolitik for Cloud-tjenester. Opbevaringspolitikken er ikke klientspecifik. Sikkerhedskopierings- og gendannelsesprocedurer dokumenteres, og automatiserede advarsler sendes dagligt til driftspersonalet. Sikkerhedskopierings- og gendannelsesforanstaltninger er blevet indarbejdet i planlægningen af forretningskontinuitet og testet i overensstemmelse hermed for effektivitet. Se opbevaringspolitikken for hver kategori af poster nedenfor.

Systemtransaktionslogfiler

Beskrivelse: Databasejournaler og andre logfiler, der bruges til databasegendannelse.

Opbevaringsperiode: 30 dage.

Årsag til tilbageholdelse: Baseret på backup- og gendannelsesstrategi.

Tilladte lagringsmedier: Elektronisk.

Revisionslogfiler

Beskrivelse: Sikkerhedslogfiler, for eksempel registreringer af logon/logoff og tilladelsesændringer.

Opbevaringsperiode: 30 dage.

Årsag til tilbageholdelse: Maksimal forsinkelsesperiode før retsmedicinsk undersøgelse.

Tilladte lagringsmedier: Elektronisk.

Operationelle procedurer

Beskrivelse: Optegnelser forbundet med afslutningen af operationelle procedurer.

Opbevaringsperiode: 2 år.

Årsag til tilbageholdelse: Maksimal forløbet periode for tvist.

Tilladte lagringsmedier: Elektronisk.

Kunden

Beskrivelse: Kundesikkerhedskopier.

Opbevaringsperiode: 90 dage.

Årsag til tilbageholdelse: Databeskyttelseskrav.

Tilladte lagringsmedier: Elektronisk.

Der er etableret ændringsstyringskontroller for enhver ny udvikling og/eller erhvervelse af nye data, fysiske eller virtuelle applikationer, infrastrukturnetværk og systemkomponenter eller eventuelle virksomheds-, drifts- og/eller datacenterfaciliteter, der er forhåndsgodkendt af organisationens forretningsledelse eller anden ansvarlig forretningsrolle eller funktion. Vores SDLC har en defineret kvalitetskontrol- og testproces med etablerede basislinjer, test, og udgivelsesstandarder, der fokuserer på systemtilgængelighed, fortrolighed og integritet af systemer og tjenester.

Der er etableret politikker og procedurer og understøttende forretningsprocesser og tekniske foranstaltninger implementeret for at begrænse installationen af uautoriseret software på organisationsejede eller administrerede brugerslutpunktsenheder og it-infrastrukturnetværk og systemkomponenter i produktionsskymiljøet. Vores politikker og procedurer for ændringsstyring omfatter styring af de risici, der er forbundet med at anvende ændringer i forretningskritiske eller kundepåvirkende applikationer og API-design og konfigurationer. Der er også implementeret tekniske foranstaltninger for at sikre, at alle ændringer direkte svarer til en registreret ændringsanmodning, forretningskritisk eller kunde, og/eller godkendelse fra kunden i henhold til aftalen forud for implementeringen.

Caseware har politikker og procedurer og understøttende forretningsprocesser og tekniske foranstaltninger på plads for at opbevare og vedligeholde datastrømme inden for SaaS-netværket og -systemerne for hver geografisk placering. Kontroller er på plads for at sikre, at data placeres i det geografiske område, der bestemmes af klienten. Abonnentdata i produktionsskymiljøet findes på to-lags arkitektur og er ikke direkte tilgængelige fra internettet.

Vores sikkerhedspolitik definerer fire niveauer af dataklassificering: fortrolig, begrænset, operationel og offentlig. Alle data, der er gemt i produktionsskyinfrastrukturen, betragtes som fortrolige, hvilket er vores højeste sikkerhedsniveau, og kun autoriseret personale har adgang til dette miljø. Logisk adgang til produktionsmiljøet i skyen er begrænset til driftsteamet alene.

Alle abonnentdata gemmes i produktionsskymiljøet. Brugen af kundedata i ikke-produktionsmiljøer styres gennem sikre datahåndteringsprocesser, som kræver eksplicit dokumenteret godkendelse fra de kunder, hvis data er berørt, og skal overholde juridiske og lovgivningsmæssige krav til skrubning af følsomme dataelementer.

Der er et udpeget driftsteam, der er ansvarligt for alle operationelle funktioner vedrørende infrastruktur og opbevaring med tildelte ansvarsområder, der er defineret, dokumenteret og kommunikeret.

Caseware Cloud hostes på Amazon-webservere rundt om i verden. Når du abonnerer på Caseware Cloud Services, informerer CWC klienter om den jurisdiktion, hvor serveren, der er blevet tildelt til at hoste dine abonnentdata og personlige oplysninger, befinder sig. Du kan give samtykke til en sådan tildeling, eller nægte en server, der er tildelt på denne måde.

Af hensyn til ydeevnen konfigurerer vi dig typisk i:

• USA/North Virginia, hvis du befinder dig i USA eller Sydamerika
• Canada/Montreal, hvis du befinder dig i Canada
• Australien/New South Wales, hvis du befinder dig i Asien-Stillehavsområdet
• Irland/Leinster, hvis du befinder dig i en anden region

Produktionsinfrastrukturen er helt hostet i Amazons AWS. AWS er ansvarlig for at begrænse adgangen til faciliteter, der huser produktionssystemerne til autoriserede personer. AWS er også ansvarlig for miljøbeskyttelse og forebyggende vedligeholdelse af produktionssystemer. Fysisk adgang styres af AWS ved omkredsen og ved bygningens indgangspunkter. Fuldstændige detaljer kan findes her: https://aws.amazon.com/whitepapers/#security. AWS har offentliggjort yderligere detaljer her: https://aws.amazon.com/compliance/data-center/controls/.

Vores produktionsinfrastruktur er helt hostet i Amazons AWS. AWS har SOC 2-rapporter, som gennemgås årligt. AWS-styringsprocesser kan findes her: https://aws.amazon.com/compliance/.

Vores kryptografipolitikker og procedurer er designet til at understøtte forretningsprocesser. Tekniske foranstaltninger er blevet implementeret baseret på forretningsmæssige krav til beskyttelse af data i hvile og data under overførsel i henhold til gældende juridiske, lovbestemte og lovgivningsmæssige overholdelsesforpligtelser.

Vores kryptografipolitik kræver, at alle krypteringsnøgler har identificerbare ejere i organisationen. Den kryptografiske nøglelivscyklusstyring sikrer, at adgangskontrol er på plads til sikker nøglegenerering, udveksling og opbevaring, herunder adskillelse af nøgler, der bruges til krypterede data eller sessioner.

Data gemt på serverniveau (data-at-rest) krypteres ved hjælp af branchestandarden AES-256 algoritme. Data, der overføres til og fra vores tjeneste (data-in-transit), krypteres via TLS med kortvarig nøgleudveksling og bruger brancheaccepterede stærke chifferpakker. Certifikater bruger mindst 2048 bit nøglerestyrke med SHA-2 eller stærkere signaturalgoritme. Private nøgler genereres og gemmes i vores hemmelighedsstyringssystemer. De implementeres og bruges på produktionssystemer efter behov via vores forandringskontrolproces. Certifikater opnås gennem en velrenommeret leverandør og følger den indbyggede og branchestandardfornyelses- og rotationsproces baseret på udløb eller tilbagekaldelse efter behov.

Sikkerhedsrisikovurderinger gennemføres mindst en gang om året og tager hensyn til følgende:

• Bevidsthed om, hvor følsomme data lagres og overføres på tværs af applikationer, databaser, servere og netværksinfrastruktur
• Overholdelse af definerede opbevaringsperioder
• Dataklassificering og beskyttelse mod uautoriseret brug, adgang, tab, ødelæggelse og forfalskning

Vi har implementeret et informationssikkerhedsstyringssystem baseret på ISO 27001 og SOC 2 kontroller. Vores ISMS omfatter følgende områder, for så vidt de vedrører virksomhedens karakteristika:

• Information Security Policy (dette dokument)
• Adgangskontrolpolitik
• Tilgængelighedsstyring
• Clean Desk-politik
• Kryptografipolitik
• IS Leverandørstyringspolitik
• Logning og overvågningspolitik
• Politik for mobilenheder
• Netværkssikkerhedspolitik
• Adgangskodeadministrationspolitik
• Politik til administration af programrettelser
• Softwarepolitik
• Politik for håndtering af tekniske sårbarheder
• Risikovurderingsmetodik
• Malware-, e-mail- og ISMS-politik
• Politik for acceptabel brug af internettet
• Penetrationstestpolitik
• Fjernarbejdspolitik
• Opbevaring og beskyttelse af optegnelser

Afdelingsledere er ansvarlige for at opretholde bevidstheden om og overholde sikkerhedspolitikker, procedurer og standarder, der er relevante for deres ansvarsområde.

Risikoacceptniveauer er defineret inden for risikostyringsmetoden, og alle risici reduceres til et acceptabelt niveau med rimelige tidsrammer for afvikling og godkendelse fra interessenter.

Vores politikker og procedurer for informationssikkerhed offentliggøres og er tilgængelige for gennemgang af alle berørte medarbejdere og eksterne forretningsforbindelser. Styringskomitéen for informationssikkerhed er ansvarlig for at udvikle, vedligeholde og håndhæve vores tjenestes informationssikkerhedspolitikker. Informationssikkerhedspolitikken gennemgås årligt og godkendes af Styringskomitéen for Informationssikkerhed. Ledelse og ledelse yder støtte til informationssikkerhed gennem klart dokumenteret vejledning og engagement og skal sikre, at der er tildelt foranstaltninger. Der er et ledende medlem af ledelsen, der er ansvarlig for styring og drift af informationssikkerhed, herunder beskyttelse af kundedata - denne rolle rapporterer til CFO.

Politikgennemgange gennemføres årligt af Styringskomitéen for Informationssikkerhed eller som et resultat af ændringer i organisationen for at sikre dens fortsatte tilpasning til sikkerhedsstrategien, effektivitet, nøjagtighed, relevans og anvendelighed i forhold til juridiske, lovbestemte eller lovgivningsmæssige overholdelsesforpligtelser.

Formelle risikovurderinger udføres årligt og i forbindelse med eventuelle ændringer i informationssystemer for at bestemme sandsynligheden for og virkningen af alle identificerede risici. Sandsynligheden og virkningen forbundet med iboende og resterende risiko bestemmes uafhængigt under hensyntagen til alle risikokategorier baseret på revisionsresultater, trussels- og sårbarhedsanalyse og overholdelse af lovgivningen. Risikovurderingsresultater kan omfatte opdateringer af sikkerhedspolitikker, procedurer, standarder og kontroller for at sikre, at de forbliver relevante og effektive. Resultaterne af risikovurderinger er:

• Rapporteret til den øverste ledelse, der derefter deltager i en risikobehandlingsproces
• Opdateret i et risikoregister
• Prioriteret ud fra mulig indvirkning på produktionssystemer

Vores HR har en defineret screeningsproces for alle medarbejdere. Referencekontrol opnås med hensyn til alle medarbejdere på ansættelsestidspunktet, med kriminel og kreditbaggrundskontrol for dem, der udfører operationelle roller med produktcloud-miljøet. Alt personale er forpligtet til at underskrive en fortrolighedsaftale inden ansættelse for at sikre beskyttelse af klientoplysninger til beskyttelse af data. Der tilbydes oplysningssikkerhedsbevidsthedstræning under medarbejdernes onboarding. Der gives specifik træning til udviklere om sikker kodningspraksis. Formelle optegnelser opretholdes for afslutning af intern personaletræning. Medarbejderopsigelser og stillingsændringer initieres af afdelingschefer. Vores HR-team gennemgår disse anmodninger og sender anmodningen via vores billetsystem til afleverings- og klargøringskrav. Vores HR-team har en medarbejderafgangsproces for at sikre, at alt udstyr returneres, og konti afsluttes for at sikre, at adgangen til produktionsmiljøer fjernes.

Der er etableret et uddannelsesprogram for sikkerhedsbevidsthed for alle entreprenører, tredjepartsbrugere og medarbejdere og er pålagt. Alle personer med adgang til fortrolige og begrænsede data modtager passende oplysningstræning og regelmæssige opdateringer i organisatoriske procedurer, processer, og politikker vedrørende deres jobfunktion i forhold til organisationen. Roller og ansvar for entreprenører, medarbejdere og tredjepartsbrugere dokumenteres, når de vedrører informationsaktiver og sikkerhed.

Brugeransvar er defineret i jobbeskrivelser for alle medarbejdere, og de gøres opmærksomme på deres roller og ansvar for:

• Opretholdelse af bevidsthed om og overholdelse af etablerede politikker og procedurer og gældende juridiske, lovbestemte eller lovgivningsmæssige overholdelsesforpligtelser
• Opretholdelse af et sikkert arbejdsmiljø
• Rapporter enhver mistænkelig aktivitet, hvis den opdages

Vi har en klar skærmpolitik, der kræver, at uovervågede arbejdsområder ikke har åbent synlige følsomme dokumenter, og brugercomputersessioner er blevet deaktiveret efter en etableret periode med inaktivitet.

Vi har en adgangskontrolpolitik på plads, der specificerer, hvordan man administrerer adgangskontrol til alle systemkomponenter og følsomme oplysninger i organisationen. Politikker for acceptabel brug eller adgang til abonnentdata og metadata er inkluderet i Caseware-privatlivspolitikken (https://www.caseware.com/privacy-statement/). Caseware indsamler, bruger og videregiver kun oplysninger til følgende formål:

• For at bekræfte din identitet
• Til at give dig Caseware Cloud Services
• Til at kontakte dig med henblik på produktoplysninger, serviceopdateringer, faktureringsmeddelelser eller meddelelser vedrørende Caseware Cloud Services
• Til at overvåge og/eller forbedre systembrug, server- og softwareydelse
• For at hjælpe med tekniske supportproblemer
• For at overholde love, regler, retskendelser, stævninger eller anden juridisk efterforskningsproces og for at beskytte CWC, dets tilknyttede selskaber og andre personer mod skade
• For at forbedre og forbedre CWC-servicetilbud

Der er etableret politikker og procedurer for at gemme og administrere identitetsoplysninger om hver person, der har adgang til produktionens cloud-infrastruktur, og til at bestemme deres adgangsniveau. Der er etableret politikker og procedurer for adgangskontrol, og understøttende forretningsprocesser og tekniske foranstaltninger implementeret, til begrænsning af brugeradgang i henhold til defineret adskillelse af opgaver for at tackle forretningsrisici forbundet med en brugerrolleinteressekonflikt. Adgangskontrollageret administreres af udbyderen. Vi bruger en privilegeret identitetshåndtering og adgangskodestyringssystem.

Adgang til og brug af revisionsværktøjer, der interagerer med produktionens cloud-miljø, er segmenteret og begrænset for at forhindre kompromittering og misbrug af logdata. Brugeradgang til diagnosticerings- og konfigurationsporte er begrænset til autoriserede personer og applikationer.

Kontrolelementer er på plads for at sikre, at kun godkendt software installeres i produktionens cloud-infrastruktur.

Adgang til organisationens egne udviklede applikationer, program eller objektkildekode eller enhver anden form for intellektuel ejendomsret (IP), og brug af proprietær software kontrolleres efter reglen om mindst privilegium baseret på jobfunktion i henhold til etablerede brugeradgangspolitikker og procedurer.

Caseware Cloud Service kræver adgangskodegodkendelse for at få adgang til basissystemet. Når de er i systemet, skal brugerne tildeles sikkerhedsroller for at udføre yderligere handlinger og få adgang til bestemt indhold. Med sikkerhedsroller kan du styre, hvem der har adgang til hvilket indhold. Din organisation er ansvarlig for at udvikle passende sikkerhedspolitikker omkring adgangskoder og sikkerhedsroller ved hjælp af sikkerhedsfunktionerne i Caseware Cloud. Caseware giver adgang til klienter, som derefter kontrollerer deres egne brugere og administrative konti, herunder provisioning og de-provisioning. Der anvendes tofaktorautentificering. Brugeradgang godkendes og fornyes kvartalsvis for at sikre reglen om mindst privilegium baseret på jobfunktion. Ved identificerede adgangsovertrædelser følges afhjælpningsaktiviteter baseret på de etablerede politikker og procedurer for brugeradgang. Rettidig aflevering (tilbagekaldelse eller ændring) af brugeradgang til data eller administrerede applikationer, infrastruktursystemer og netværkskomponenter er blevet implementeret i henhold til etablerede politikker og procedurer og baseret på brugerens statusændring såsom opsigelse af ansættelse eller anden forretningsforbindelse, jobændring eller overførsel. Udbyderen administrerer tilvejebringelse og afklaring af servicekontoer. Godkendelse af servicekontoer bruger multifaktorgodkendelse.

Caseware Cloud implementerer et SaaS-baseret slutpunktsdetekterings- og svarsikkerhedspunkt til alle værter inden for vores infrastruktur. Al bruger-, proces- og netværksaktivitet indsamles og gemmes på den manipulationssikre centrale placering og analyseres i næsten realtid for mistænkelig adfærd såvel som til manuel retsmedicin. Beskyttelse, opbevaring og livscyklusstyring af revisionslogfiler, overholdelse af gældende juridiske, lovbestemte eller lovgivningsmæssige overholdelsesforpligtelser og giver unik brugeradgangsansvar for at opdage potentielt mistænkelig netværksadfærd og/eller afvigelser i filintegritet, der er nødvendige for at understøtte retsmedicinske efterforskningsfunktioner i tilfælde af sikkerhedsbrud. Vores værktøjer har evnen til at detektere/forhindre uautoriseret eller uregelmæssig adfærd baseret på netværkstrafik eller værtsaktivitet. Alle godkendelseshændelser, vellykkede og mislykkede, logges.

Vores produktions- og ikke-produktionsmiljøer er adskilt for at forhindre uautoriseret adgang eller ændringer af informationsaktiver. Adskillelse af miljøerne inkluderer logisk adskillelse og adskillelse af opgaver for personale, der får adgang til disse miljøer som en del af deres jobopgaver.

Vores produktionssystem og netværksmiljø er beskyttet af centralt styrede firewalls og sikrer adskillelse af produktions- og ikke-produktionsmiljøer. Vores produktionsmiljø er designet, udviklet, implementeret og konfigureret til at sikre, at vores driftsteam og kunders brugeradgang er korrekt segmenteret fra andre klientbrugere, baseret på følgende overvejelser:

• Etablerede politikker og procedurer
• Isolering af forretningskritiske aktiver og/eller følsomme brugerdata og sessioner, der kræver stærkere intern kontrol og høje sikkerhedsniveauer
• Overholdelse af juridiske, lovbestemte og lovgivningsmæssige overholdelsesforpligtelser

Produktionsskyinfrastrukturen har en pålidelig og gensidigt aftalt ekstern tidskilde, der bruges til at synkronisere systemurene for alle relevante informationsbehandlingssystemer for at lette sporing og rekonstituering af aktivitetstidslinjer.

Der er implementeret politikker og procedurer for at sikre en konsekvent gennemgang af serviceaftaler mellem udbydere og kunder på tværs af den relevante forsyningskæde. Gennemgange udført mindst en gang om året og identificerer manglende overensstemmelse med etablerede aftaler. Eventuelle afvigelser identificeres som handlinger for at løse konflikter eller uoverensstemmelser på serviceniveau.

Der er etableret politikker og procedurer og understøttende forretningsprocesser og tekniske foranstaltninger implementeret for at forhindre udførelse af malware i produktionsmiljøet eller slutbrugerenheder og it-infrastrukturnetværk og systemkomponenter. Der er etableret politikker og procedurer og implementeret understøttende processer og tekniske foranstaltninger til rettidig opdagelse af sårbarheder inden for organisationsejede eller administrerede applikationer, infrastrukturnetværk og systemkomponenter. Vi udfører også løbende applikations- og kodesårbarhedsevalueringer af vores produkter og har dobbelt peer review af alle kodeændringer for at sikre effektiviteten af implementerede sikkerhedskontroller. Vores risikostyringsmetode bruges til at prioritere afhjælpning af identificerede sårbarheder. Ændringer administreres gennem vores definerede ændringsstyringsproces for alle leverandørleverede programrettelser, konfigurationsændringer eller ændringer i vores applikationer. Vores anti-malware løsning styres centralt og kører på alle systemer. Anti-malware-løsningen indeholder mekanismer til at opdage eller forhindre phishing. Malware-signaturopdateringer implementeres inden for 1 dag efter frigivelsen.