Allgemeine Konformitäts-Protokolle
Iterable hat ein Sicherheitsprogramm eingerichtet, das sein Engagement für die Einhaltung aller Gesetze, Vorschriften und ethischen Standards in seiner Geschäftstätigkeit und Rolle als Growth-Marketing-Plattform demonstriert. Einstellungen sing abhängig von der vorherigen Prüfung von Hinergründen und Einhaltungen der Sicherheitsstandards von Iterable. Iterable stellt Mitarbeitern die Werkzeuge zur Verfügung, die sie benötigen, um die Anforderungen zu erfüllen, die in den von Iterable festgelegten Gesetzen und Standards aufgeführt sind. Da regulatorische Bedingungen sich ändern können, wird von Mitarbeitern erwartet, alle Gesetze, Vorschriften und Richtlinien von Iterable einzuhalten, die sich auf den Geschäftsbetrieb auswirken, sowohl im Wortlaut als auch. Das Sicherheitsprogramm von Iterable umfasst:
- Die Einhaltung aller geltenden Unternehmens- und Abteilungsrichtlinien und -verfahren. Die Unternehmensrichtlinien decken ein breites Spektrum an Datenschutz-, Sicherheits- und allgemeinen Compliance-Themen ab, während die Abteilungsrichtlinien und Verfahrensleitlinien speziell und individuell auf einzelne Gruppen innerhalb von Iterable ausgelegt sind. Die Richtlinien werden durch Implementierungsverfahren formalisiert, dokumentiert sowie anhand regulatorischer und operativer Änderungen geprüft und aktualisiert. Mitarbeiter und relevante Parteien müssen bestätigen, dass sie alle Richtlinien und Standards verstanden haben und sich zu deren Einhaltung verpflichten.
- Die Teilnahme an obligatorischen Schulungen von Iterable. Die Schulungen werden entweder anhand der Funktion oder der Position zugewiesen, wie vom unmittelbaren Vorgesetzten eines Mitarbeiters definiert, oder vom Iterable Sicherheits- und Compliance- Team angesetzt. Zu den obligatorischen Schulungen gehören jährliche Online- und Live-Schulungen, Remote-Arbeiten und der sichere Umgang mit personenbezogenen Daten, die die Bedeutung des Datenschutzes sowie der Daten- und Informationssicherheit unterstreichen. Als personenbezogene Daten werden alle Daten bezeichnet, die sich auf eine identifizierte oder identifizierbare natürliche oder juristische Person beziehen.
Zugangskontrolle
Damit Iterable sensible Daten (z. B. personenbezogene Daten) schützen kann, werden Authentifizierungs- und Autorisierungskontrollen eingesetzt, um unbefugte Zugriffe zu verhindern.
- Authentifizierung: Die Verwendung eindeutiger Benutzer-IDs ist für Mitarbeiter von Iterable obligatorisch. Es werden Konten verwendet, um die Aktivitäten jeder Person im Netzwerk und in den Systemen von Iterable zu identifizieren, einschließlich des Zugriffs auf Kundendaten (personenbezogene Daten). Dieses eindeutige Konto wird für jedes System bei Iterable verwendet. Bei der Einstellung wird einem Mitarbeiter eine Benutzer-ID vom Datenschutz-Team von Iterable zugewiesen und ihm werden die unten beschriebenen Standardberechtigungen gewährt. Bei Beendigung des Arbeitsverhältnisses eines Mitarbeiters werden die Benutzer-ID und der Zugriff des Kontos auf die Netzwerkressourcen von Iterable deaktiviert. Wenn Passwörter zur Authentifizierung verwendet werden (z. B. bei der Anmeldung bei einem System), setzen Systeme die Passwortrichtlinien von Iterable durch, einschließlich Ablauf des Passworts, Beschränkungen der Passwortwiederverwendung und ausreichende Passwortkomplexität. Gegebenenfalls setzt Iterable die Zwei-Faktor-Authentifizierung ein und erzwingt diese, was den Zugriff auf Produktionsumgebungen und Ressourcen einschließt. Die Anmeldung von Drittanbietern und nicht-wesentlichen Anwendungen erfolgt über das Single Sign-On-System von Okta, das zudem eine Zwei-Faktor-Authentifizierung verwendet.
- Autorisierung: Zugriffsrechteund-stufenbasierenaufFunktionen und Rollen der Mitarbeiter. Dabei werden die Konzepte „geringste Berechtigungen“ und „Need-to-know“ verwendet, um Zugriffsberechtigungen mit definierten Zuständigkeiten abzugleichen. Mitarbeiter von Iterable erhalten nur begrenzte Berechtigungen für den Zugriff auf Unternehmensressourcen, z. B. auf ihr Postfach und das Intranet. Mitarbeiter erhalten Zugriff auf bestimmte zusätzliche Ressourcen basierend auf ihren spezifischen Aufgaben. Daten- oder Systeminhaber-Manager oder andere Führungskräfte, wie in der Sicherheitsrichtlinie von Iterable beschrieben, müssen Anfragen nach zusätzlichen Ressourcen genehmigen, und zwar erst, nachdem sie das Zugriffsanfrageverfahren befolgt haben. Iterable protokolliert den administrativen Zugriff auf alle Produktionssysteme und Daten. Das Datenschutz-Team von Iterable überprüft diese Protokolle dann nach Bedarf.
Datenbestandsverwaltung
Die Datenbestände von Iterable, die aus personenbezogenen Daten von Kunden sowie Unternehmensdaten bestehen, unterliegen den Sicherheitsrichtlinien und -verfahren von Iterable. Alle Mitarbeiter von Iterable, die mit den Datenbeständen umgehen, müssen die Richtlinien und Verfahren von Iterable einhalten, die in Übereinstimmung mit einer Reihe von Vorschriften, einschließlich der Datenschutz-Grundverordnung („DSGVO“), erstellt wurden. Informationsressourcen: Jede Schicht des Anwendungs- und Speicher-Stacks von Iterable erfordert, dass Anforderungen von anderen Komponenten stets authentifiziert und autorisiert werden. Die Dienst-zu-Dienst-Authentifizierung basiert auf einem Sicherheitsprotokoll, das von x509-Zertifikaten abgeleitet wird, die von einer bekannten Zertifizierungsstelle ausgestellt werden. Der Zugriff von Produktionsanwendungs-Administrationstechnikern auf Produktionsumgebungen wird in ähnlicher Weise gesteuert. Eine zentralisierte Identitätsverwaltungsplattform definiert und kontrolliert den Zugriff der Belegschaft auf Produktionsdienste, indem eine Erweiterung des oben genannten Sicherheitsprotokolls verwendet wird, das Personalzertifikate durch die Verwendung von persistenten eindeutigen x509-Zertifikaten authentifiziert. Die Ausstellung dieser Zertifikate wird wiederum durch eine Multi-Faktor-Authentifizierung geschützt. Alle Verbindungen zu Produktionsumgebungen laufen über Virtual Private Network („VPN“)-Proxys. Diese Proxys bieten eine AES-256-Bit-Verschlüsselung sowie eine zentralisierte Überwachung von Verbindungen zu Produktionsumgebungen.
Medienentsorgung
Wenn ein Speichergerät (physisch oder virtuell) das Ende seiner Nutzungsdauer erreicht hat, umfassen die Iterable-Verfahren einen Außerbetriebnahmeprozess, der verhindern soll, dass Kundendaten unbefugten Personen preisgegeben werden. Iterable nutzt die Techniken, die in DoD 5220.22-M („National Industrial Security Program Operating Manual“) oder NIST 800-88 („Guidelines for Media Sanitization“) beschrieben sind, um Daten im Rahmen des Außerbetriebnahmeprozesses zu vernichten. Alle außer Betrieb genommenen magnetischen Speichergeräte werden gemäß den branchenüblichen Praktiken entmagnetisiert und physisch vernichtet.
Überwachung und Prüfung
Das Konformitäts- und -Prüfungsprogramm von Iterable analysiert die von Abteilungen genutzten Richtlinien und Verfahrensanweisungen durch Interviews, Begleitung und Beobachtungen und überprüft so das Bewusstsein für die und die Einhaltung der oben genannten Richtlinien und Verfahren. Durch seine Überwachungs- und Prüfungsbemühungen stellt Iterable sicher, dass die Vertreter von Iterable angemessen geschult und qualifiziert sind, um die externen und internen Ziele von Iterable zu erreichen und gleichzeitig alle erforderlichen Gesetze, Vorschriften und Leitfäden einzuhalten.
Das Sicherheitsüberwachungsprogramm von Iterable analysiert die Daten aus dem internen Netzwerkverkehr und den Mitarbeiteraktionen auf Systemen. Der Internetverkehr wird auf verdächtiges Verhalten in den internen Netzwerken und in den Produktionsnetzwerken geprüft, um das Vorhandensein von Datenverkehr zu erkennen, bei dem es sich möglicherweise um bösartige Software oder Botnets handelt. Die Analyse erfolgt mit einer Kombination aus Open-Source- und kommerziellen Tools. Zur Unterstützung dieser Analyse wird ein kommerzielles Korrelationssystem verwendet.
Netzwerksicherheit
Iterable setzt mehrere Verteidigungsebenen (Defense-in-Depth) ein, um das virtuelle Netzwerk vor externen Angriffen zu schützen. Nur autorisierte Dienste und Protokolle, die die Sicherheitsanforderungen von Iterable erfüllen, dürfen die Unternehmens- und Produktionsnetzwerke passieren. Die Netzwerksicherheitsstrategie von Iterable besteht aus den folgenden Komponenten:
- Netzwerkisolierung (Segregation) mit branchenüblichen Firewall- und Zugriffskontrolltechnologien.
- Verwaltung von Netzwerk-Firewall- und Zugriffskontrollregeln, die Änderungsmanagement und Peer-Review verwenden.
- Eingeschränkter Zugriff auf vernetzte Geräte für nicht autorisiertes Personal.
- Routing des gesamten externen Datenverkehrs über benutzerdefinierte Front-End-Proxys, um bösartigen Datenverkehr zu erkennen und zu unterbinden.
- Iterable bietet Dienste, die das Hypertext Transfer Protocol Secure (HTTPS) für sicherere Browserverbindungen nutzen.
- Dienste wie app.iterable.com unterstützen standardmäßig HTTPS für Kunden, die bei ihrem Konto angemeldet sind.
- Informationen, die über HTTPS gesendet werden, werden verschlüsselt, sobald sie Iterable verlassen, und bis sie den Computer des Besuchers erreichen.
Physische und Umgebungssicherheit
Iterable nutzt Amazon Web Services für seine Infrastruktur-Hosting-Anforderungen. Dadurch wird die physische Sicherheit von Amazon gewahrt und durchgesetzt. Der physische Zugang zum Amazon-Rechenzentrum wird sowohl am Perimeter als auch an den Eingangs-/Ausgangspunkten des Gebäudes durch Sicherheitspersonal und Videoüberwachung, Eindringlingserkennung und andere logische Mittel streng kontrolliert. Die Mitarbeiter des Rechenzentrums müssen mindestens zweimal die Zwei-Faktor-Authentifizierung verwenden, um auf die Ebene des Rechenzentrums zuzugreifen. Nur entsprechend berechtigte Mitarbeiter und Auftragnehmer mit legitimen Geschäftsanforderungen haben Zugriff auf das Rechenzentrum.
Um das Risiko zu reduzieren, wurden automatische Brandmelde- und -unterdrückungsgeräte installiert. Das Brandmeldesystem setzt Rauchmelder in allen Rechenzentrumsumgebungen, mechanischen und elektrischen Infrastrukturräumen, Kühlräumen und Generatoranlagen ein. Diese Bereiche werden entweder durch Nassrohr-, doppelt verriegelte vorgesteuerte oder gasförmige Sprinkleranlage geschützt. Die Stromversorgungssysteme des Rechenzentrums sind so ausgelegt, dass sie rund um die Uhr, sieben Tagen die Woche, vollständig redundant und ohne Beeinträchtigung des Betriebs gewartet werden können. Unterbrechungsfreie Stromversorgungseinheiten (USV) bieten im Fall eines Stromausfalls eine Notstromversorgung für kritische und wesentliche Lasten der Anlage. In den Rechenzentren werden Generatoren eingesetzt, um die gesamte Anlage mit Notstrom zu versorgen.
Eine Klimatisierung ist erforderlich, um eine konstante Betriebstemperatur für Server und andere Hardware aufrechtzuerhalten, wodurch eine Überhitzung verhindert und die Möglichkeit von Betriebsausfällen verringert wird. Rechenzentren sind so klimatisiert, dass die atmosphärischen Bedingungen auf optimalem Niveau gehalten werden.
Schwachstellen-Management
Das Datenschutz-Team von Iterable trägt die Verantwortung für das rechtzeitige Management von Schwachstellen. Das Team von Iterable Information Security sucht mit kommerziell entwickelten Tools, automatisierten und manuellen Penetrationsbemühungen, Software-Sicherheitsüberprüfungen und externen Prüfungen nach Sicherheitsbedrohungen. Das Datenschutz-Team ist für das Tracking und Verfolgen erkannter Schwachstellen zuständig.
Vertrauen und Sicherheit
Das Vertrauens- und Sicherheitsprogramm von Iterable umfasst Transparenz, Sorgfaltspflicht und Genauigkeit in Übereinstimmung mit SOC 2 und der DSGVO-Governance.
- Einhaltung regulatorischer Bestimmungen: Iterable geht seine Verpflichtungen in Bezug auf die Datenverarbeitung auf globaler Ebene an.
- Viele unserer Kunden sind weltweit präsent, daher bieten wir einen Zusatz zur Datenverarbeitung an, um die Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung („DSGVO“) sicherzustellen.
- Wenn Ihr Unternehmen der DSGVO unterliegt, kann unser Compliance-Team Ihnen in Bezug auf den Zusatz zur Datenverarbeitung behilflich sein.
- Datenschutz: Die Kunden von Iterable sind im Besitz ihrer eigenen Daten, diese Daten sind nicht das Eigentum von Iterable.
- Die Daten, die Iterable-Kunden auf Iterable hochladen, gehören den Kunden. Im Rahmen der Datenschutzverpflichtungen von Iterable scannen wir Kundendaten weder für Werbung noch verkaufen oder teilen wir sie mit Dritten.
- Wenn Kunden ihre Beziehung zu Iterable beenden, verpflichten wir uns außerdem, die Daten von unseren Systemen zu löschen.
- Und unsere Kunden können ihre Daten schließlich einfach mit unserer Anwendungsprogrammierschnittstelle („API“) verwalten, um die Datenübertragbarkeit zu vereinfachen – ohne zusätzliche Gebühren.
- SSAE-16 SOC 2: Kunden von Iterable können eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliance-Kontrollen erwarten.
- Im Rahmen unseres Sicherheitsprogramms führen wir regelmäßig eine unabhängige Prüfung durch Dritte durch.
- Der unabhängige Prüfer untersucht unser Governance-Programm, unsere virtuelle Infrastruktur und unseren Betrieb, um die Einhaltung der Prüfungsstandards und gemeinsamen Kriterien gemäß SSAE-16 SOC 2 zu bescheinigen.
- HIPAA: Die Konsumenten vertrauen der Gesundheitsbranche und erwarten, dass ihre Gesundheits- und Versicherungsanbieter ihre Gesundheitsinformationen gut verwalten, einschließlich der Einhaltung der von HIPAA festgelegten Standards für den Datenschutz und für die Sicherheit der geschützten Gesundheitsdaten.
- Vertrauen ist einer unserer Grundwerte bei Iterable.
- Wir arbeiten mit den Kunden zusammen, um Konsumenten den sofortigen Zugriff auf ihre Daten zu ermöglichen und ihnen gleichzeitig die von ihnen gewünschten personalisierten Inhalte bereitzustellen.
- Ihre geschützten Gesundheitsdaten sind bei uns sicher.
- Weitere Informationen zur HIPAA-Konformität von Iterable und zur Unterzeichnung eines Business Associate Agreement (BAA) erhalten Sie von unseren Teams.