工作的好地方®研究所有限公司外部安全策略
1.一般业务信息。
本政策旨在帮助向公司外部传达GPTW以及GPTW的网络关联公司和合作伙伴使用的安全政策,并通过引用将其纳入各自的协议中
1.一般业务信息。
GPTW提供评估工作场所文化、绩效、认证和认可的产品和服务,以帮助公司和组织评估和改善他们的工作场所。www.vw033.comGPTW于1998年6月30日在加利福尼亚州注册成立,是一家私营公司。总部位于加州奥克兰市Harrison Street 1999, Suite 2070。
GPTW的FEIN编号为91-1917672,DUNS编号为05 1812683。在过去的5年里,没有针对GPTW的重大索赔或判决,GPTW从未遭受过数据丢失或安全漏洞。
2.保护公司数据的政策。
数据安全对GPTW至关重要。GPTW有健全的政策来管理和保护公司数据。
GPTW调查软件平台(Emprising)是一个托管在Microsoft Azure云上的SaaS应用程序。Emprising应用程序和相关数据托管在一系列虚拟网络中,这些网络完全独立于我们一般的公司网络基础设施。我们的公开网站(www.dragracecity.com)托管在亚马逊AWS云上。
人力资源安全。
GPTW的人力资源部采取了几个步骤来帮助保护公司数据。GPTW对所有求职者进行背景核查,我们的员工必须签署雇佣条款和条件。此外,GPTW每半年为所有员工进行强制性的私隐及保安意识培训。如果有权访问公司数据的GPTW员工已被解雇或在GPTW内改变角色,并保证“访问审查的适当性”,GPTW将通知公司。
数据收集。
GPTW仅收集其预期目的所需的数据,如最佳工作场所认证、最佳工作场所名单、咨询和高信任文化咨询项目、加速领导绩效等。德赢vwin手机www.vw033.com
数据访问。
只有有合法需要的人才可访问公司数据。只有基于工作角色获得授权的GPTW员工才能访问公司数据。调查访问受到控制,因此调查受访者无法看到其他人的回复。对数据进行分区和分离,以便Company用户不能看到其他公司的数据。
访问控制。
GPTW有文件化的入职和退职政策,其中包括正式的用户注册和注销流程,以便分配访问权限、所有用户的唯一id、与信息系统或服务所有者一起定期审查访问权限、管理层对特权访问权限的限制和控制、分配和控制特权访问权限的授权流程、特权访问权限的每月审查、密码要求(如最小长度、复杂度、修改周期、密码历史),以及存储和传输的加密密码。GPTW将在GPTW了解到任何确认或怀疑的公司数据泄漏后72小时内通知公司。执行机制适用于违反隐私政策或保密要求的GPTW员工。为BYOD系统或其他不受信任的设备创建单独的vlan (virtual local area network)。定期扫描未经授权的软件,并在系统上发现该软件时生成警报。
GPTW和网络硬件。
服务器在一个上锁的、气候可控的服务器室中,只有授权人员才能访问。公司数据在传输和存储过程中使用商用双密钥AES 256位加密软件进行加密。具有活动可移动媒体设备的系统配置,以便在插入可移动媒体时对其进行自动反恶意软件扫描。所有进入GPTW电子邮件网关的电子邮件附件都会被扫描,如果电子邮件包含恶意代码或通常认为与恶意软件相关的文件类型,则会被阻止。这种扫描是在电子邮件被放置在用户的收件箱之前完成的,包括过滤电子邮件内容以及电子邮件内容中的嵌入式链接。GPTW从未经历过安全事件(如数据泄露、客户数据丢失或网络入侵)。所有笔记本电脑的硬盘或存储内存都已加密。GPTW支持电子邮件加密(SMTP/TLS或类似的机制)。建立并遵循一个流程,在终止雇佣或合同关系时撤销用户访问权限。除了硬件清单之外,还有信息资产清单,用于标识资产所在的相关硬件资产(例如,服务器)。
网络监控。
管理权限仅限于具有执行管理活动所必需的知识和业务需求的用户。部署了特定于系统的配置管理工具(例如Microsoft Windows环境的活动目录组策略),这些工具会定期自动执行配置设置并将其重新部署到系统。部署自动化工具来持续监控工作站和服务器,以提供主动、最新的反恶意软件保护。这种保护包括适当使用反病毒、反间谍软件和个人防火墙。恶意软件检测事件被发送到企业反恶意软件管理工具和事件日志服务器。我们内部开发的web应用程序在部署之前,无论何时对应用程序进行更新,都会使用自动远程web应用程序扫描仪测试常见的安全弱点,并定期重复进行。测试包括拒绝服务或资源耗尽攻击下的行为。SPF和DKIM是通过在DNS中部署适当的记录并在邮件服务器中启用接收端验证来实现的,通过检测电子邮件欺骗来防止电子邮件垃圾。
GPTW无线网络。
连接到可信员工网络的每个无线设备都与授权的配置和安全配置文件相匹配。所有无线流量都至少使用Wi-Fi Protected Access 2 (WPA2)保护。无线网络使用可扩展认证协议-传输层安全(EAP/TLS)等认证协议。个人拥有的设备连接到从逻辑上与企业网络分离的无线网络。所有注册的设备都必须扫描,并遵循公司的主机加固和配置管理政策。
GPTW备份介质。
通过数据恢复流程,定期对备份介质中的数据进行测试,确保备份过程正常运行。对关键人员进行了备份和恢复流程培训。备用人员也接受了培训,以防主要人员无法使用。备份在存储时以及通过网络传输时通过物理安全或加密得到适当的保护。这包括基于网络的备份和使用基于云的服务。安全擦除/销毁过期备份介质。
GPTW网络设备。
网络设备(如防火墙、路由器、交换机等)是使用GPTW中为使用的每种类型的网络设备定义的标准安全配置构建的。标准安全配置被记录、批准并定期审查。任何与标准配置的偏差或标准配置的更新都应形成文件,并由授权人员批准。在网络互连点(例如,Internet网关、第三方网络连接、具有不同安全控制的内部网段等),实施入口和出口过滤,以只允许具有明确和记录的业务需求的端口和协议。所有其他端口和协议被阻塞。使用加密会话管理网络设备。
GPTW网络防火墙。
基于主机的防火墙应用于端点系统,并包含一个默认拒绝规则,该规则删除除显式允许的服务和端口之外的所有流量。除非出于业务目的需要对Internet或不受信任的网络可见,否则所有系统都放置在一个内部VLAN上,并给定一个私有地址。定期审查内部网络上业务使用所需的网络服务,以再次确认业务需求。为项目或有限业务启用的服务在不再需要并正确记录时将被禁用。关键服务(如DNS、DHCP)在独立的物理或逻辑主机上运行。应用程序防火墙阻止未经授权的流量。
GPTW密码策略。
默认密码(包括应用程序、数据库、操作系统、路由器、防火墙、无线接入点和其他基础设施的密码)会在部署之前更改。管理帐户仅用于系统管理活动,而不用于阅读电子邮件、编写文档或Internet访问等一般业务活动。密码在规定的时间内不能重复使用,这与GPTW的密码策略一致。系统记录与访问控制相关的任何更改(例如,添加或删除用户帐户或与用户相关的特权)。定期检查所有系统帐户。禁用不能与业务流程和所有者关联的任何帐户。所有用户帐户都有一个与该帐户相关联的过期日期。在一段标准的不活动时间后,所有用户都会自动注销。在指定次数的未成功登录尝试之后,用户帐户将被锁定一段指定的时间。多因素身份验证用于所有命名员工帐户。
网络流量控制。
网络周界的设计和实现使得所有到Internet的流出流量必须至少通过一个防火墙或代理。所有远程登录内网的设备均由企业管理,包括远程控制设备配置、安装软件、补丁级别等。实施了内部网络分割方案,将流量限制在GPTW内部网络中业务使用所需的服务上。使用同步时间源(例如,网络时间协议:NTP),所有服务器和网络设备定期从中检索权威的时间信息,以确保日志中的时间戳是一致的。网络边界设备(包括防火墙、入站和出站代理)被配置为记录流量。GPTW已建立并遵循安全数据销毁程序。GPTW建立了书面事件响应计划,其中包括事件管理的角色和职责定义。高级管理人员在事件管理过程中有适当的代表(有投入和决策权)。事件响应计划包括事件分析程序和确定事件是否应升级为事件的标准。程序包括人员的角色和职责,以及内部(如合规、通信、法务、执行团队)和外部(如执法、客户)通知的要求。 GPTW publicly maintains contact information on its website that enables third party members of the public to report an information security incident. Procedures have been developed and disseminated to GPTW personnel related to the mechanisms for identifying and reporting an information security incident. This information is included as part of routine security awareness training.
GPTW网络周期性测试。
网络设计使用了适当的网络分割。企业网络被分割成多个独立的信任区域,以提供更细粒度的系统访问控制和额外的网络边界防御。识别出高严重性或高风险的漏洞后,将以快速的方式进行修复。定期进行外部和内部渗透测试,以识别可用于利用GPTW系统的漏洞和攻击载体。在脆弱性评估中发现的结果将被记录、确定优先级并加以补救。社会工程包括在渗透测试中。关键漏洞以与已建立的补丁管理流程一致的快速方式进行修补。
GPTW变更管理流程。
实施变更管理流程和过程,以管理和控制对生产应用程序和基础设施的变更。管理层在实施之前批准所有更改。应用程序更改在实现之前由开发人员以外的人员进行测试。建立并使用标准的安全操作系统配置。实施补丁管理流程,确保安全补丁发布后及时安装。补丁过程包括整个IT操作环境,包括应用程序、数据库、操作系统、实用程序和网络基础设施。所有远程管理活动都是通过安全通道执行的,这些通道使用适当级别的加密和多因素身份验证。为笔记本电脑的配置控制部署了一个已建立的流程和相关的配置管理基础设施。该过程包括安全远程擦除丢失或被盗的设备。反恶意软件和签名自动更新功能允许管理员在需要时手动将更新部署到所有计算机。 Separate environments are maintained for production and non-production systems. All systems that store logs have adequate storage space for the logs generated on a regular basis (so that log files will not fill up between log rotation intervals). Devices are configured to log access control events associated with a user attempting to access a resource (e.g., a file or directory) without the appropriate permissions. Failed logon attempts are also logged. GPTW uses a secure wipe (multi-pass overwrite) solution to securely delete SLM NPI, PII or proprietary data on hard drives or other media when data retention is no longer required.
软件
内部开发和第三方采购的web和其他应用软件在部署之前会测试编码错误和漏洞。特别是对应用软件的输入验证和输出编码例程进行了仔细的审查和测试。所有源代码都集中管理并保存在源代码存储库中。软件清单工具部署在整个操作环境中,包括使用中的各种设备,包括服务器、工作站和笔记本电脑。软件库存工具记录了软件版本号、补丁级别等相关信息。
政策的评论。
每月审查数据隐私和安全政策。
3.保护公司员工资料的政策
数据收集。
GPTW Emprising™调查和分析软件平台的操作方式是向Emprising上传员工数据文件(EDF),其中包含参与调查的公司员工的电子邮件地址列表,以及(可选)公司员工的预编码人口统计数据等其他信息。EDF可以通过GPTW或公司直接上传到Emprising。当公司调查开始运行时,EDF的电子邮件列表将用于为每个公司员工生成个性化邀请,这是每个公司员工唯一的登录标识符。当公司调查结束时,EDF和包含公司员工调查回复的公司员工数据之间的链接断开,从而将EDF与公司员工数据分离。调查结束后,公司员工数据中不包含公司员工的姓名或电子邮件地址。在公司调查结束后的五个工作日内,GPTW确认调查的功能,并确定EDF的身份。
要处理的公司个人资料的类别和类别载于是次调查的人口统计部分和信任指数问题。如果公司选择在调查回复中包含人口统计数据,则该人口统计数据将成为EDF的一部分,当公司员工使用其唯一登录标识符进行调查时,EDF将填充调查回复。在公司调查结束后,任何人口统计数据仍然是EDF和公司员工数据的一部分。为了保护公司员工数据的机密性,GPTW使用了一种抑制算法。GPTW不会报告在公司人口统计群体中少于五(5)人作出回应的评估结果。个性化邀请解释说,这项调查的结果将被用于确定公司是否能够获得最佳工作场所认证,是否有资格进入GPTW最佳工作场所名单,并有可能在我们的最佳工作场所评论网站上发布对您工作场所的公正评论。德赢vwin手机公司员工应得到保证,他们的参与是完全保密和自愿的。调查回复直接提交给GPTW。除了回答陈述外,还有两个开放式问题,要求考生以作文形式回答。公司可以选择增加额外的开放式问题。 The Company Employee is advised that should they choose to use their name or the names of others in the essay style responses to the open-ended questions, they will appear verbatim and the Company may read them. Comments you supply may also be quoted in GPTW articles or reviews, but they will never be associated with your name or other personally identifying information.
公司个人数据处理的性质、目的、主题和持续时间是收集公司员工调查数据,用于科学和历史研究的处理和存档,以及用于评估工作场所文化、绩效和认证的统计目的,以协助组织评估和改善其工作场所。这种确切的语言在GDPR第89条中可以找到。
GPTW采取符合行业标准的商业合理努力收集、传输、存储、保护和维护通过服务获得的数据和公司数据。GPTW声明并保证,在处理过程中或客户的约定期限内,其遵守欧盟(EU) 2016年通用数据保护条例(GDPR), 2018年加州消费者隐私法AB 375 (CCPA)。本保证载于GPTW产品和服务协议第8条(数据隐私),该条款规定了与GPTW客户的约定条款,GPTW主页底部有以下链接://www.dragracecity.com/products-services-agreement
根据GDPR的建议,GPTW设有全职首席数据保护官(CDPO)和员工,以确保遵守所有数据保护法律。CDPO直接向GPTW的CEO报告。GPTW还聘请了全职认证信息隐私从业人员(CIPP)和由国际隐私专业人员协会(www.iapp.org)管理的NIST标准认证的员工。
数据访问。
只有有合法需要的人才可访问公司数据。只有基于工作角色获得授权的GPTW员工才能访问公司数据。调查访问受到控制,因此调查受访者无法看到其他人的回复。数据是分开和分区的,这样Company用户就不能看到其他公司的数据。
4.数据流程图。
GPTW认证流程数据流程图:www.vw033.com
5.数据隐私。
GPTW设有全职首席数据保护官(CDPO)和员工,以确保遵守这些政策。CDPO直接向GPTW的CEO报告。GPTW还聘请了一名全职信息隐私认证从业人员(CIPP),该从业人员由国际隐私专业人员协会(www.iapp.org)认证,其证书由美国国家标准协会(ANSI)根据国际标准化组织(ISO)标准17024:2012认证。ANSI是一个国际知名的认证机构,负责评估和认证符合严格标准的认证项目。www.vw033.comANSI的人员认证认可计划是美国第www.vw033.com一个符合ISO/IEC 17011要求的此类计划,该计划代表了认可机构实践的全球基准。
GPTW符合欧盟(EU) 2016年《通用数据保护条例》(GDPR)、2018年加州消费者保护法AB 375 (CCPA)、亚太经济合作组织(APEC)跨境隐私规则。GPTW还通过了美国/欧盟和美国/CH隐私盾认证。本协议包含2010/87年欧盟委员会决定标准合同条款中列举的所有条款。GPTW收集数据用于科学和历史研究的处理和存档,以及用于评估工作场所文化、绩效和认证的统计目的,以协助组织评估和改善其工作场所。这种确切的语言在GDPR第89条中可以找到。要处理的公司个人资料的类别和类别载于调查的人口统计部分和信任指数问题。GPTW不会向任何第三方出售个人资料。
就服务而言,GPTW可能在美国或其他司法管辖区接收、处理和存储个人数据。GPTW收到的个人资料将受到GPTW的保护,如上文所述。如果在向GPTW转移个人信息之前需要获得任何个人的同意,公司有责任获得任何受影响个人的同意。上述同意需要自由、具体、知情、明确,并通过声明或明确的平权行动予以同意。
作用域的数据
GPTW有一个针对范围数据的数据分类和保留程序,该程序可以识别需要额外管理和治理的数据类型。GPTW有一个文件化的响应程序,以解决隐私事件、未经授权的披露或对范围数据的破坏。范围数据不会披露给美国境内或境外的第三方。GPTW有一个文件化的隐私计划,包括保护范围数据的管理、技术和物理保障措施,包括使用加密工具。
合规和事件响应
所有隐私投诉和隐私事件都由法律事务总监指导和回应。执行机制适用于违反隐私或保密政策的GPTW员工。
6.关于数据所有权和使用的政策。
公司数据
公司数据指公司提供给GPTW的专有数据和信息,以便GPTW作为服务的一部分进行评估(例如,向参与者分发调查所需的人口统计和公司信息(如电子邮件地址、员工ID和其他个人身份信息)以及公司为文化审核提供给GPTW的数据)。为免生疑问,公司数据不包括以下定义的汇总数据或原始数据。公司数据和所有知识产权仍然是公司的独家财产。GPTW将仅为执行服务而使用公司数据,且使用方式应与提供给GPTW或随后授权使用该等公司数据的目的相一致,GPTW将确保公司数据中包含的任何个人数据得到妥善维护和保护。
聚合数据和原始数据
汇总数据是指(a) GPTW根据本协议交付给公司的任何报告中所包含的公司特定信息、数据和内容;以及(b)源自原始数据并由GPTW根据本协议交付给订约公司的任何其他汇总数据。为免生疑问,汇总数据不包括任何原始数据或公司数据。原始数据是指GPTW从公司和公司员工那里收到的保密和匿名回复,涉及的内容包括:信任指数调查和/或文化审计、文化简报、焦点小组以及GPTW根据本协议管理的一对一访谈。为免生疑问,原始数据不包括任何汇总数据或公司数据。通过所提供的服务获得的原始数据和汇总数据以及所有知识产权是并将继续是GPTW的专有财产。GPTW不会向公司提供原始数据,以保护公司受访者的机密性。GPTW仅打算将汇总数据用于GPTW的内部目的,包括但不限于基准测试、创建最佳实践和其他研发目的。在未事先获得公司书面许可的情况下,GPTW不会与任何第三方共享关于公司结果的非匿名、公司特有的信息(即,数据不打算与公司或任何公司员工个人有关)。这并不适用于任何最佳工作场所榜单。德赢vwin手机 Reports provided by GPTW to Company may be distributed internally by Company, but any external distribution requires prior written approval from GPTW which will not be unreasonably withheld. Aggregate Data and Raw Data are collectively referred to as Data herein.
知识产权
GPTW知识产权以及其中的所有知识产权仍将是GPTW或其关联被许可方的独家财产。由于双方的协议,本公司并未获得任何GPTW知识产权的任何权利。未经GPTW事先书面批准(GPTW可自行决定予以拒绝),本公司不得在协议期限内以除收到服务以外的任何方式使用或重复使用任何GPTW知识产权(包括在本协议范围之外的任何内部或与其他供应商进行的任何调查中)。
保密
本公司向GPTW提供的或GPTW作为接收方以其他方式获得的与本公司或其客户或与本公司有关的任何个人、商号、公司或组织的业务或运营有关的所有信息,均将被GPTW视为机密,未经本公司事先书面同意,GPTW不会向第三方披露该等信息。双方承认并同意,本公司的保密信息不包括原始数据(Raw Data)和汇总数据(Aggregate Data),后者是GPTW的保密信息。
7.操作安全。
GPTW在运营安全方面制定了以下政策:
- 检测,预防和恢复控制,以防止恶意软件。
- 禁止GPTW员工使用未经授权的软件的正式政策。
- 定义组织对信息、软件和系统备份需求的既定过程。
8.通信安全。
GPTW制定了以下有关通信安全的政策:
- 防火墙保护所有系统和互联网连接。
- VPN和/或加密敏感信息,否则将通过公共网络。
- 命名员工帐户的双重身份验证
9.系统获取、开发和维护。
作为GPTW信息安全要求的一部分,我们包括对新信息系统或现有信息系统的增强的信息安全要求,在开发生命周期内对系统的所有更改使用正式的变更控制流程,对所有软件更新保持版本控制,并通过仅限制必要的更改来限制和控制对软件包的修改。
10.物理安全。
GPTW执行定义的安全边界,以保护公司的敏感或关键信息和信息处理设施。作为这一执法行动的一部分,GPTW已限制只有授权人员才能进入其场地和建筑物,并在适用情况下设置了物理障碍,以防止未经授权的物理访问和环境污染。GPTW亦将我们自己管理的资讯处理设施与外方管理的设施分开,并实施物理访问控制,以保护安全区域,确保只有获得授权的人员才能进入。只有获得授权的个人才能进入处理或存储机密信息的区域。在安全区域限制使用摄影、视频、音频和其他记录设备,例如移动设备中的摄像头。GPTW制定并实施了清晰的办公桌和屏幕政策。
11.供应商的关系。
GPTW制定了供应商关系的文件化政策,并维护了我们使用的所有供应商的列表。
12.资产管理。
GPTW有一个文件化的资产管理程序,并维护一个准确的、最新的、与其他库存保持一致的资产清单。此外,GPTW有文件化的可接受使用政策。GPTW的终止程序包括归还GPTW拥有的所有先前发行的实物和电子资产。
GPTW有一个处理媒体和敏感信息的安全流程。
13.遵从性。
GPTW保存了组织所需的适用立法、法定、法规和合同要求的清单。GPTW每年对信息安全进行独立审查,并定期进行技术合规性审查。
2021年4月16日