Kontroller

Virksomheden kræver, at medarbejdere underskriver en fortrolighedsaftale under onboarding.

Virksomhedens krav til opbevaring er dokumenteret, og personoplysninger opbevares efter behov til forretningsformål og/eller i overensstemmelse med gældende love eller regler.

Virksomheden har beredskabsplaner for forretningskontinuitet og katastrofeberedskab, som beskriver kommunikationsplaner for at opretholde kontinuiteten i informationssikkerheden i tilfælde af, at nøglepersonale ikke er tilgængeligt.

Virksomhedens informationssikkerhedspolitikker og -procedurer er dokumenteret og gennemgås mindst én gang årligt.

Virksomheden bruger sikre protokoller til datatransmission til at kryptere fortrolige og følsomme data, når de overføres via offentlige netværk.

Ledelsen og/eller juridisk rådgivning gennemgår og godkender metoder til indsamling af personoplysninger for at sikre en fair og lovlig behandling.

Virksomheden dokumenterer nye formål for tidligere indsamlede oplysninger, informerer de registrerede, indhenter samtykke, hvor det kræves, og sikrer, at data anvendes i overensstemmelse med det dokumenterede formål.

Virksomheden har en formel metode til systemudviklingslivscyklus (SDLC), der styrer udvikling, anskaffelse, implementering, ændringer (herunder nødændringer) og vedligeholdelse af informationssystemer og tilhørende teknologikrav.

Virksomheden har etableret en privatlivspolitik skrevet i et klart og enkelt sprog, tydeligt dateret, og som giver information om virksomhedens praksis og formål med at indsamle, behandle, håndtere og videregive personoplysninger.

Virksomheden har processer og procedurer til at modtage, registrere og verificere anmodninger, henvendelser, klager eller tvister vedrørende en persons privatlivsrettigheder til adgang, gennemgang, ændring og/eller sletning af personoplysninger. Adgangsanmodninger registreres til historiske og revisionsformål.

Virksomheden gennemfører kontrol-selvevalueringer mindst én gang årligt for at opnå sikkerhed for, at kontroller er implementeret og fungerer effektivt. Korrigerende tiltag iværksættes på baggrund af relevante fund. Hvis virksomheden har forpligtet sig til en SLA for et fund, gennemføres det korrigerende tiltag inden for den pågældende SLA.

Virksomheden får udført vedligeholdelsesinspektioner af miljøsikkerhedsforanstaltningerne i virksomhedens datacentre mindst én gang årligt.

Virksomheden gør sin privatlivspolitik tilgængelig for kunder, medarbejdere og relevante tredjeparter før eller på det tidspunkt, hvor personoplysninger indsamles fra en person.

Virksomheden har en privatlivspolitik på plads, som tydeligt beskriver omfanget af de personoplysninger, der indsamles, virksomhedens forpligtelser, den enkeltes rettigheder til at få adgang til, opdatere eller slette personoplysninger, og som giver opdaterede kontaktoplysninger til spørgsmål, anmodninger eller bekymringer.

Virksomhedens produktionssystemer kan kun tilgås eksternt af autoriserede medarbejdere, der har en gyldig metode til multifaktorgodkendelse (MFA).

Virksomheden fjerner kundedata, der indeholder fortrolige oplysninger, fra applikationsmiljøet, når kunder forlader tjenesten, i overensstemmelse med bedste praksis.

Virksomheden gennemgår og opdaterer sin privatlivspolitik efter behov eller når der sker ændringer for at sikre løbende overholdelse af gældende love, regler og relevante standarder.

Virksomhedens bestyrelsesmedlemmer har tilstrækkelig ekspertise til at føre tilsyn med ledelsens evne til at designe, implementere og drive informationssikkerhedskontroller. Bestyrelsen inddrager efter behov tredjeparts eksperter og konsulenter inden for informationssikkerhed.

Virksomheden gennemgår privatlivspolitikken efter behov eller når der sker ændringer, og opdaterer den i overensstemmelse hermed for at sikre, at den er i overensstemmelse med gældende love, regler og relevante standarder.

Virksomheden har skriftlige aftaler med leverandører og tredjeparter, der indeholder fortroligheds- og privatlivsforpligtelser.

Virksomheden opretholder cyberforsikring for at afbøde den økonomiske påvirkning af forretningsafbrydelser.

Virksomheden leverer de anmodede oplysninger efter verifikation rettidigt og i overensstemmelse med gældende lovgivning.

Virksomheden foretager baggrundstjek af nye medarbejdere.

Virksomheden forbyder i henhold til sin politik, at fortrolige eller følsomme kundedata bruges eller opbevares i ikke-produktionssystemer/-miljøer.

Virksomheden gennemgår adgang til datacentrene mindst én gang om året.

Virksomheden har en strategi med flere lokationer for produktionsmiljøer, der muliggør genoptagelse af driften i andre af virksomhedens datacentre i tilfælde af, at en facilitet går tabt.

Virksomheden kræver, at godkendelse til produktionsdatalagre bruger autoriserede, sikre godkendelsesmekanismer, såsom en unik SSH-nøgle.

Virksomhedens produktionssystemer kan kun tilgås eksternt af autoriserede medarbejdere via en godkendt krypteret forbindelse.

Virksomheden validerer anmodninger om sletning og sletter, når de er bekræftet, de ønskede oplysninger i overensstemmelse med gældende love og regler.

Virksomheden indhenter, dokumenterer og opbevarer udtrykkeligt samtykke før indsamling, brug eller videregivelse af følsomme oplysninger i overensstemmelse med gældende juridiske og regulatoriske krav.

Virksomheden har formelle procedurer for opbevaring og bortskaffelse på plads, der skal vejlede i sikker opbevaring og bortskaffelse af virksomheds- og kundedata.

Virksomheden stiller retningslinjer og tekniske supportressourcer vedrørende systemdrift til rådighed for kunder.

Virksomheden har etableret, vedligeholder og gennemgår, mindst én gang årligt, dokumentation om arten, omfanget og formålet med personoplysninger, der indsamles, behandles, opbevares og/eller videregives til tredjeparter.

Virksomhedens risikovurderinger udføres mindst én gang årligt og omfatter identifikation af trusler, ændringer og bedrageririsici, der kan påvirke målsætninger.

Virksomheden gennemgår og opdaterer regelmæssigt sine politikker og procedurer vedrørende personoplysninger for at sikre, at indsamlede data tydeligt identificeres som nødvendige eller valgfrie, behandles med det passende niveau af samtykke i overensstemmelse med gældende lov- og myndighedskrav, og udelukkende anvendes til de formål, der er defineret i privatlivsmeddelelsen.

Virksomheden har et dokumenteret risikostyringsprogram, der omfatter identifikation af trusler, risikovurdering og afbødningsstrategier.

Roller og ansvar for design, udvikling, implementering, drift, vedligeholdelse og overvågning af informationssikkerhedskontroller er formelt tildelt i jobbeskrivelser og/eller i politikken for roller og ansvar.

Virksomheden gennemgår og godkender tredjepartskilder til personoplysninger for at sikre datakvalitet samt lovlig indsamling.

Før der gives adgang til personoplysninger, verificerer virksomheden identiteten på den pågældende person eller dennes autoriserede repræsentant og sikrer, at en sådan adgang er lovligt tilladt.

Virksomheden tester sin plan for hændelsesrespons mindst én gang om året.

Selskabets bestyrelse har et dokumenteret kommissorium, der beskriver dens tilsynsansvar for intern kontrol.

Virksomheden kræver, at medarbejdere gennemfører sikkerhedsbevidsthedstræning inden for 30 dage efter ansættelse og derefter mindst årligt.

Virksomheden har dokumenteret og kommunikeret politikker og procedurer for håndtering af sikkerheds- og privatlivshændelser.

Virksomhedens bestyrelse mødes mindst én gang om året og fører formelle mødereferater. Bestyrelsen omfatter bestyrelsesmedlemmer, der er uafhængige af virksomheden.

Virksomhedens bestyrelse eller en relevant underkomité orienteres af den øverste ledelse mindst én gang årligt om status for virksomhedens cybersikkerheds- og privatlivsrisiko. Bestyrelsen giver feedback og retning til ledelsen efter behov.

Virksomheden har dokumenterede processer, der sikrer, at privatlivsrelaterede klager bliver håndteret, dokumenteret og kommunikeret til de berørte personer.

Virksomheden giver en beskrivelse af sine produkter og tjenester til interne og eksterne brugere.

Virksomheden bortskaffer personlige oplysninger sikkert i overensstemmelse med dokumenterede politikker. Personoplysninger anonymiseres, slettes sikkert og/eller destrueres, når de ikke længere er nødvendige.

Virksomhedens ledelse har fastlagt definerede roller og ansvarsområder til at føre tilsyn med design og implementering af informationssikkerhedskontroller.

Virksomheden kræver, at autentificering til systemer og applikationer sker med et unikt brugernavn og en adgangskode eller med autoriserede Secure Shell (SSH)-nøgler.

Virksomhedens sikkerhedsforpligtelser kommunikeres til kunder i Master Service Agreements (MSA) eller Servicevilkår (TOS).

Virksomhedens netværk er segmenteret for at forhindre uautoriseret adgang til kundedata.

Virksomheden specificerer sine mål for at muliggøre identifikation og vurdering af risici relateret til disse mål.

Virksomheden har processer på plads til at tildele, ændre og afslutte fysisk adgang til virksomhedens datacentre baseret på en autorisation fra kontrolansvarlige.

Personer kan til- eller fravælge ikke-nødvendige cookies, og der behandles ingen personoplysninger uden gyldigt samtykke.

Udfyld en beskrivelse af dit system til afsnit III i revisionsrapporten.

Virksomheden vedligeholder et organisationsdiagram, der beskriver organisationsstrukturen og rapporteringslinjer.

Virksomheden krypterer bærbare og flytbare medieenheder, når de anvendes.

Virksomheden kræver godkendelse til "produktionsnetværket" ved brug af unikke brugernavne og adgangskoder eller autoriserede Secure Socket Shell (SSH)-nøgler.

Virksomheden har et eksternt tilgængeligt supportsystem på plads, som gør det muligt for brugere at indberette systemfejl, hændelser, bekymringer og andre klager til relevant personale.

Virksomhedens ledere er forpligtet til at gennemføre præstationsvurderinger for deres direkte medarbejdere mindst én gang om året.

Virksomheden kræver, at ændringer af software- og infrastrukturkomponenter i tjenesten skal være autoriserede, formelt dokumenterede, testede, gennemgåede og godkendte, før de implementeres i produktionsmiljøet.

Personer, kunder eller autoriserede kontohavere kan opdatere deres personlige oplysninger for at sikre nøjagtighed og fuldstændighed.

Virksomheden kommunikerer systemændringer til autoriserede interne brugere.

Virksomheden har en politik for dataklassificering for at sikre, at fortrolige data er korrekt sikret og kun er tilgængelige for autoriseret personale.

Virksomheden kommunikerer rettelser eller sletninger af en persons personoplysninger til autoriserede brugere og relevante tredjeparter, som personoplysningerne er blevet delt med eller overført til.

Virksomheden kræver, at medarbejdere anerkender et adfærdskodeks ved ansættelsen. Medarbejdere, der overtræder adfærdskodekset, kan blive mødt med disciplinære foranstaltninger i overensstemmelse med en disciplinær politik.

Virksomheden informerer kunderne om kritiske systemændringer, der kan påvirke deres behandling.

Virksomheden kræver, at underleverandører underskriver en fortrolighedsaftale ved indgåelse af samarbejdet.

Virksomheden giver besked, når personoplysninger indsamles eller bruges til nye formål, som ikke tidligere er angivet i privatlivspolitikken.

Virksomheden indhenter en persons samtykke og præferencer på eller før tidspunktet for dataindsamlingen, opretholder dokumentation og implementerer de valgte præferencer rettidigt.

Virksomheden kræver, at besøgende registrerer sig, bærer et besøgsbadge og eskorteres af en autoriseret medarbejder, når de får adgang til datacentret eller sikre områder.

Virksomhedens formelle politikker beskriver kravene til sårbarhedsstyring og systemovervågning.

Virksomheden kræver, at kontraktaftaler inkluderer et adfærdskodeks eller en henvisning til virksomhedens adfærdskodeks.