Algemene protocollen voor nalevingsprogramma’s
Iterable heeft een beveiligingsprogramma opgezet om aan te tonen dat het zich inzet voor de naleving van alle wetten, voorschriften en ethische normen die van toepassing zijn op de bedrijfsvoering en zijn rol als groeimarketingplatform. De tewerkstelling is afhankelijk van pre-employment screening en antecedentenonderzoek en naleving van de beveiligingsnormen van Iterable. Iterable biedt zijn medewerkers de tools die ze nodig hebben om te voldoen aan de eisen die zijn vastgelegd in de wetten en normen die zijn vastgesteld door Iterable. Aangezien het regelgevingslandschap blijft veranderen, wordt van alle medewerkers verwacht dat ze voldoen aan de letter en de geest van alle wetten, regelgeving en beleid van Iterable die invloed hebben op de bedrijfsvoering. Het beveiligingsprogramma van Iterable omvat:
Naleving van alle toepasselijke bedrijfsbrede en afdelingsspecifieke beleidsregels en procedures.
Bedrijfsbreed beleid omvat een breed scala aan onderwerpen op het gebied van privacy, beveiliging en algemene naleving, terwijl afdelingsspecifiek beleid en procedurele richtlijnen uniek zijn voor individuele groepen binnen Iterable.
Beleid wordt geformaliseerd en gedocumenteerd door middel van een beleidsimplementatieproces en wordt herzien/bijgewerkt op basis van regelgevende en operationele veranderingen.
- Werknemers en andere relevante partijen moeten erkennen dat ze op de hoogte zijn van en akkoord gaan met alle beleidslijnen en -normen.
Aanwezigheid bij alle verplichte trainingen die door Iterable worden verzorgd.
Trainingen worden ofwel toegewezen op basis van functie of positie, zoals gedefinieerd door de directe leidinggevende van een werknemer, of worden binnen Iterable uitgerold door het team Beveiliging en naleving.
Verplichte trainingen omvatten jaarlijkse online en live trainingssessies, werken op afstand en veilige omgang met persoonlijke identificeerbare informatie (“PII”), waarmee het belang van privacy en gegevens- en informatiebeveiliging wordt onderstreept.
- PII betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon of rechtspersoon.
Toegangscontrole
Om ervoor te zorgen dat Iterable gevoelige gegevens (bijv. PII)-activa kan beveiligen, maakt het gebruik van een aantal authenticatie- en autorisatiecontroles die zijn ontworpen om te beschermen tegen ongeoorloofde toegang.
Authenticatie – Iterable vereist het gebruik van een unieke gebruikers-ID voor elke werknemer.
Accounts worden gebruikt om de activiteit van elke persoon op het netwerk en de systemen van Iterable te identificeren, inclusief toegang tot klantgegevens (PII)..
Dit unieke account wordt voor elk systeem binnen Iterable gebruikt.
Bij indiensttreding krijgt een werknemer een gebruikers-ID toegewezen door het team Informatiebeveiliging van Iterable en krijgt de werknemer een standaard set privileges, zoals hieronder beschreven.
Bij beëindiging van het dienstverband van een werknemer wordt de gebruikers-ID en de toegang van het account tot netwerkbronnen van Iterable uitgeschakeld.
Waar wachtwoorden worden gebruikt voor authenticatie (bijvoorbeeld inloggen op een systeem), zijn er systemen in werking waarin het wachtwoordbeleid van Iterable wordt gehandhaafd, waaronder het verlopen van wachtwoorden, beperkingen op hergebruik van wachtwoorden en voldoende complexiteit van wachtwoorden.
Waar dit van belang is, past Iterable het gebruik van tweestapsverificatie toe en dwingt dit af, inclusief toegang tot productieomgevingen en bronnen.
Aanmeldingen door derden en niet-essentiële toepassingen worden afgehandeld met behulp van het Single Sign-On-systeem van Okta, dat ook tweestapsverificatie gebruikt.
Autorisatie – Toegangsrechten en -niveaus zijn gebaseerd op de functie en rollen van de werknemer, met behulp van de concepten ‘minste privileges’ en ‘need-to-know’ om toegangsprivileges af te stemmen op gedefinieerde verantwoordelijkheden.
Werknemers van Iterable krijgen slechts een beperkte reeks standaardmachtigingen voor toegang tot bedrijfsmiddelen, zoals hun postvak en het intranet.
Werknemers krijgen toegang tot aanvullende middelen op basis van hun specifieke taken.
Managers van gegevens of systeemeigenaren, of andere leidinggevenden zoals beschreven in het beveiligingsbeleid van Iterable moeten verzoeken om aanvullende middelen goedkeuren en alleen na het volgen van de procedure voor toegangsverzoeken.
Iterable registreert administratieve toegang tot alle productiesystemen en data.
Het team Informatiebeveiliging van Iterable beoordeelt deze logboeken indien nodig.
Beheer van gegevensactiva
De gegevensactiva van Iterable, die zowel klant-PII als bedrijfsgegevens omvatten, vallen onder het beveiligingsbeleid en -procedures van Iterable. Al het personeel van Iterable dat de gegevensactiva behandelt, moet voldoen aan het beleid en de procedures van Iterable, die zijn opgesteld om te voldoen aan verschillende voorschriften, waaronder de Algemene Verordening Gegevensbescherming (‘AVG’). Informatie-activa – Elke laag van de applicatie- en opslagstack van Iterable vereist dat verzoeken die afkomstig zijn van andere componenten altijd worden geverifieerd en geautoriseerd. Service-to-service authenticatie is gebaseerd op een beveiligingsprotocol dat is afgeleid van x509-certificaten die zijn uitgegeven door bekende certificeringsinstanties. De toegang tot productieomgevingen van administratieve technici voor productietoepassingen wordt op dezelfde manier gecontroleerd. Een gecentraliseerd identiteitsbeheerplatform wordt gebruikt om de toegang van personeel tot productiediensten te definiëren en te controleren, met behulp van een uitbreiding van het bovengenoemde beveiligingsprotocol dat personeelscertificaten authenticeert door het gebruik van blijvende unieke x509-certificaten; uitgifte van die certificaten wordt op zijn beurt bewaakt door multi-factor authenticatie. Alle verbindingen met productieomgevingen verlopen via proxy’s van Virtual Private Network (‘VPN’); deze proxy’s bieden AES 256-bit-codering en gecentraliseerde controle van verbindingen met productieomgevingen.
Mediaverwijdering
Wanneer een opslagapparaat (fysiek of virtueel) het einde van zijn levensduur heeft bereikt, worden de procedures van Iterable gevolgd waarin een ontmantelingsproces staat beschreven dat is ontworpen om te voorkomen dat klantgegevens worden blootgesteld aan onbevoegde personen. Iterable gebruikt de technieken die worden beschreven in DoD 5220.22-M (‘National Industrial Security Program Operating Manual’) of NIST 800-88 (‘Guidelines for Media Sanitization’) om gegevens te vernietigen als onderdeel van het ontmantelingsproces. Alle buiten gebruik gestelde magnetische opslagapparaten worden gedemagnetiseerd en fysiek vernietigd in overeenstemming met de standaardpraktijken van de sector.
Bewaking en audits
Het nalevingsbewakings- en auditprogramma van Iterable analyseert het beleid en de procedurele richtlijnen die door afdelingen worden gebruikt door middel van interviews, ride-alongs en observaties en beoordeelt het bewustzijn en de naleving van de bovengenoemde beleidslijnen en procedures. Door zijn bewakings– en auditinspanningen zorgt Iterable ervoor dat vertegenwoordigers van Iterable voldoende zijn opgeleid en uitgerust om de externe en interne doelen van Iterable uit te voeren, terwijl ze zich houden aan alle vereiste wetten, voorschriften en begeleidingsdocumenten.
Het beveiligingsbewakingsprogramma van Iterable analyseert informatie die is verzameld uit intern netwerkverkeer en acties van werknemers op systemen. Internetverkeer wordt geïnspecteerd op verdacht gedrag op de interne en productienetwerken om de aanwezigheid van verkeer te detecteren dat mogelijk schadelijke software of een botnet is. De analyse wordt uitgevoerd met een combinatie van open source en commerciële tools. Ter ondersteuning van deze analyse wordt een commercieel correlatiesysteem gebruikt.
Netwerkbeveiliging
Iterable maakt gebruik van meerdere verdedigingslagen (defense-in-depth) om het virtuele netwerk te helpen beschermen tegen aanvallen van buitenaf. Alleen geautoriseerde diensten en protocollen die voldoen aan de beveiligingsvereisten van Iterable mogen zich in de bedrijfs- en productienetwerken begeven. De netwerkbeveiligingsstrategie van Iterable bestaat uit de volgende componenten:
- Netwerkscheiding met behulp van op industriestandaarden gebaseerde firewall- en toegangscontroletechnologieën.
- Beheer van netwerkfirewall- en toegangscontroleregels die gebruik maken van wijzigingsbeheer en peer review.
- Beperkte toegang tot netwerkapparaten voor onbevoegd personeel.
- Geleiding van al het externe verkeer via aangepaste front-end-proxy’s om schadelijk verkeer te detecteren en te stoppen.
Iterable biedt diensten die gebruikmaken van Hypertext Transfer Protocol Secure (HTTPS) voor veiligere browserverbindingen.
Diensten zoals app.iterable.com ondersteunen standaard HTTPS voor klanten die zijn aangemeld bij hun account.
- Informatie die via HTTPS wordt verzonden, wordt versleuteld vanaf het moment dat het Iterable verlaat tot het de computer van de bezoeker bereikt.
Fysieke en omgevingsbeveiliging
Iterable maakt gebruik van Amazon Web Services voor zijn infrastructuurhostingbehoeften. Als gevolg hiervan wordt de fysieke beveiliging gehandhaafd en afgedwongen door Amazon. De fysieke toegang tot het datacenter van Amazon wordt streng gecontroleerd, zowel aan de perimeter als bij de in- en uitgangen van gebouwen door bewakers en videobewaking, inbraakdetectie en andere logische middelen. Medewerkers van het datacenter moeten minimaal twee keer tweestapsverificatie gebruiken om toegang te krijgen tot de datacenter-vloer. Alleen werknemers met privileges en contractanten met legitieme zakelijke behoeften hebben toegang tot het datacenter.
Automatische branddetectie- en blusapparatuur is geïnstalleerd om het risico te verminderen. Het branddetectiesysteem maakt gebruik van rookdetectiesensoren in alle datacenteromgevingen, mechanische en elektrische infrastructuurruimten, koelruimten en ruimten waarin de generatoren zich bevinden. Deze ruimten worden beschermd door natte sprinklersystemen of pre-action of gasvormige sprinklersystemen met dubbele vergrendeling. De elektrische energiesystemen van het datacenter zijn ontworpen om volledig overbodig en te onderhouden zijn zonder gevolgen voor de bedrijfsvoering, 24 uur per dag, zeven dagen per week. Uninterruptible Power Supply (UPS)-units bieden back-up stroom in het geval van een elektrische storing voor kritieke en essentiële belastingen in de faciliteit. Datacenters gebruiken generatoren om de hele faciliteit van back-upstroom te voorzien.
Klimaatbeheersing is vereist om een ​​constante bedrijfstemperatuur voor servers en andere hardware te handhaven, waardoor oververhitting wordt voorkomen en de kans op serviceonderbrekingen wordt verkleind. Datacenters zijn geconditioneerd om de atmosferische omstandigheden optimaal te houden.
Beheer van kwetsbaarheden
Het team Informatiebeveiliging van Iterable is verantwoordelijk voor het tijdig beheren van kwetsbaarheden. Het team Informatiebeveiliging van Iterable scant op beveiligingsrisico’s met behulp van commercieel ontwikkelde tools, geautomatiseerde en handmatige penetratie-inspanningen, softwarebeveiligingsbeoordelingen en externe audits. Het team Informatiebeveiliging is verantwoordelijk voor het opsporen en opvolgen van gedetecteerde kwetsbaarheden.
Vertrouwen en zekerheid
Het programma Vertrouwen- en zekerheid van Iterable omvat transparantie, due diligence en nauwkeurigheid in overeenstemming met SOC 2 en AVG-governance.
Naleving van de regelgeving – Iterable benadert zijn verplichtingen op het gebied van gegevensverwerking wereldwijd.
Veel van onze klanten zijn wereldwijd verspreid, daarom bieden we een Addendum Gegevensverwerking om naleving van voorschriften zoals de Algemene Verordening Gegevensbescherming (‘AVG’) te garanderen.
- Als uw organisatie onderworpen is aan AVG, kan ons nalevingsteam u helpen u aan te melden voor het Addendum Gegevensverwerking.
Data Privacy – Klanten van Iterable zijn eigenaar van hun data, niet Iterable.
De data die klanten van Iterable uploaden naar Iterable is van hen; als onderdeel van de privacyverplichtingen van Iterable scannen we klantgegevens niet op advertenties en verkopen of delen we deze niet met derden.
Wanneer klanten hun relatie met Iterable beëindigen, zullen we onszelf verplichten om de gegevens uit onze systemen te verwijderen.
- Ten slotte kunnen onze klanten hun gegevens eenvoudig beheren met behulp van onze Application Programming Interface (‘API’) om de gegevensportabiliteit te vergemakkelijken zonder extra kosten.
SSAE-16 SOC 2 – Klanten van Iterable kunnen onafhankelijke verificatie van onze beveiligings-, privacy- en nalevingscontroles verwachten.
Als onderdeel van ons assurance-programma voeren we regelmatig een onafhankelijke externe audit uit.
- De onafhankelijke auditor onderzoekt ons governance-programma, onze virtuele infrastructuur en activiteiten om de naleving van auditnormen en algemene criteria te certificeren, zoals beschreven in SSAE-16 SOC 2.
HIPAA – Consumenten stellen hun vertrouwen in de gezondheidszorg en verwachten dat hun zorgaanbieders en dekking goede beheerders zijn van hun gezondheidsinformatie, inclusief het naleven van normen die zijn opgesteld door HIPAA om de privacy en veiligheid van beschermde gezondheidsinformatie te beschermen.
Vertrouwen is een van onze kernwaarden bij Iterable.
We werken samen met klanten om consumenten op het juiste moment toegang te geven tot hun informatie en hen tegelijkertijd de gepersonaliseerde inhoud te bieden die ze willen.
Hun beschermde gezondheidsinformatie is veilig bij ons.
- Neem voor meer informatie over de HIPAA-conformiteit van Iterable en het ondertekenen van een Business Associate Agreement (BAA) contact op met een teamlid van Iterable.