菜单

绝佳的工作场所®Institute,Inc。外部安全政策

表的内容

1.通用业务信息。
2.保护公司数据的政策。
3.保护公司员工数据的政策。
4.数据流图。
5.数据隐私。
6.关于数据所有权和使用的政策。
7.运营安全。
8.通信安全。
9.系统采集,开发和维护。
10.物理安全。
11.供应商的关系。
12.资产管理。
13.遵从性。

该政策旨在帮助外部通信,以便在外部沟通GPTW使用的安全政策以及GPTW的网络附属公司和合作伙伴,并通过参考纳入各自的协议

1.通用业务信息。

GPTW提供评估工作场所文化、绩效、认证和认可的产品和服务,以帮助公司和组织评估和改善他们的工作场所。www.vw033.comGPTW于1998年6月30日在加利福尼亚州注册成立,是一家私人控股公司。总部位于加利福尼亚州奥克兰市哈里森街1999号2070室。

GPTW的FEIN号码是91-1917672,DUNS号码是05 1812683。在过去的5年里,GPTW没有任何重大的索赔或判决,GPTW从未遭受过数据丢失或安全漏洞。

2.保护公司数据的政策。

数据安全对GPTW至关重要。GPTW有健全的政策来管理和保护公司数据。

GPTW调查软件平台(“Emprising”)是一个托管在微软Azure云中的SaaS应用程序。Emprising应用程序和相关数据托管在一系列虚拟网络中,这些虚拟网络与我们一般的企业网络基础设施完全分离。本署的公共网页(www.dragracecity.com.)托管在亚马逊AWS云上。

人力资源安全。
GPTW的人力资源需要几个步骤来帮助保护公司数据。GPTW对所有候选人进行背景验证检查,我们的员工必须签署就业条款和条件。此外,GPTW为所有员工进行强制性半年度隐私和安全意识培训。如果有权访问公司数据的GPTW员工已经终止或更改了GPTW中的角色,则GPTW将通知公司,这是保证“访问审核的适当性”中的角色。

数据采集​​。
GPTW仅收集其预期目的所需的数据,如伟大的工作场所认证,最佳工作场所列表,咨询和高信任文化咨询参与,加速领导性能等。德赢vwin手机www.vw033.com

数据访问。
只有有合法需要的人才能访问公司数据。公司数据仅由基于作业角色授权的GPTW员工访问。对调查访问进行控制,以便调查受访者不能看到另一个人的回答。对数据进行分区和分离,使Company用户无法看到其他公司的数据。

访问控制。
GPTW有一个文档的onboard和obboarding策略,包括一个正式的用户注册和解除注册过程,以便启用所有用户的访问权限,唯一ID,与信息系统或服务的所有者对访问权限的定期审查,限制和控制管理权限的权限访问权限,一个授权进程分配和控制特权访问权限,每月审查特权访问权限,密码要求(例如存储和传输中的加密密码和加密密码的密码要求(例如最小长度,复杂性,周期性)和加密密码。GPTW将在72小时内从GPTWEMACE意识到任何确认或疑似公司数据泄漏的通知公司。执法机制适用于违反隐私政策或机密性要求的GPTW雇员。为Byod系统或其他不受信任的设备创建单独的虚拟局域网(VLAN)。对未经授权的软件执行常规扫描,并在系统上发现时生成警报。

GPTW和网络硬件。
在办公场所,服务器是在一个上锁的、气候控制的服务器室,只有授权人员才能进入。公司数据在传输和存储中使用商用双密钥AES 256位加密软件进行加密。具有活动可移动媒体设备的系统配置,以便在插入可移动媒体时对其进行自动反恶意软件扫描。所有进入GPTW电子邮件网关的电子邮件附件都会被扫描,如果电子邮件包含恶意代码或通常已知与恶意软件相关的文件类型,则会被拦截。扫描是在电子邮件放入用户的收件箱之前完成的,包括过滤电子邮件内容以及电子邮件内容中的嵌入链接。GPTW从未经历过安全事件(如数据泄露、客户数据丢失或网络入侵)。所有笔记本电脑的硬盘或存储内存都是加密的。GPTW支持电子邮件加密(SMTP/TLS,或类似的机制)。建立并遵循一个流程,在雇佣关系或合同关系终止时撤销用户访问权。除了硬件清单之外,还有一个信息资产清单,它标识资产所在的相关硬件资产(例如服务器)。

GPTW网络监控。
管理权限仅限于具有执行管理活动所需的知识和业务需要的用户。系统特定的配置管理工具(例如Microsoft Windows环境的Active Directory Group Policy)被部署,这些工具会定期执行并重新部署配置设置到系统。自动化工具被部署到持续监控工作站和服务器,以提供活跃的、最新的反恶意软件保护。此保护包括适当使用反病毒、反间谍软件和个人防火墙。恶意软件检测事件被发送到企业反恶意软件管理工具和事件日志服务器。我们内部开发的web应用程序在部署之前,无论何时对应用程序进行更新,都会使用自动远程web应用程序扫描仪对常见的安全弱点进行测试,并定期进行测试。测试包括拒绝服务或资源耗尽攻击下的行为。SPF和DKIM的实现是通过在DNS中部署适当的记录,并在邮件服务器中启用接收端验证,通过检测电子邮件欺骗来防止垃圾邮件。

GPTW无线网络。
每个连接到可信员工网络的无线设备都匹配一个授权的配置和安全配置文件。所有无线通信都至少利用了Wi-Fi Protected Access 2 (WPA2)保护。无线网络使用认证协议,如可扩展认证协议-传输层安全(EAP/TLS)。个人拥有的设备连接到一个从逻辑上与企业网络分离的无线网络。所有注册设备都需要进行扫描,并按照公司的策略进行主机加固和配置管理。

GPTW备份媒体。
通过执行数据恢复过程,定期测试备份介质上的数据,以确保备份过程正常工作。主要人员培训备份和恢复过程。备用人员也接受培训,以便在主要人员不可用。当存储时,通过物理安全性或加密,以及在网络上传输时,通过物理安全性或加密正确保护备份。这包括基于网络的备份和使用基于云的服务。寿命结束备份媒体被安全地删除/销毁。

GPTW网络设备。
使用在GPTW中使用的每种类型的网络设备定义的标准安全配置,建立网络设备(例如,防火墙,路由器,交换机等)。记录,批准和定期审查标准安全配置。通过标准配置的任何偏差或对标准配置的更新被授权人员记录和批准。在网络互连点(例如,Internet网关,第三方网络连接,具有不同安全控制等的内部网段),实现了入口和出口滤波,以仅允许具有显式和文档业务需求的端口和协议。所有其他端口和协议都被阻止。使用加密会话管理网络设备。

GPTW网络防火墙。
基于主机的防火墙应用于端点系统,并包含一个默认拒绝规则,该规则将丢弃除显式允许的服务和端口之外的所有流量。除非出于商业目的需要对Internet或不可信的网络可见,否则所有系统都放置在一个内部VLAN上,并给出一个私有地址。定期检讨内部网络上的业务使用所需的网络服务,以再次确认业务需要。为项目或有限的约定启用的服务在不再需要并正确记录它们时被禁用。关键服务(例如,DNS、DHCP)在独立的物理或逻辑主机上运行。应用程序防火墙阻止未经授权的通信。

GPTW密码策略。
在部署之前更改默认密码(包括应用程序,数据库,操作系统,路由器,防火墙,无线接入点和其他基础架构)。管理帐户仅用于系统管理活动,而不是用于阅读电子邮件,撰写文件或Internet访问等一般业务活动。密码无法重复使用定义的时间段,与GPTW的密码策略一致。系统记录与访问控制相关的任何更改(例如,添加或删除与用户关联的用户帐户或权限)。定期审查所有系统帐户。禁用无法与业务流程和所有者关联的任何帐户。所有用户帐户都有与帐户关联的到期日期。所有用户在标准不活动时期自动注销。在已定义数量的不成功登录尝试后,用户帐户被锁定为已定义的时间段。多因素身份验证用于所有命名员工帐户。

GPTW网络流量控制。
网络边界的设计和实现使所有出站到Internet的流量必须通过至少一个防火墙或代理。企业对所有远程登录到内部网络的设备进行管理,包括远程控制设备配置、安装软件和补丁级别。已经实现了一个内部网络分段方案,将流量限制在跨GPTW内部网络的业务使用所需的服务上。同步时间源(如Network time Protocol: NTP)是所有服务器和网络设备定期从其获取权威的时间信息,以确保日志中的时间戳是一致的。网络边界设备(包括防火墙、入站和出站代理)被配置为记录流量。GPTW已经建立并遵循安全数据销毁程序。GPTW已经建立了书面的事件响应计划,其中包括事件管理的角色和责任的定义。高级管理人员在事件管理过程中有适当的代表(具有输入和决策权力)。事件响应计划包括分析事件的程序和确定事件是否应升级为事件的标准。程序包括人员的角色和职责,以及内部(如合规、沟通、法律、执行团队)和外部(如执法、客户)通知的要求。 GPTW publicly maintains contact information on its website that enables third party members of the public to report an information security incident. Procedures have been developed and disseminated to GPTW personnel related to the mechanisms for identifying and reporting an information security incident. This information is included as part of routine security awareness training.

GPTW网络周期性测试。
网络设计中使用了适当的网络分段。企业网络被划分为多个独立的信任区域,以提供更细粒度的系统访问控制和额外的网络边界防御。识别为高严重程度或高风险的漏洞后,将迅速对其进行补救。定期进行外部和内部渗透测试,以确定可用于利用GPTW系统的漏洞和攻击向量。对脆弱性评估中确定的结果进行了记录、优先排序和补救。渗透测试包括社会工程。关键漏洞以与建立的补丁管理过程一致的快速方式进行修补。

GPTW改变管理过程。
实施更改管理流程和程序,以管理和控制生产应用程序和基础架构的更改。管理层批准实施前的所有变更。在实施之前,通过开发人员以外的工作人员测试申请更改。建立并使用标准安全操作系统配置。实现补丁管理进程,以确保在其发布后及时安装安全修补程序。修补过程包括IT操作环境,包括应用程序,数据库,操作系统,实用程序和网络基础架构。所有远程管理活动都在通过安全频道执行所有使用适当级别的加密和多因素身份验证的安全频道。部署了既定的进程和关联的配置管理基础架构,用于笔记本电脑的配置控制。该过程包括丢失或被盗设备的安全远程擦拭。反恶意软件软件和签名自动更新功能允许管理员在需要时手动将更新部署到所有计算机。 Separate environments are maintained for production and non-production systems. All systems that store logs have adequate storage space for the logs generated on a regular basis (so that log files will not fill up between log rotation intervals). Devices are configured to log access control events associated with a user attempting to access a resource (e.g., a file or directory) without the appropriate permissions. Failed logon attempts are also logged. GPTW uses a secure wipe (multi-pass overwrite) solution to securely delete SLM NPI, PII or proprietary data on hard drives or other media when data retention is no longer required.

软件
在部署之前测试内部开发和第三方采购的网络和其他应用软件用于编码错误和漏洞。特别地,仔细审查和测试应用软件的输入验证和输出编码程序。所有源代码都是集中管理和保留在源代码存储库中的。在整个操作环境中部署了软件库存工具,这些操作环境涵盖了各种设备,包括服务器,工作站和笔记本电脑。软件清单工具记录相关信息,如软件版本号和补丁级别。

政策的评论。
每月检查数据隐私和安全政策。

3.保护公司员工数据的政策

数据采集​​。
GPTW Emprising™调查和分析软件平台通过向Emprising上载员工数据文件(EDF)来运行,该文件包含接受调查的公司员工的电子邮件地址列表,以及公司员工的其他信息(如预编码人口统计数据等)。EDF可由GPTW上传或由公司直接上传至Emprising。当公司调查开始运行时,使用来自EDF的电子邮件列表为每个公司员工生成个性化邀请,这是每个公司员工唯一的登录标识符。当公司调查结束时,法国电力公司和包含公司员工调查答复的公司员工数据之间的链接断开,这将使法国电力公司与公司员工数据分离。调查结束后,公司员工数据不包含公司员工的姓名或电子邮件地址。在公司调查结束后的五个工作日内,GPTW确认调查的功能,并确定EDF。

有关要处理的公司个人数据的类型和类别将在调查的人口部分和信任指数问题中找到。如果公司选择在调查响应中包含人口统计数据,那么当公司员工使用唯一登录标识符进行调查时,人口统计数据将成为EDF的一部分,然后当公司员工使用其唯一登录标识时填充调查响应。公司调查结束后,任何人口统计数据都仍然是EDF和公司员工数据的一部分。为了保护公司员工数据的机密性,GPTW使用抑制算法。GPTW将不会报告少于五(5)人在公司人口组中的评估结果。个性化邀请解释说,本调查的结果将用于确定公司是否可以是工作认证的好地方,有资格在其中一个GPTW最佳工作场所列表中,并可能发布对您的工作场所的无偏见审查德赢vwin手机工作审查网站的好地方。公司员工保证,他们的参与是完全保密和自愿的。调查响应直接到了GPTW。除了响应陈述外,还有两个开放式问题,征求论文风格响应。 The Company has the option to add additional open-ended questions. The Company Employee is advised that should they choose to use their name or the names of others in the essay style responses to the open-ended questions, they will appear verbatim and the Company may read them. Comments you supply may also be quoted in GPTW articles or reviews, but they will never be associated with your name or other personally identifying information.

本公司个人数据处理的性质和目的以及处理的主题和持续时间是收集公司员工调查数据,以便处理和归档科学和历史研究目的,统计目的评估工作场所文化,绩效和认可,以协助组织在评估和改进他们的工作场所。在GDPR第89条中发现了这种确切的语言。

GPTW采用与行业标准一致的商业合理努力收集,传输,存储,保护和维护通过服务获得的数据和公司数据。GPTW代表和认证,在处理期间或客户的参与期间,它遵守欧盟(欧盟)2016年一般数据保护法规(GDPR),2018年AB 375(CCPA)的加州消费者隐私法案。该保修在GPTW产品和服务协议的第8节(数据隐私)中表示,该协议的第8节(数据隐私)管辖与GPTW客户端的参与条款,其中包括GPTW主页底部的以下链接:https://www.greatplacetowork。COM /产品服务 - 服务协议

正如在GDPR所建议的那样,GPTW维护全职首席数据保护官(CDPO)和工作人员,以确保遵守所有数据保护法。cpo直接向GPTW的CEO报告。GPTW还聘请全职认证信息隐私从业者(CIPP)和工作人员,由国际隐私专业人员协会在www.iapp.org提供的NIST标准下认证。

数据访问。
只有有合法需要的人才能访问公司数据。公司数据仅由基于作业角色授权的GPTW员工访问。对调查访问进行控制,以便调查受访者不能看到另一个人的回答。数据被分离和分区,使公司用户不能看到其他公司的数据。

4.数据流图。

GPTW认证过程的数据流程图:www.vw033.com

dataflow2.
5.数据隐私。

GPTW有一个全职的首席数据保护官(cpo)和员工,以确保遵守这些政策。cpo直接向GPTW的CEO报告。GPTW还雇佣了一名全职的认证信息隐私从业者(CIPP),该从业者由国际隐私专业人士协会(www.iapp.org)认证,其证书由国际标准化组织(ISO)标准17024:2012下的美国国家标准协会(ANSI)认证。ANSI是一个国际公认的认证机构,它对符合严格标准的认证项目进行评估和认证。www.vw033.comANSI的人员认证认可计划是美国第www.vw033.com一个满足ISO/IEC 17011要求的人员认证认可计划,ISO/IEC 17011代表了认证机构实践的全球基准。

GPTW符合欧洲联盟(欧盟)2016年一般数据保护法规(GDPR),2018年AB 375(CCPA),亚太经济合作(APEC)跨境隐私规则。GPTW还在美国/欧盟和美国/盟隐私盾牌下获得认证。本协议纳入了2010/87欧洲委员​​会决策标准合同条款中所述的所有条款。GPTW收集处理和归档科学和历史研究目的的数据和统计目的,评估工作场所文化,绩效和认证,以协助组织在评估和改进工作场所。在GDPR第89条中发现了这种确切的语言。公司个人数据的类型和类别在调查的人口部分和信任指数问题中找到。GPT不会向任何第三方出售个人数据。

与服务有关,GPTW可能会在美国或其他司法管辖区内接收,流程和存储个人数据。GPTW收到的个人数据将受到GPTW的保护,如上述部分所述。如果在将个人信息转移到GPTW之前需要获得任何个人的同意,公司负责获得任何受影响个人的同意。所述同意需要通过陈述或明确的肯定行动自由地赋予,具体,知情,明确的和给出。

范围数据
GPTW具有用于范围数据的数据分类和保留程序,该数据标识需要额外的管理和治理的数据类型。GPTW有一个记录的响应计划,可以解决隐私事件,未经授权的披露或违反范围数据。范围数据没有向美国内部或外部披露第三方。GPTW有一个文档的隐私计划,具有管理,技术和物理安全措施,用于保护范围数据,包括使用加密工具。

合规性和事件响应
所有隐私投诉和隐私事件是由法律事务署署长指导和回应。执法机制适用于违反隐私或保密政策的GPTW员工。

6.关于数据所有权和使用的政策。

公司数据
公司数据means Company’s proprietary data and information that Company provides to GPTW so that GPTW may, as part of the Services, conduct an Assessment (e.g., demographic and corporate information necessary to distribute the Survey to participants (such as email address, employee ID, and other personally identifying information) and the data provided by Company to GPTW for the Culture Audit). For the avoidance of doubt, Company Data does not include either Aggregate Data or Raw Data as defined below. The Company Data and all Intellectual Property Rights remain the exclusive property of the Company. GPTW will use Company Data solely to perform the Services and in a manner that is compatible with the purposes for which such Company Data is furnished to GPTW or subsequently authorized to be used, and GPTW will ensure that any Personal Data included in Company Data is properly maintained and protected.

汇总数据和原始数据
汇总数据系指(a) GPTW根据本协议交付给订约公司的任何报告中包含的订约公司特定信息、数据和内容;以及(b)来自原始数据并由GPTW根据本协议交付给公司的任何其他汇总数据。为免生疑问,汇总数据不包括任何原始数据或公司数据。原始数据是指GPTW从公司和公司员工处收到的与信任指数调查和/或文化审计、文化简报、焦点小组和一对一访谈等相关的保密和匿名回复。为免生疑问,原始数据不包括任何汇总数据或公司数据。通过提供的服务获得的原始数据和汇总数据,以及所有知识产权,现在和将来都是GPTW的专有财产。GPTW不会将原始数据提供给本公司,以保护本公司被访者的机密性。GPTW打算将汇总数据仅用于GPTW的内部目的,包括但不限于基准、创建最佳实践和其他研发目的。未经公司事先书面许可,GPTW不会向任何第三方分享非匿名的、公司特定的关于公司业绩的信息(即,该数据不打算与公司或任何公司员工个人关联)。这不适用于任何最佳工作场所列表。德赢vwin手机 Reports provided by GPTW to Company may be distributed internally by Company, but any external distribution requires prior written approval from GPTW which will not be unreasonably withheld. Aggregate Data and Raw Data are collectively referred to as Data herein.

知识产权
GPTW知识产权及其中的所有知识产权仍为GPTW或其附属被许可方的独家财产。由于双方之间的协议,公司没有获得任何GPTW知识产权的任何权利。未经GPTW事先书面批准(GPTW可自行决定不予批准),除在协议期限内收到服务外(包括在内部或与协议范围外的其他供应商进行的任何调查中),本公司不会以任何方式使用或重复使用任何GPTW知识产权。

保密
公司提供给GPTW的或由GPTW作为接收方获得的与公司或其客户或与公司有关联的任何个人、公司、公司或组织的业务或运营有关的所有信息,将被GPTW视为机密信息。未经公司事先书面同意,GPTW不会向第三方披露该等信息。双方承认并同意,本公司的保密信息不包括属于GPTW的保密信息的原始数据和汇总数据。

7.运营安全。

GPTW有以下策略关于运营安全性:

  • 检测,预防和恢复控制以防止恶意软件。
  • 禁止通过GPTW员工使用未经授权的软件的正式政策。
  • 确定组织备份信息,软件和系统的要求的既定过程。
8.通信安全。

GPTW在通讯保安方面有以下政策:

  • 防火墙保护所有系统和互联网连接。
  • VPN和/或加密,否则将通过公共网络传递的敏感信息。
  • 用于命名员工帐户的双因素身份验证
9.系统采集,开发和维护。

作为GPTW信息安全要求的一部分,我们包括对新信息系统或现有信息系统的增强的信息安全要求,在开发生命周期内对系统的所有变更使用正式的变更控制流程,维护所有软件更新的版本控制,通过限制必要的变更来限制和控制对软件包的修改。

10.物理安全。

GPTW强制规定的安全范围,以保护公司的敏感或关键信息和信息处理设施。作为执法的一部分,GPTW已经限制授权人员进入其场所和建筑物,并在适用的情况下实施物理屏障,以防止未经授权的物理进入和环境污染。GPTW还将我们实际管理的信息处理设施与外部管理的设施分开,并实施了实际访问控制,以保护安全区域,确保只有授权人员才能访问。只有获得授权的个人才能访问处理或存储机密信息的区域。在安全区域内使用摄影、录象、录音和其他记录设备,例如在移动装置中使用摄影机,是受到限制的。GPTW制定并实施了一个清晰的办公桌和清晰的屏幕政策。

11.供应商的关系。

GPTW有一个文件化的供应商关系政策,并维护我们使用的所有供应商的列表。

12.资产管理。

GPTW有一个记录的资产管理程序,并维护资产库存,这是准确的,最新,与其他库存一致。此外,GPTW还有一个可接受的可接受的使用政策。GPTW的终止过程包括所有以前发出的GPTW所拥有的物理资产的返还。

GPTW有一个安全的处理媒体和敏感信息的过程。

13.遵从性。

GPTW维护本组织要求的适用立法,法定,监管和合同要求。GPTW对信息安全和定期的技术合规审查有了一年一度的独立审查。

2021年4月16日