Палітыка бяспекі | Matterport Asia

палітыкі


Палітычная бяспека

Апошняя змена: ліпень 2023 г.

Змест

Тэхнічныя і арганізацыйныя меры бяспекі Matterport («TOM») апісваюць сродкі кантролю, рэалізаваныя Matterport для абароны персанальных дадзеных і забеспячэнні сталай бяспекі, канфідэнцыйнасці, цэласнасці і даступнасці прадуктаў і паслуг Matterport, як апісана ў любой кліенцкай дамове («Паслугі»). .

I. Агляд

Гэты дакумент уяўляе сабой агульны агляд TOM Matterport. Matterport пакідае за сабой права змяняць ці пераглядаць гэтыя TOM у любы час па сваім меркаванні без папярэдняга апавяшчэння пры ўмове, што такая змена ці перагляд не прыводзіць да істотнага пагаршэння абароны персанальных дадзеных, якія Matterport апрацоўвае пры падаванні сваіх розных паслуг.

II. Агульная адказнасць

Умовы TOM Matterport прымяняюцца да ўсіх стандартных прапаноў паслуг, якія прадстаўляюцца Matterport, за выключэннем тых абласцей, у якіх кліент падзяляе адказнасць за бяспеку і канфідэнцыяльнасць TOM.

Matterport ужывае мадэль сумеснай адказнасці, паводле якой адказнасць за бяспеку дадзеных падзяляецца паміж Matterport і кліентам. Гэтая агульная мадэль можа дапамагчы аблегчыць аперацыйную нагрузку кліента.

Matterport нясе адказнасць за абарону інфраструктуры, на якой працуюць усе Паслугі, прапанаваныя ў рамках хмарных Сэрвісаў Matterport. Гэта інфраструктура складаецца з абсталявання, праграмнага забеспячэння, сетак і сродкаў, на якіх працуюць хмарныя службы. Matterport кіруе і кантралюе кампаненты, пачынаючы з аперацыйнай сістэмы хаста і ўзроўню віртуалізацыі і заканчваючы фізічнай бяспекай аб'ектаў, на якіх працуе служба.

Matterport размяшчае ўсе свае прыкладанні з дапамогай Amazon Web Services (AWS) у мультытэнантным асяроддзі. Гэта дазваляе Matterport маштабна разгортваць сваю базу ва ўсёй сваёй інфраструктуры і таму Сэрвісы могуць абслугоўваць мноства кліентаў. Matterport у цяперашні час не падтрымлівае аднакарыстальніцкія асяроддзя. Кліент нясе адказнасць за кіраванне сваімі ўліковымі запісамі і бачнасць сваіх мадэляў. Кліент можа мець дадатковыя абавязкі ў залежнасці ад тыпу хмарных паслуг, якія выбірае кліент. Тып хмарных паслуг вызначае аб'ём працы па наладзе, якую кліент павінен выканаць у рамках сваіх абавязкаў па забеспячэнні бяспекі.

III. Тэхнічныя і арганізацыйныя меры

Matterport падтрымлівае наступныя правілы TOM для абароны персанальных дадзеных:

1. Праграма інфармацыйнай бяспекі. 

Matterport адказвае за арганізацыйны і кіроўчы персанал, адказны за распрацоўку, укараненне і падтрыманне праграмы інфармацыйнай бяспекі Matterport.

2. Палітыка бяспекі.

 Matterport абавязваецца падтрымліваць палітыкі інфармацыйнай бяспекі і сачыць за тым, каб палітыкі і меры рэгулярна пераглядаліся, а таксама ўносіць змены ў такія палітыкі, якія Matterport лічыць мэтазгоднымі для забеспячэння абароны паслуг і даных, якія апрацоўваюцца ў іх.

3. Упраўленне рызыкамі.

 Matterport ацэніць рызыкі, звязаныя з апрацоўкай персанальных дадзеных, і створыць план дзеянняў па зніжэнні выяўленых рызык. Matterport будзе падтрымліваць працэдуры ацэнкі рызык для мэт такога перыядычнага аналізу, маніторынгу і падтрымання захавання палітык і працэдур Matterport, а таксама справаздачнасці аб стане сваёй інфармацыйнай бяспекі і адпаведнасці патрабаванняў унутранага кіраўніцтва.

4. Фізічная бяспека. 

AWS забяспечвае фізічную і экалагічную бяспеку інфраструктуры Matterport, якая змяшчае канфідэнцыйную інфармацыю кліентаў, прызначаную для: (i) абароны інфармацыйных актываў ад несанкцыянаванага фізічнага доступу, (ii) кіравання, маніторынгу і рэгістрацыі перамяшчэння людзей на аб'екты Matterport і з іх, і (iii) Абараніце сябе ад небяспек і навакольнага асяроддзя, такіх як.

5. Сістэмная і сеткавая бяспека.

  • Сеткавая бяспека. Matterport будзе падтрымліваць сродкі кантролю сеткавай бяспекі, такія як брандмаўэры, кіраванне выдаленым доступам праз віртуальныя прыватныя сеткі або рашэнні для выдаленага доступу, сегментацыю сеткі і выяўленне несанкцыянаванай або шкоднаснай сеткавай актыўнасці з дапамогай вядзення часопіса бяспекі і маніторынгу, прызначаныя для абароны сістэм ад уварванняў і абмежаванні аб'ёму любая успе.
  • Бяспека dannyx. Matterport будзе падтрымліваць сродкі кантролю бяспекі дадзеных, якія ўключаюць лагічны падзел дадзеных, абмежаваны (напрыклад, на аснове роляў) доступ і маніторынг, а таксама, дзе гэта дастасавальна, выкарыстанне камерцыйна даступных і стандартных галіновых тэхналогій шыфравання.
  • Шыфраванне. Matterport выкарыстоўвае зашыфраванае і аўтэнтыфікаванае выдаленае падлучэнне да вылічальных асяроддзяў Matterport і сістэм кліентаў. Matterport падтрымлівае крыптаграфічны стандарт, які адпавядае рэкамендацыям галіновых груп, урадавых публікацый і іншых аўтарытэтных груп па стандартызацыі. Гэты стандарт перыядычна пераглядаецца, а абраныя тэхналогіі і шыфры могуць абнаўляцца ў адпаведнасці з ацэненай рызыкай і прыняццем новых стандартаў рынкам.
    • Транзітнае шыфраванне. Увесь сеткавы трафік, які ўваходзіць і зыходзіць з цэнтраў апрацоўкі дадзеных Сэрвісаў, уключаючы дадзеныя кліентаў, шыфруецца пры перадачы.
    • Шыфраванне пры захоўванні. Дадзеныя кліента, створаныя кліентам, шыфруюцца пры захоўванні з дапамогай 256-бітнага шыфравання AES.

6. Упраўленне доступам карыстальнікаў.

 Matterport будзе падтрымліваць лагічны кантроль доступу, прызначаны для кіравання электронным доступам да дадзеных і функцый сістэмы на аснове ўзроўняў паўнамоцтваў і службовых функцый (напрыклад, падаванне доступу на аснове службовай неабходнасці і мінімальных прывілеяў, выкарыстанне ўнікальных ідэнтыфікатараў і пароляў для ўсіх карыстачоў). , перыядычны перагляд і своечасовы водгук/змена доступу пры звальненні ці змене службовых функцый).

  • Упраўленне паролямі. Matterport будзе падтрымліваць сродкі кіравання паролямі, прызначаныя для кіравання і кантролю надзейнасці, тэрміна дзеяння і выкарыстанні пароляў, уключаючы забарону карыстачам дзяліцца паролямі. Matterport абавязваецца забяспечыць наяўнасць стандартаў абароны пароляў, якія адпавядаюць прынятым у галіны сістэмам бяспекі, каб забяспечыць дастатковы кантроль.
  • Абарона працоўнай станцыі. Matterport укарэніць абарону на прыладах канчатковых карыстачоў і будзе сачыць за тым, каб гэтыя прылады адпавядалі стандарту бяспекі, патрабавальнаму тайм-аўт блакавання экрана, шкоднаснае ПА, праграмнае забеспячэнне брандмаўэра, выдаленае адміністраванне, абмен файламі без аўтэнтыфікацыі, шыфраванне цвёрдай кружэлкі і якія адпавядаюць. Укаранёны сродкі кантролю для выяўлення і ўстаранення адхіленняў ад адпаведнасці патрабаванням на працоўных станцыях. Matterport правядзе бяспечную дэзінфекцыю фізічных носьбітаў, прызначаных для паўторнага выкарыстання, перад такім паўторным выкарыстаннем, а таксама знішчыць фізічныя носьбіты, не прызначаныя для паўторнага выкарыстання.
  • Праца са СМІ. Matterport укарэніць меры абароны партатыўных носьбітаў інфармацыі ад пашкоджання, знішчэння, крадзяжу ці несанкцыянаванага капіявання, а таксама асабістых дадзеных, якія захоўваюцца на партатыўных носьбітах, з дапамогай шыфравання і бяспечнага выдалення дадзеных, калі яны больш не патрэбныя. Дадатковыя аналагічныя меры будуць рэалізаваны для мабільных вылічальных прылад для абароны персанальных даных.

7. Аўдыт і пратакаляванне.

 Matterport будзе падтрымліваць сістэмны аўдыт ці рэгістрацыю падзей, а таксама адпаведныя працэдуры маніторынгу для папераджальнай рэгістрацыі доступу карыстальнікаў і актыўнасці сістэмы для рэгулярнага аналізу. Matterport будзе ствараць, абараняць і захоўваць такія запісы часопіса ў аб'ёме, неабходным для забеспячэння маніторынгу, аналізу, расследавання і справаздачнасці аб незаконнай, несанкцыянаванай або неналежнай актыўнасці інфармацыйных сістэм, уключаючы паспяховыя і няўдалыя падзеі ўваходу ва ўліковы запіс, кіраванне уліковым запісам, падзеі, падзеі бяспекі, аб'ект доступ, змены адміністратара і іншыя дзеянні адміністратара, выдаленне дадзеных, доступ да дадзеных і іх змена, часопісы брандмаўэра і змены дазволаў.

8. Упраўленне зменамі. Matterport будзе падтрымліваць працэдуры кіравання зменамі і механізмы адсочвання, прызначаныя для тэставання, зацвярджэння і маніторынгу ўсіх змен у тэхналогіях і інфармацыйных актывах Matterport. Любыя мадыфікацыі прыкладанняў, вырабленыя Matterport (або трэцім бокам), якія прывядуць да сур'ёзных змен або парушэнняў бесперапыннасці (акрамя мадыфікацый, звязаных з карэкціруючым абслугоўваннем), будуць паведамлены кліентам да запуску, каб кліент мог прыняць неабходныя меры для ўхілення любых праблем. такі разрыў.

9. Кіраванне пагрозамі і ўразлівасцямі. Matterport будзе падтрымліваць меры, прызначаныя для рэгулярнага выяўлення, кіравання, адзнакі, змякчэнні і/ці ўхіленні ўразлівасцяў у вылічальных асяроддзях Matterport.

Меры ўключаюць:

  • Упраўленне выпраўленнямі
  • Антывірус/антышкоднаснае ПЗ
  • Рэкамендацыі па апавяшчэннях аб пагрозах
  • Сканіраванне ўразлівасцяў (усе ўнутраныя сістэмы)
  • Штогадовае тэсціраванне на пранікненне (сістэмы з выхадам у Інтэрнэт) у рамках
  • ухіленне выяўленых уразлівасцяў іншай ахоўнай фірмай.

10. Інцыдэнты бяспекі. Matterport будзе падтрымліваць працэдуры рэагавання на інцыдэнты, якія дазваляюць расследаваць, рэагаваць, змякчаць і апавяшчаць аб падзеях, звязаных з тэхналогіямі і інфармацыйнымі актывамі Matterport. Matterport будзе прытрымлівацца задакументаваным працэдурам рэагавання на інцыдэнты для захавання прыдатных законаў і правіл, уключаючы апавяшчэнне аб уцечцы дадзеных любому Кантралёру дадзеных, без неапраўданай затрымкі, але ў любым выпадку на працягу сарака васьмі (48) гадзін пасля пацверджання Matterport факту ўцечкі персанальных дадзеных паўплываць на персанальныя дадзеныя кліентаў.

11. Планы забеспячэння бесперапыннасці бізнэсу. Matterport будзе падтрымліваць пэўныя працэдуры забеспячэння ўстойлівасці/бесперапыннасці бізнесу і аварыйнага аднаўлення, у залежнасці ад абставін, прызначаныя для падтрымання абслугоўвання і аднаўлення пасля прагназуемых надзвычайных сітуацый або катастроф у адпаведнасці са стандартнымі галіновымі практыкамі.

12. Упраўленне пастаўшчыкамі. Matterport падтрымлівае афіцыйную праграму кіравання пастаўшчыкамі, у тым ліку праверкі бяспекі крытычна важных пастаўшчыкоў, каб гарантаваць адпаведнасць палітыкам інфармацыйнай бяспекі Matterport. Matterport можа прыцягваць і выкарыстоўваць пастаўшчыкоў, якія выступаюць у якасці субапрацоўшчыкаў, якія атрымліваюць доступ, захоўваюць або апрацоўваюць пэўныя дадзеныя кліентаў. 

13. Канфідэнцыяльнасць па задуме. Matterport будзе ўкараняць прынцыпы Privacy by Design для сістэм і ўдасканаленняў на самых ранніх стадыях распрацоўкі, а таксама штогод навучаць усіх супрацоўнікаў пытанням бяспекі і канфідэнцыяльнасці.

14. Бяспека выдаленых і захаваных дадзеных. Matterport захоўвае аперацыйныя працэдуры і сродкі кантролю для бяспечнага выдалення сістэм і носьбітаў, каб зрабіць усю інфармацыю або дадзеныя, якія змяшчаюцца ў іх, якія не паддаюцца расшыфроўцы або аднаўленню да канчатковага выдалення або вызвалення ад валодання Matterport. Matterport захоўвае рэзервовыя дадзеныя ў хмарным сховішчы на ​​працягу сямі (7) дзён і можа захоўваць іншыя дадзеныя ў адпаведнасці з дзеючым заканадаўствам і ўнутранымі палітыкамі захоўвання Matterport.

памылка: