Kontroller

Selskapet krever at ansatte signerer en konfidensialitetsavtale under onboarding.

Selskapets krav til oppbevaring er dokumentert, og personopplysninger oppbevares, etter behov, for forretningsformål og/eller i samsvar med gjeldende lover eller forskrifter.

Selskapet har planer for virksomhetskontinuitet og katastrofegjenoppretting på plass som beskriver kommunikasjonsplaner for å opprettholde kontinuitet i informasjonssikkerheten ved utilgjengelighet av nøkkelpersonell.

Selskapet har skriftlige avtaler med leverandører og tredjeparter som inkluderer forpliktelser om konfidensialitet og personvern.

Selskapets retningslinjer og prosedyrer for informasjonssikkerhet er dokumentert og gjennomgås minst årlig.

Selskapet bruker sikre protokoller for datatransmisjon for å kryptere konfidensielle og sensitive data når de overføres over offentlige nettverk.

Selskapet dokumenterer nye formål for tidligere innsamlet informasjon, informerer enkeltpersoner, innhenter samtykke der det kreves, og sikrer at data brukes i samsvar med det dokumenterte formålet.

Ledelsen og/eller juridisk rådgiver gjennomgår og godkjenner metoder for innsamling av personopplysninger for å sikre rettferdig og lovlig behandling.

Selskapet har etablert en personvernerklæring skrevet i et klart og enkelt språk, tydelig datert, og som gir informasjon om selskapets praksis og formål for innsamling, behandling, håndtering og utlevering av personopplysninger.

Selskapet har en formell metodikk for systemutviklingslivssyklus (SDLC) på plass som styrer utvikling, anskaffelse, implementering, endringer (inkludert hasteendringer) og vedlikehold av informasjonssystemer og tilknyttede teknologikrav.

Selskapet har prosesser og prosedyrer for å registrere, loggføre og verifisere forespørsler, henvendelser, klager eller tvister knyttet til en persons personvernrettigheter til innsyn, gjennomgang, endring og/eller sletting av personopplysninger. Innsynsbegjæringer loggføres for historikk- og revisjonsformål.

Selskapet gjennomfører kontrollselvevalueringer minst årlig for å få bekreftelse på at kontroller er på plass og fungerer effektivt. Korrigerende tiltak iverksettes basert på relevante funn. Hvis selskapet har forpliktet seg til en SLA for et funn, fullføres det korrigerende tiltaket innenfor den SLA-en.

Selskapet gjennomfører vedlikeholdsinspeksjoner av miljøsikkerhetstiltak ved selskapets datasentre minst én gang i året.

Selskapet gjør sin personvernerklæring tilgjengelig for kunder, ansatte og relevante tredjeparter før eller på det tidspunktet personopplysninger samles inn fra en person.

Selskapet har en personvernerklæring som tydelig beskriver omfanget av personopplysninger som samles inn, selskapets forpliktelser, den enkeltes rettigheter til innsyn i, oppdatering eller sletting av personopplysninger, og som gir oppdaterte kontaktopplysninger for spørsmål, forespørsler eller bekymringer.

Selskapet gjennomgår og oppdaterer personvernerklæringen ved behov eller når endringer skjer, for å sikre kontinuerlig etterlevelse av gjeldende lover, forskrifter og relevante standarder.

Selskapet fjerner kundedata som inneholder konfidensiell informasjon fra applikasjonsmiljøet når kunder avslutter tjenesten, i tråd med beste praksis.

Selskapet gjennomgår personvernerklæringen ved behov eller når endringer inntreffer, og oppdaterer den deretter for å sikre at den er i samsvar med gjeldende lover, forskrifter og relevante standarder.

Selskapet gir ut forespurt informasjon, etter verifisering, på en rettidig måte og i samsvar med gjeldende lov.

Selskapet opprettholder cyberforsikring for å redusere den økonomiske konsekvensen av driftsforstyrrelser.

Selskapet gjennomfører bakgrunnssjekker av nye ansatte.

Selskapet forbyr, i henhold til policy, at konfidensielle eller sensitive kundedata brukes eller lagres i ikke-produksjonssystemer/-miljøer.

Selskapet krever at autentisering til produksjonsdatalagre bruker autoriserte, sikre autentiseringsmekanismer, som for eksempel en unik SSH-nøkkel.

Selskapet gjennomgår tilgangen til datasentrene minst én gang i året.

Selskapet har en strategi med flere lokasjoner for produksjonsmiljøer som gjør det mulig å gjenoppta driften ved andre av selskapets datasentre dersom en lokasjon faller bort.

Selskapets produksjonssystemer kan kun fjernaksesseres av autoriserte ansatte via en godkjent kryptert tilkobling.

Selskapet validerer forespørsler om sletting og, når de er bekreftet, sletter den forespurte informasjonen i samsvar med gjeldende lover og forskrifter.

Selskapet innhenter, dokumenterer og oppbevarer uttrykkelig samtykke før innsamling, bruk eller utlevering av sensitive opplysninger, i samsvar med gjeldende juridiske og regulatoriske krav.

Selskapet har formelle prosedyrer for lagring og sletting på plass for å veilede sikker lagring og sletting av selskapets og kundens data.

Selskapets produksjonssystemer kan kun nås eksternt av autoriserte ansatte som har en gyldig flerfaktorautentiseringsmetode (MFA).

Selskapet tilbyr retningslinjer og tekniske supportressurser knyttet til systemdrift til kunder.

Selskapets risikovurderinger gjennomføres minst årlig og inkluderer identifisering av trusler, endringer og risiko for svindel som kan påvirke måloppnåelsen.

Selskapet gjennomgår og oppdaterer jevnlig sine retningslinjer og prosedyrer knyttet til personopplysninger for å sikre at innsamlede data tydelig er identifisert som nødvendige eller valgfrie, behandles med riktig nivå av samtykke i samsvar med gjeldende lov- og regulatoriske krav, og brukes utelukkende til formålene som er definert i personvernerklæringen.

Selskapet har etablert, vedlikeholder og gjennomgår, minst årlig, dokumentasjon om arten, omfanget og formålet med personopplysninger som samles inn, behandles, lagres og/eller utleveres til tredjeparter.

Selskapet har et dokumentert risikostyringsprogram som inkluderer identifisering av trusler, risikovurdering og tiltak for risikoredusering.

Roller og ansvar for utforming, utvikling, implementering, drift, vedlikehold og overvåking av informasjonssikkerhetskontroller er formelt tildelt i stillingsbeskrivelser og/eller i retningslinjen for roller og ansvar.

Før tilgang til personopplysninger gis, verifiserer selskapet identiteten til personen eller dennes autoriserte representant og sikrer at slik tilgang er lovlig tillatt.

Selskapet gjennomgår og godkjenner tredjepartskilder for personopplysninger for å sikre datakvalitet og lovlig innsamling.

Selskapet tester sin hendelseshåndteringsplan minst én gang i året.

Selskapets styre har et dokumentert mandat som beskriver dets tilsynsansvar for internkontroll.

Selskapet krever at ansatte fullfører opplæring i sikkerhetsbevissthet innen tretti dager etter ansettelse og deretter minst årlig.

Selskapet har dokumentert og kommunisert retningslinjer og prosedyrer for håndtering av sikkerhets- og personvernhendelser.

Selskapets styre møtes minst én gang i året og fører formelle møtereferater. Styret inkluderer styremedlemmer som er uavhengige av selskapet.

Selskapet har dokumenterte prosesser for å sikre at personvernrelaterte klager blir håndtert, dokumentert og kommunisert til enkeltpersoner.

Selskapets styre eller en relevant underkomité orienteres av toppledelsen minst årlig om status for selskapets cybersikkerhets- og personvernrisiko. Styret gir tilbakemeldinger og føringer til ledelsen ved behov.

Selskapet gir en beskrivelse av sine produkter og tjenester til interne og eksterne brukere.

Selskapet kasserer personopplysninger på en sikker måte i samsvar med dokumenterte retningslinjer. Personopplysninger anonymiseres, slettes sikkert og/eller destrueres når de ikke lenger er nødvendige.

Selskapets ledelse har etablert definerte roller og ansvarsområder for å føre tilsyn med utforming og implementering av informasjonssikkerhetskontroller.

Selskapet har etablerte prosesser for å gi, endre og avslutte fysisk tilgang til selskapets datasentre basert på autorisasjon fra kontrollansvarlige.

Selskapets sikkerhetsforpliktelser kommuniseres til kunder i Master Service Agreements (MSA) eller tjenestevilkår (TOS).

Selskapets nettverk er segmentert for å forhindre uautorisert tilgang til kundedata.

Selskapet spesifiserer sine mål for å muliggjøre identifisering og vurdering av risiko knyttet til disse målene.

Personer kan velge å samtykke til eller reservere seg mot ikke-essensielle informasjonskapsler, og ingen personopplysninger behandles uten gyldig samtykke.

Selskapet krypterer bærbare og flyttbare medieenheter når de brukes.

Fullfør en beskrivelse av systemet ditt for del III i revisjonsrapporten.

Selskapet opprettholder et organisasjonskart som beskriver organisasjonsstrukturen og rapporteringslinjene.

Selskapet har et eksternt rettet supportsupportsystem på plass som gjør det mulig for brukere å rapportere systemfeil, hendelser, bekymringer og andre klager til riktig personell.

Selskapets ledere er pålagt å gjennomføre prestasjonsevalueringer for direkte rapporterende ansatte minst årlig.

Selskapet krever at endringer i programvare- og infrastrukturkomponenter i tjenesten skal være autorisert, formelt dokumentert, testet, gjennomgått og godkjent før de implementeres i produksjonsmiljøet.

Selskapet kommuniserer systemendringer til autoriserte interne brukere.

Enkeltpersoner, kunder eller autoriserte kontoinnehavere kan oppdatere sine personopplysninger for å sikre at de er korrekte og fullstendige.

Selskapet har retningslinjer for dataklassifisering for å sikre at konfidensielle data er riktig sikret og begrenset til autorisert personell.

Selskapet kommuniserer korrigeringer eller slettinger av en persons personopplysninger til autoriserte brukere og relevante tredjeparter som personopplysningene er delt med eller overført til.

Selskapet krever at ansatte bekrefter et atferdskodeks ved ansettelse. Ansatte som bryter atferdskodekset, kan bli ilagt disiplinærtiltak i tråd med en disiplinærpolicy.

Selskapet krever autentisering til "produksjonsnettverket" ved bruk av unike brukernavn og passord eller autoriserte Secure Shell (SSH)-nøkler.

Selskapet krever at kontraktører signerer en konfidensialitetsavtale ved oppstart av oppdraget.

Selskapet varsler når personopplysninger samles inn eller brukes til nye formål som ikke tidligere er identifisert i personvernerklæringen.

Selskapet varsler kunder om kritiske systemendringer som kan påvirke behandlingen deres.

Selskapet innhenter en persons samtykke og preferanser ved eller før tidspunktet for datainnsamling, opprettholder dokumentasjon og implementerer de valgte preferansene på en rettidig måte.

Selskapet krever at besøkende registrerer seg, bærer et besøkskort og ledsages av en autorisert ansatt ved tilgang til datasenteret eller sikrede områder.

Selskapets formelle retningslinjer beskriver kravene til sårbarhetshåndtering og systemovervåking.

Selskapets styremedlemmer har tilstrekkelig kompetanse til å føre tilsyn med ledelsens evne til å utforme, implementere og drifte informasjonssikkerhetskontroller. Styret engasjerer ved behov tredjeparts eksperter og konsulenter innen informasjonssikkerhet.

Selskapet krever autentisering til systemer og applikasjoner ved bruk av unikt brukernavn og passord eller autoriserte Secure Shell (SSH)-nøkler.

Selskapet krever at avtaler med underleverandører inkluderer etiske retningslinjer eller en henvisning til selskapets etiske retningslinjer.