Kontroller

Företaget kräver att anställda undertecknar ett sekretessavtal vid introduktion.

Företagets krav på bevarande är dokumenterade, och personuppgifter bevaras, i den utsträckning det krävs, för affärsändamål och/eller i enlighet med tillämpliga lagar eller förordningar.

Företagets informationssäkerhetspolicyer och -rutiner är dokumenterade och granskas minst en gång per år.

Företaget använder säkra protokoll för datatransmission för att kryptera konfidentiella och känsliga data när de överförs via offentliga nätverk.

Företaget dokumenterar nya syften för tidigare insamlad information, informerar individer, inhämtar samtycke där det krävs och säkerställer att uppgifterna används i enlighet med det dokumenterade syftet.

Företaget har en formell metodik för systemutvecklingens livscykel (SDLC) på plats som styr utveckling, anskaffning, implementering, förändringar (inklusive akuta ändringar) och underhåll av informationssystem och relaterade tekniska krav.

Företaget har fastställt en integritetspolicy som är skriven på ett tydligt och enkelt språk, tydligt daterad och som ger information om företagets praxis och syften med att samla in, behandla, hantera och lämna ut personuppgifter.

Företaget har processer och rutiner för att ta emot, registrera och verifiera begäranden, förfrågningar, klagomål eller tvister som rör en individs integritetsrättigheter avseende åtkomst, granskning, ändring och/eller radering av personuppgifter. Åtkomstbegäranden loggas för historik- och revisionsändamål.

Företaget genomför självutvärderingar av kontroller minst årligen för att få bekräftelse på att kontroller finns på plats och fungerar effektivt. Korrigerande åtgärder vidtas baserat på relevanta iakttagelser. Om företaget har åtagit sig en SLA för en iakttagelse slutförs den korrigerande åtgärden inom den SLA:n.

Företaget låter genomföra underhållsinspektioner av miljösäkerhetsåtgärderna vid företagets datacenter minst en gång per år.

Företaget gör sin integritetspolicy tillgänglig för kunder, anställda och relevanta tredje parter före eller i samband med att personuppgifter samlas in från en individ.

Företaget har skriftliga avtal med leverantörer och tredje parter som inkluderar åtaganden om sekretess och integritet.

Företaget har en integritetspolicy på plats som tydligt beskriver omfattningen av den personliga information som samlas in, företagets skyldigheter, individens rättigheter att få tillgång till, uppdatera eller radera personuppgifter, samt tillhandahåller aktuella kontaktuppgifter för frågor, begäranden eller synpunkter.

Företaget granskar och uppdaterar sin integritetspolicy vid behov eller när förändringar sker för att säkerställa fortsatt efterlevnad av tillämpliga lagar, förordningar och relevanta standarder.

Företaget tar bort kunddata som innehåller konfidentiell information från applikationsmiljön när kunder avslutar tjänsten, i enlighet med bästa praxis.

Företaget granskar integritetspolicyn vid behov eller när ändringar sker och uppdaterar den därefter för att säkerställa att den är förenlig med tillämpliga lagar, förordningar och relevanta standarder.

Företaget lämnar ut begärd information, efter verifiering, i rätt tid och i enlighet med tillämplig lag.

Företaget upprätthåller en cyberförsäkring för att minska den ekonomiska påverkan av verksamhetsstörningar.

Företaget genomför bakgrundskontroller på nyanställda.

Företaget förbjuder enligt policy att konfidentiella eller känsliga kunddata används eller lagras i icke-produktionssystem/-miljöer.

Företaget granskar åtkomsten till datacentren minst en gång per år.

Företaget har en strategi med flera platser för produktionsmiljöer som används för att möjliggöra återupptagande av verksamheten vid andra av företagets datacenter vid bortfall av en anläggning.

Företagets produktionssystem kan endast nås på distans av behöriga medarbetare via en godkänd krypterad anslutning.

Företaget validerar begäranden om radering och, när de har bekräftats, raderar den begärda informationen i enlighet med tillämpliga lagar och föreskrifter.

Företaget inhämtar, dokumenterar och behåller uttryckligt samtycke innan insamling, användning eller utlämnande av känslig information sker, i enlighet med tillämpliga lagar och regulatoriska krav.

Företaget har formella rutiner för lagring och gallring på plats för att vägleda säker lagring och gallring av företags- och kunddata.

Företagets produktionssystem kan endast nås på distans av behöriga medarbetare som har en giltig metod för multifaktorautentisering (MFA).

Företaget tillhandahåller riktlinjer och tekniska supportresurser som rör systemdrift till kunder.

Företagets riskbedömningar genomförs minst årligen och omfattar identifiering av hot, förändringar och bedrägeririsker som kan påverka målen.

Företaget granskar och uppdaterar regelbundet sina policyer och rutiner som rör personuppgifter för att säkerställa att insamlade uppgifter tydligt identifieras som nödvändiga eller valfria, behandlas med rätt nivå av samtycke i enlighet med tillämpliga lagar och regulatoriska krav, och används enbart för de ändamål som anges i integritetsmeddelandet.

Företaget har upprättat, upprätthåller och granskar, minst årligen, dokumentation om arten, omfattningen och syftet med personuppgifter som samlas in, behandlas, lagras och/eller lämnas ut till tredje parter.

Företaget har ett dokumenterat riskhanteringsprogram som omfattar identifiering av hot, riskklassning och strategier för riskreducering.

Roller och ansvarsområden för utformning, utveckling, implementering, drift, underhåll och övervakning av informationssäkerhetskontroller tilldelas formellt i arbetsbeskrivningar och/eller policyn för roller och ansvar.

Innan företaget beviljar åtkomst till personuppgifter verifierar det identiteten på den registrerade eller dennes behöriga ombud och säkerställer att sådan åtkomst är lagligen tillåten.

Företaget testar sin plan för incidenthantering minst en gång per år.

Företaget granskar och godkänner tredjepartskällor för personuppgifter för att säkerställa datatillförlitlighet och laglig insamling.

Bolagets styrelse har en dokumenterad arbetsordning som beskriver dess tillsynsansvar för den interna kontrollen.

Företaget kräver att anställda slutför utbildning i säkerhetsmedvetenhet inom trettio dagar från anställning och därefter minst årligen.

Företaget har dokumenterat och kommunicerat policyer och rutiner för hantering av säkerhets- och integritetsincidenter.

Bolagets styrelse sammanträder minst en gång per år och för protokoll med formella mötesanteckningar. Styrelsen inkluderar ledamöter som är oberoende av bolaget.

Företaget har dokumenterade processer för att säkerställa att sekretessrelaterade klagomål hanteras, dokumenteras och kommuniceras till enskilda personer.

Bolagets styrelse eller en relevant underkommitté informeras av senior ledning minst årligen om bolagets cybersäkerhets- och integritetsrisker. Styrelsen ger återkoppling och vägledning till ledningen vid behov.

Företaget tillhandahåller en beskrivning av sina produkter och tjänster till interna och externa användare.

Företaget kasserar personuppgifter på ett säkert sätt i enlighet med dokumenterade policyer. Personuppgifter anonymiseras, raderas säkert och/eller förstörs när de inte längre behövs.

Företagsledningen har fastställt tydligt definierade roller och ansvarsområden för att övervaka utformningen och implementeringen av informationssäkerhetskontroller.

Företagets säkerhetsåtaganden kommuniceras till kunder i Master Service Agreements (MSA) eller användarvillkor (TOS).

Företaget kräver att autentisering till system och applikationer sker med ett unikt användarnamn och lösenord eller med auktoriserade Secure Socket Shell (SSH)-nycklar.

Företagets nätverk är segmenterat för att förhindra obehörig åtkomst till kunddata.

Företaget specificerar sina mål för att möjliggöra identifiering och bedömning av risker kopplade till dessa mål.

Företaget har processer på plats för att bevilja, ändra och avsluta fysisk åtkomst till företagets datacenter baserat på ett godkännande från kontrollägare.

Individer kan välja att acceptera eller avvisa icke-nödvändiga cookies, och inga personuppgifter behandlas utan giltigt samtycke.

Företaget upprätthåller ett organisationsschema som beskriver organisationsstrukturen och rapporteringslinjerna.

Upprätta en beskrivning av ditt system för avsnitt III i revisionsrapporten.

Företaget krypterar bärbara och flyttbara medieenheter när de används.

Företaget har ett externt supportssystem på plats som gör det möjligt för användare att rapportera systemfel, incidenter, frågor och andra klagomål till relevant personal.

Företagets chefer är skyldiga att genomföra prestationsutvärderingar för sina direktrapporterande medarbetare minst årligen.

Ledningen och/eller juridiskt ombud granskar och godkänner metoder för insamling av personuppgifter för att säkerställa rättvis och laglig behandling.

Företaget kräver att förändringar av tjänstens programvaru- och infrastrukturkomponenter ska vara behörigen godkända, formellt dokumenterade, testade, granskade och godkända innan de implementeras i produktionsmiljön.

Individer, kunder eller behöriga kontoinnehavare kan uppdatera sina personuppgifter för att säkerställa att de är korrekta och fullständiga.

Företaget har en policy för dataklassificering för att säkerställa att konfidentiella data skyddas korrekt och begränsas till behörig personal.

Företaget kommunicerar systemändringar till behöriga interna användare.

Företaget meddelar rättelser eller raderingar av en individs personuppgifter till behöriga användare och relevanta tredje parter som personuppgifterna har delats med eller överförts till.

Företaget kräver att anställda bekräftar en uppförandekod vid anställningstillfället. Anställda som bryter mot uppförandekoden kan bli föremål för disciplinära åtgärder i enlighet med en disciplinpolicy.

Företaget kräver autentisering till "produktionsnätverket" med unika användarnamn och lösenord eller auktoriserade Secure Socket Shell (SSH)-nycklar.

Företaget har planer för verksamhetskontinuitet och katastrofåterställning på plats som beskriver kommunikationsplaner för att upprätthålla informationssäkerhetens kontinuitet vid otillgänglighet av nyckelpersonal.

Företaget kräver att entreprenörer undertecknar ett sekretessavtal vid tidpunkten för uppdragets start.

Företaget lämnar information när personuppgifter samlas in eller används för nya ändamål som inte tidigare har angivits i integritetspolicyn.

Företaget informerar kunder om kritiska systemändringar som kan påverka deras behandling.

Företaget kräver att autentisering till produktionsdatalager använder auktoriserade, säkra autentiseringsmekanismer, såsom en unik SSH-nyckel.

Företaget inhämtar en individs samtycke och preferenser i samband med eller före tidpunkten för datainsamling, upprätthåller dokumentation och implementerar de valda preferenserna i rätt tid.

Företaget kräver att besökare registrerar sig vid ankomst, bär en besöksbricka och eskorteras av en behörig medarbetare vid tillträde till datacentret eller säkra områden.

Företagets styrelseledamöter har tillräcklig kompetens för att övervaka ledningens förmåga att utforma, implementera och driva informationssäkerhetskontroller. Styrelsen anlitar vid behov externa experter och konsulter inom informationssäkerhet.

Företagets formella policyer beskriver kraven för sårbarhetshantering och systemövervakning.

Företaget kräver att entreprenörsavtal inkluderar en uppförandekod eller en hänvisning till företagets uppförandekod.