Informationssäkerhetspolicy

Senast uppdaterad: 14 januari 2025

Denna policy kan hänvisas till avtalet som undertecknats mellan Encryption Consulting LLC eller dess dotterbolag och närstående företag (gemensamt kallade ”Encryption Consulting”) och kunden som använder Encryption Consultings tjänster (”Avtalet”) och ska fungera som en bindande styrande policy för att uppfylla Encryption Consultings säkerhetsskyldigheter. Denna säkerhetspolicy utgör en integrerad del av avtalet som reglerar användningen av Encryption Consultings tjänster.

Definitioner som används men inte definieras här ska ha den betydelse som tilldelats dem i tillämpligt avtal, eller som det hänvisas till i slutanvändaravtalet för krypteringskonsulting.

Denna policy beskriver de säkerhets-, tekniska och organisatoriska åtgärder som Encryption Consulting vidtar.

Certifieringar och efterlevnadsprogram

Encryption Consultings verksamhet, policyer och rutiner granskas regelbundet för att säkerställa överensstämmelse med erforderliga standarder som en betrodd leverantör av cybersäkerhetstjänster. Efterlevnadscertifieringar och intyg bedöms av oberoende tredjepartsrevisorer, vilket resulterar i certifieringar, revisionsrapporter eller intyg om efterlevnad.

Encryption Consulting upprätthåller certifieringar och bedömningar för efterlevnad av ISO 27001, ISO 27701, SOC och PCI DSS. För certifieringsrapporter eller förfrågningar, vänligen kontakta: [e-postskyddad].

Ledningens engagemang och övergripande säkerhetshantering

Encryption Consultings datasäkerhetsrutiner är grundade i en mogen kontrollmiljö, driven av proaktiv ledningstillsyn och styrelseövervakning. Ansvarsområden är tydligt definierade och kommunicerade i hela organisationen.

Ledningen, inklusive dataskyddsombudet och informationsansvariga (CISO), utvärderar regelbundet risk- och efterlevnadssituationen, med betoning på säkerhet och datasekretess. Personalpolicyer är utformade för att anställa kvalificerade personer, tillhandahålla kontinuerlig utbildning och upprätthålla säkerhetsansvar genom företagspolicyn.

HR-säkerhetsåtgärder

Med förbehåll för lokala lagar och tillgänglighet genomförs bakgrundskontroller och screeningprocesser för anställda och entreprenörer innan åtkomst till känsliga system eller data beviljas.

All personal är skyldig att underteckna standardavtal om sekretess och dataskydd innan de får tillgång till kund- eller skyddade data. Dessa avtal förbjuder obehörigt avslöjande eller missbruk av konfidentiell information.

Anställda omfattas av Encryption Consultings interna policyer, inklusive policyn för acceptabel användning (AUP) och uppförandekod.

Encryption Consulting stärker säkerhetsmedvetenheten genom regelbundna utbildningsprogram, inklusive årlig obligatorisk säkerhetsutbildning om risker, integritet, nätfiske och bästa praxis för säkerhet.

Arbetsstationer är säkrade med standardtekniker som brandväggar, fullständig diskkryptering, antivirusprogram, låsskärmar och MFA för fjärråtkomst.

Bristande efterlevnad av säkerhetspolicyer leder till disciplinära åtgärder för att säkerställa ansvarsskyldighet och efterlevnad.

Change Management

Encryption Consulting upprätthåller ett omfattande program för ändringshantering som styr ändringstyper, dokumentation, granskning av experter, godkännanden och akuta ändringar.

Endast auktoriserade versionshanteringssystem används. Alla ändringar dokumenteras, granskas av oberoende godkännare och testas i isolerade miljöer före driftsättning.

Produktionsmiljöer och icke-produktionsmiljöer är strikt separerade. Versionsinformation publiceras för varje större och mindre utgåva.

Åtkomstkontroll, användar- och behörighetshantering

Encryption Consulting tillämpar strikta åtkomstkontroller i linje med rollbaserade åtkomstprinciper. Åtkomsten är begränsad till vad som är nödvändigt per arbetsfunktion, och behörigheterna granskas och godkänns regelbundet.

Lösenordspolicyer tillämpar krav på komplexitet och historik, särskilt på system som har åtkomst till kunddata.

Ytterligare skydd inkluderar kryptering av bärbara datorer, begränsade administrativa rättigheter och obligatorisk MFA för system som hanterar känsliga data.

Åtkomst till produktionssystem

Produktionsmiljöer skyddas med rigorösa kontroller, inklusive påtvingad MFA och begränsad åtkomst för behörig personal.

Administrativa åtgärder gällande källkontroll, säkerhetskopior och databaser kontrolleras och granskas noggrant.

Fysisk åtkomst och besökare

Tillträde till kontoret är begränsat till behörig personal med säkra inträdesmetoder. Säkerhetsåtgärderna inkluderar larmsystem och bemannade entrépunkter.

Besökare ledsas hela tiden och får inte använda interna nätverk eller utrustning.

Encryption Consulting använder sig av stora molnleverantörer (AWS, GCP, Azure) för hostinginfrastruktur, och förlitar sig på deras certifierade fysiska och operativa kontroller (t.ex. ISO 27001, SOC2, etc.). Datacenter har redundans, övervakning och åtkomstkontroller inklusive biometri och loggning.

Nätverks- och infrastruktursäkerhet

Krypteringskonsulttjänster upprätthåller säkra baskonfigurationer och säkerställer tillämpning genom automatiserade verktyg. All data, både under överföring och i vila, krypteras.

Kunddata används aldrig i testmiljöer. Slutpunkter skyddas med EDR, patchhantering och härdade systemkonfigurationer.

HTTPS med TLS 1.2 eller högre används för kommunikation. All kunddata i vila skyddas via krypteringsmekanismer i flera lager.

För mer information, se Encryption Consultings dokumentation om krypteringsmetodik.

Riskbedömning och sårbarhetshantering

Encryption Consulting implementerar ett formellt riskhanteringsprogram som identifierar och mildrar interna och externa hot.

Hantering av säkerhetsrisker granskas och godkänns årligen som en del av arbetet med att uppfylla kraven i ISO 27001.

Applikationssäkerhet upprätthålls genom regelbundna externa penetrationstester, intern skanning och säkra SDLC-rutiner. Höga och kritiska sårbarheter åtgärdas omedelbart enligt policy, med omtester för att bekräfta åtgärd.

Tidsramar för åtgärd av sårbarheter:

• KritiskSå snart som möjligt, senast 1 vecka
• Hög: ≤ 1 månad
• Medium: ≤ 3 månader
• Låg: ≤ 3 månader

Kunder informeras om sårbarheter som påverkar tjänster eller data via elektroniska medel i enlighet med Avtalet.

Penetrationstestning

Encryption Consulting genomför regelbundna penetrationstester av externa webbapplikationer.

Sammanfattningar eller testresultat kan delas på skriftlig begäran och i enlighet med sekretessavtalet.

Där det krävs enligt regelverk (t.ex. DORA för finansinstitut) kommer Encryption Consulting att delta i kundinitierade penetrationstester om det krävs av tillsynsmyndigheter.

Loggning och övervakning

Krypteringskonsulttjänster loggar kritisk systemaktivitet med både manuella och automatiserade metoder. Loggarna inkluderar användaraktivitet, tidsstämplar, resultat och systeminteraktioner.

Loggdata skyddas mot manipulering, lagras i minst 12 månader (eller längre vid behov) och övervakas med hjälp av centraliserade SIEM- och intrångsdetekterings-/förebyggande system.

Åtkomst till loggarna är strikt kontrollerad och administratörens åtgärder är begränsade för att förhindra radering eller ändring.

Incidenthantering och intrångsmeddelanden

Encryption Consulting upprätthåller en omfattande incidenthanteringsplan som inkluderar detektering, utredning, inneslutning, anmälan och granskning efter incidenten. (Obs: Fortsätt med ditt återstående avsnitt här.)