Меры безопасности
Настоящий документ представляет собой положение о технических и организационных мерах, реализуемых ООО «Экзодрайв» (далее — «Экзодрайв») для защиты данных клиентов на «UB-Insurance» (далее — «Платформа»).
Организация информационной безопасности
Система управления информационной безопасностью
Экзодрайв поддерживает систему управления информационной безопасностью, которая включает в себя принятие и применение внутренних политик и процедур, направленных на минимизацию рисков информационной безопасности для клиентских данных.
Безопасность человеческих ресурсов
Скрининг
Экзодрайв проверяет и верифицирует информацию обо всех кандидатах на трудоустройство.
Обучение
Экзодрайв требует от всех сотрудников и подрядчиков применять меры информационной безопасности в соответствии с установленными правилами и процедурами в компании.
Экзодрайв проводит обучение сотрудников по вопросам надлежащего обращения с данными клиентов.
Прекращение или смена работы
Экзодрайв определяет, доводит до сведения своих сотрудников и подрядчиков и добивается выполнения тех обязанностей по обеспечению информационной безопасности, которые остаются в силе после увольнения или смены места работы.
Управление активами
Возвращение активов
Сотрудники Экзодрайв возвращают все организационные активы, находящиеся в их распоряжении, после прекращения трудового договора.
Управление доступом
Политика управления доступом
У Экзодрайв есть политика, которая гарантирует, что только авторизованные лица имеют доступ к объектам, защищенным зонам, а также вычислительным и сетевым ресурсам.
Доступ к сетям и системам
Доступ к сетям и системам Экзодрайв предоставляется только уполномоченным сотрудникам.
Руководство Экзодрайв обязано утверждать доступ каждого сотрудника ко всем объектам, защищенным зонам и вычислительным и сетевым ресурсам.
Экзодрайв ограничивает права доступа каждого пользователя минимальным набором прав, необходимым для выполнения его работы, и только на необходимое время.
Экзодрайв предоставляет доступ к исходному коду только уполномоченным лицам в соответствии с политикой безопасности
Проверка прав доступа пользователей
Экзодрайв ежегодно пересматривает все права доступа пользователей.
Отзыв или корректировка прав доступа
Экзодрайв отзывает права доступа к информации и системам для всех сотрудников, прекращающих работу в компании, и корректирует — при изменениях круга их ответственности.
Качество паролей
Экзодрайв обеспечивает качественные пароли в своих системах управления паролями. Проверки включают минимальную длину пароля, количество классов символов и максимальный срок действия.
Физическая безопасность и безопасность среды
Физический периметр безопасности
Экзодрайв определяет периметры безопасности и использует их для защиты мест, содержащих конфиденциальную или критическую информацию, а также средства обработки информации.
Контроль физического доступа
У Экзодрайв есть надлежащие средства контроля физического доступа, которые позволяют гарантировать, что доступ разрешен только авторизованному персоналу.
Безопасность данных и управление жизненным циклом информации
Безопасность передачи данных
Экзодрайв защищает всю информацию клиентов, которая передается по общедоступным сетям, с использованием протокола TLS.
Разработка и обслуживание информационных систем
Жизненный цикл разработки систем
В Экзодрайв есть документированный жизненный цикл разработки систем, который регулирует разработку и развертывание систем и приложений.
Требования информационной безопасности
Экзодрайв включает требования, связанные с информационной безопасностью, в требования к новым информационным системам и усовершенствованиям существующих информационных систем.
Процедуры контроля изменения системы
Экзодрайв контролирует изменения в системах в рамках жизненного цикла разработки с помощью формальных процедур контроля изменений, которые включают в себя обзор архитектуры безопасности.
Тестирование информационной безопасности
Экзодрайв проводит регулярное фаззинг-тестирование, тестирование на проникновение и сканирование уязвимостей, чтобы обнаруживать, смягчать и решать проблемы безопасности в облачной платформе.
Безопасная среда разработки
Экзодрайв создает и надлежащим образом защищает среды для разработки и интеграции систем, во всем жизненном цикле разработки систем.
Экзодрайв разделяет среды разработки, тестирования и продакшн-среду.
Управление уязвимостями
Экзодрайв выполняет регулярные сканирования уязвимостей предпроизводственных, открытых в интернет систем и сетевых устройств перед перемещением этих систем / устройств в производство.
Экзодрайв устраняет все обнаруженные уязвимости до перехода этих систем в производство.
Непрерывность работы и аварийное восстановление
Избыточность
Экзодрайв использует механизмы резервирования для всех критических сервисов.
Экзодрайв работает в нескольких территориально распределенных дата-центрах, предназначенных для работы 24x7 и защищенных от различных угроз окружающей среды.
Экзодрайв использует избыточность хранилищ данных, которая позволяет восстановить данные клиентов в случае выхода из строя оборудования.
Тесты
Экзодрайв регулярно тестирует свои планы обеспечения непрерывности работы и аварийного восстановления.
Обзор информационной безопасности
Самостоятельная оценка
Экзодрайв регулярно проверяет свои информационные системы на соответствие политике и стандартам информационной безопасности компании.
Экзодрайв оценивает и пересматривает свой подход к управлению и реализации информационной безопасности с запланированной регулярностью или при возникновении существенных изменений.
Система управления информационной безопасностью
Экзодрайв поддерживает систему управления информационной безопасностью, которая включает в себя принятие и применение внутренних политик и процедур, направленных на минимизацию рисков информационной безопасности для клиентских данных.
Безопасность человеческих ресурсов
Скрининг
Экзодрайв проверяет и верифицирует информацию обо всех кандидатах на трудоустройство.
Обучение
Экзодрайв требует от всех сотрудников и подрядчиков применять меры информационной безопасности в соответствии с установленными правилами и процедурами в компании.
Экзодрайв проводит обучение сотрудников по вопросам надлежащего обращения с данными клиентов.
Прекращение или смена работы
Экзодрайв определяет, доводит до сведения своих сотрудников и подрядчиков и добивается выполнения тех обязанностей по обеспечению информационной безопасности, которые остаются в силе после увольнения или смены места работы.
Управление активами
Возвращение активов
Сотрудники Экзодрайв возвращают все организационные активы, находящиеся в их распоряжении, после прекращения трудового договора.
Управление доступом
Политика управления доступом
У Экзодрайв есть политика, которая гарантирует, что только авторизованные лица имеют доступ к объектам, защищенным зонам, а также вычислительным и сетевым ресурсам.
Доступ к сетям и системам
Доступ к сетям и системам Экзодрайв предоставляется только уполномоченным сотрудникам.
Руководство Экзодрайв обязано утверждать доступ каждого сотрудника ко всем объектам, защищенным зонам и вычислительным и сетевым ресурсам.
Экзодрайв ограничивает права доступа каждого пользователя минимальным набором прав, необходимым для выполнения его работы, и только на необходимое время.
Экзодрайв предоставляет доступ к исходному коду только уполномоченным лицам в соответствии с политикой безопасности
Проверка прав доступа пользователей
Экзодрайв ежегодно пересматривает все права доступа пользователей.
Отзыв или корректировка прав доступа
Экзодрайв отзывает права доступа к информации и системам для всех сотрудников, прекращающих работу в компании, и корректирует — при изменениях круга их ответственности.
Качество паролей
Экзодрайв обеспечивает качественные пароли в своих системах управления паролями. Проверки включают минимальную длину пароля, количество классов символов и максимальный срок действия.
Физическая безопасность и безопасность среды
Физический периметр безопасности
Экзодрайв определяет периметры безопасности и использует их для защиты мест, содержащих конфиденциальную или критическую информацию, а также средства обработки информации.
Контроль физического доступа
У Экзодрайв есть надлежащие средства контроля физического доступа, которые позволяют гарантировать, что доступ разрешен только авторизованному персоналу.
Безопасность данных и управление жизненным циклом информации
Безопасность передачи данных
Экзодрайв защищает всю информацию клиентов, которая передается по общедоступным сетям, с использованием протокола TLS.
Разработка и обслуживание информационных систем
Жизненный цикл разработки систем
В Экзодрайв есть документированный жизненный цикл разработки систем, который регулирует разработку и развертывание систем и приложений.
Требования информационной безопасности
Экзодрайв включает требования, связанные с информационной безопасностью, в требования к новым информационным системам и усовершенствованиям существующих информационных систем.
Процедуры контроля изменения системы
Экзодрайв контролирует изменения в системах в рамках жизненного цикла разработки с помощью формальных процедур контроля изменений, которые включают в себя обзор архитектуры безопасности.
Тестирование информационной безопасности
Экзодрайв проводит регулярное фаззинг-тестирование, тестирование на проникновение и сканирование уязвимостей, чтобы обнаруживать, смягчать и решать проблемы безопасности в облачной платформе.
Безопасная среда разработки
Экзодрайв создает и надлежащим образом защищает среды для разработки и интеграции систем, во всем жизненном цикле разработки систем.
Экзодрайв разделяет среды разработки, тестирования и продакшн-среду.
Управление уязвимостями
Экзодрайв выполняет регулярные сканирования уязвимостей предпроизводственных, открытых в интернет систем и сетевых устройств перед перемещением этих систем / устройств в производство.
Экзодрайв устраняет все обнаруженные уязвимости до перехода этих систем в производство.
Непрерывность работы и аварийное восстановление
Избыточность
Экзодрайв использует механизмы резервирования для всех критических сервисов.
Экзодрайв работает в нескольких территориально распределенных дата-центрах, предназначенных для работы 24x7 и защищенных от различных угроз окружающей среды.
Экзодрайв использует избыточность хранилищ данных, которая позволяет восстановить данные клиентов в случае выхода из строя оборудования.
Тесты
Экзодрайв регулярно тестирует свои планы обеспечения непрерывности работы и аварийного восстановления.
Обзор информационной безопасности
Самостоятельная оценка
Экзодрайв регулярно проверяет свои информационные системы на соответствие политике и стандартам информационной безопасности компании.
Экзодрайв оценивает и пересматривает свой подход к управлению и реализации информационной безопасности с запланированной регулярностью или при возникновении существенных изменений.
ООО "Экзодрайв"
Адрес размещения в сети «Интернет»: https://exodrive.tech/legal/security-terms
Дата размещения версии документа: 1 августа 2022 г.
Дата вступления в силу версии документа: 1 августа 2022 г.
Дата размещения версии документа: 1 августа 2022 г.
Дата вступления в силу версии документа: 1 августа 2022 г.