TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER

Det här dokumentet beskriver tekniska och organisatoriska säkerhetsåtgärder och kontroller som implementerats av Cision, eller Cisions dotterbolag (nedan Cision), för att skydda personuppgifter och säkerställa fortlöpande konfidentialitet, integritet och tillgänglighet för Cisions produkter och tjänster.

Dokumentet är en översikt på högre nivå av Cisions tekniska och organisatoriska säkerhetsåtgärder. Mer information om de åtgärder vi implementerar kan fås på begäran. Cision förbehåller sig rätten att när som helst revidera dessa tekniska och organisatoriska åtgärder, utan förvarning, så länge sådana ändringar inte väsentligt minskar eller försvagar skyddet för personuppgifter som Cision bearbetar för att tillhandahålla sina olika tjänster. I det osannolika fallet att Cision väsentligt försämrar säkerheten, ska Cision meddela sina kunder.


Cision ska vidta följande tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter: 

Senaste granskning: 1 mars 2021

  1. Organisationsledning och behörig personal ansvarar för utveckling, implementering och underhåll av Cisions informationssäkerhetsprogram.

  2. Gransknings- och riskbedömningsförfaranden i syfte att regelbundet granska och bedöma risker för Cision-organisationen, övervaka och upprätthålla efterlevnad av Cisions policyer och rutiner samt rapportera läget för informationssäkerheten och efterlevnaden till högsta interna ledning.

  3. Upprätthålla policyer för informationssäkerhet och tillse att policyer och åtgärder granskas regelbundet samt förbättra dem vid behov.

  4. För kommunikation med Cision-applikationer används kryptografiska protokoll som TLS för att skydda information som överförs via allmänna nätverk. Vid nätverksgränsen används tillståndsbaserade brandväggar, brandväggar för webbapplikationer och DDoS-skydd för att filtrera attacker. Inom det interna nätverket följer applikationer en modell i flera nivåer som ger möjlighet att tillämpa säkerhetskontroller mellan varje skikt.

  5. Datasäkerhetskontroller som inkluderar logisk segregering av data, begränsad (t.ex. rollbaserad) åtkomst och övervakning, och i förekommande fall, användning av kommersiellt tillgängliga krypteringstekniker samt krypteringstekniker av industristandard.

  6. Logiska åtkomstkontroller utformade för att hantera elektronisk åtkomst till data och systemfunktionalitet baserat på behörighetsnivåer och jobbfunktioner, (t.ex. åtkomst beviljad baserat på behov och kunskap, användning av unika id och lösenord för alla användare, periodisk granskning och återkallande/ändring av åtkomst omedelbart när anställningen upphör eller förändringar i jobbfunktioner sker).

  7. Lösenordskontroller utformade för att hantera och kontrollera lösenordsstyrka och användning inklusive att förbjuda användare att dela lösenord.

  8. Systemgranskning eller loggning av händelser och relaterade övervakningsprocedurer för att proaktivt registrera användaråtkomst och systemaktivitet för rutingranskning.

  9. Fysisk och miljösäkerhet i datacenter, serverrum och andra områden som innehåller konfidentiell klientinformation utformad för att: (i) skydda informationstillgångar från obehörig fysisk åtkomst, (ii) hantera, övervaka och logga förflyttning av personer till och från Cision-anläggningar, och (iii) skydda mot miljöfaror som värme, eld och vattenskador.

  10. Operativa förfaranden och kontroller för att tillhandahålla konfigurering, övervakning och underhåll av teknik och informationssystem enligt föreskrivna interna och antagna branschstandarder, inklusive säkert bortskaffande av system och media för att göra all information eller data som finns däri oläslig och omöjlig att återställa innan slutförvar eller innan de lämnar Cisions innehav.

  11. Rutiner för ändringshantering och spårningsmekanismer för att testa, godkänna och övervaka alla förändringar i Cisions teknik och informationstillgångar.

  12. Incident-/problemhanteringsprocedurer utformade för att Cision ska kunna undersöka, svara på, mildra och meddela händelser relaterade till Cisions teknik och informationstillgångar.

  13. Nätverkssäkerhetskontroller som möjliggör användning av företagsbrandväggar och skiktad DMZ-arkitektur, och system för upptäckt av intrång och andra korrelationsprocedurer för trafik och händelser som är utformade för att skydda system från intrång och begränsa omfattningen av eventuella framgångsrika attacker.

  14. Bedömning av sårbarhet, patchhantering och teknik för att skydda mot hot samt schemalagda övervakningsprocedurer utformade för att identifiera, bedöma, mildra och skydda mot identifierade säkerhetshot, virus och annan skadlig kod.

  15. Förfaranden för återhämtning/kontinuitet och katastrofåterställning, efter behov, utformade för att upprätthålla service och/eller återhämtning från förutsebara nödsituationer eller katastrofer.

  16. Formellt leverantörshanteringsprogram, inklusive säkerhetsgranskningar av kritiska leverantörer för att säkerställa överensstämmelse med Cisions policyer för informationssäkerhet.

  17. Ett personuppgiftsombud (DPO) som är oberoende granskar regelbundet risker och kontroller för dataskydd.

Brandwatch  

För detaljer kring Brandwatch's tekniska och organisatoriska åtgärder, vänligen klicka här.