Cision安全声明
本安全声明旨在为您提供有关我们的安全基础设施和实践的更多信息。我们的隐私政策包含有关我们如何处理所收集数据的更多信息。
资讯保安政策
Cision制定了书面的信息安全政策,规定了员工的职责和信息系统资源的可接受使用。在提供对Cision信息系统的授权访问之前,组织会收到来自用户的签名确认,表明他们已经阅读、理解并同意遵守行为规则。本政策在必要时定期审查和更新。
我们的安全政策涵盖了广泛的安全相关主题,从每个员工都必须遵守的一般标准,如帐户、数据和物理安全,到涵盖内部应用程序和信息系统的更专门的安全标准。
组织安全
在组织内部定义了信息安全角色和职责。安全团队专注于信息安全,全球安全审计和合规性,以及为保护Cision的硬件基础设施定义安全控制。安全团队定期接收信息系统安全通知,并在适当评估风险和影响后,定期向组织分发安全警报和咨询信息。
Cision遵循NIST网络安全框架,具有分层的安全控制,以帮助识别、预防、检测和响应安全事件。信息安全经理还负责事件跟踪、漏洞评估、威胁缓解和风险管理。
资产管理
Cision的数据和信息系统资产包括客户和最终用户资产以及公司资产。这些资产类型在我们的安全策略和程序下进行管理。处理这些资产的Cision授权人员必须遵守Cision安全政策规定的程序和指导方针。
人员的安全
Cision员工必须按照公司的指导方针行事,包括保密、商业道德、适当使用和专业标准。所有新聘用的员工都必须签署保密协议,并承认Cision的行为准则政策。该准则概述了公司的期望,即每个员工都将合法、道德、诚信地开展业务,并尊重彼此以及公司的用户、合作伙伴和竞争对手。有适当的流程和程序来处理从公司入职和离职的员工。
作为新员工入职培训的一部分,为员工提供安全培训。此外,Cision的每位员工都必须阅读、理解并参加有关公司行为准则的培训课程。
物理及环境安全
Cision拥有策略、过程和基础设施来处理其数据中心的物理安全性以及数据中心赖以运行的环境。
我们的信息系统和基础设施托管在世界一流的数据中心,这些数据中心在地理上分散,为Cision及其客户提供高可用性和冗余。在每个数据中心实施的标准物理安全控制包括电子卡访问控制系统、火灾报警和灭火系统、内部和外部摄像头以及保安人员。物理访问集中管理,由数据中心人员严格控制。所有访客和承包商必须出示身份证件,必须登录,并由授权工作人员陪同通过数据中心。
进入安装或存储系统或系统组件的区域与一般办公室和公共区域隔离。这些区域的摄像头和警报器都被24x7集中监控,以防止可疑活动,保安人员还会定期巡逻这些设施。服务器提供冗余的内部电源和外部电源。数据中心有备用电源,可以从柴油发电机和备用电池中获取电力。这些数据中心已完成SOC (Service Organization Controls) 2 Type II审计。
操作安全
变更管理
Cision维护变更管理流程,以确保对生产环境所做的所有变更都以审慎的方式应用。信息系统、网络设备和其他系统组件的变更,以及物理和环境的变更,都通过正式的变更控制过程进行监视和控制。在实施后对变更进行审查、批准、测试和监控,以确保预期的变更按预期运行。
供应商与供应商关系
Cision喜欢与在合法、道德和诚信方面具有相同或相似价值观的供应商和供应商合作。作为审查过程的一部分,我们筛选我们的供应商和供应商,并使他们承担适当的保密和安全义务,特别是如果他们管理客户数据。
我们的采购部门可能会不时对Cision供应商和供应商进行审计,以确保我们的第三方供应商或供应商可能处理的数据的机密性、完整性和可用性。
审计和日志记录
我们维护系统的审计日志。这些日志提供了哪些人员访问了哪些系统的帐户。通过限制授权个人访问我们的审计和日志记录工具来控制访问。安全事件由训练有素的安全团队成员记录、监控和处理。网络组件、工作站、应用程序和任何监视工具都可以监视用户活动。
定义了响应事件的组织职责。记录关键系统配置更改的安全事件和管理员在更改时收到警报。在我们的安全控制指南中定义了各种日志的保留计划。
防病毒和恶意软件防护
反病毒和恶意代码保护集中管理和配置,以检索可用的更新签名和定义。恶意代码保护策略会自动对这些保护机制应用更新。反病毒工具配置为运行扫描、病毒检测、实时文件写入活动和签名文件更新。笔记本电脑和远程用户受病毒保护。
系统备份
Cision有备份标准和指南,以及相关的程序,以定期和及时的方式执行备份和恢复数据。建立控制以帮助保护备份数据(现场和场外)。我们还努力确保客户数据安全地传输到备份位置或从备份位置传输。定期测试从备份设备中恢复数据是否安全。
网络安全
我们的基础架构服务器位于高可用性防火墙之后,并被监视以检测和预防各种网络安全威胁。防火墙用于帮助限制外部网络对系统的访问以及内部系统之间的访问。默认情况下,所有访问都被拒绝,根据业务需要只允许显式允许的端口和协议。
Cision保持独立的开发和生产环境。我们的下一代防火墙(ngfw)通过建立安全区域来控制网络流量,从而提供足够的网络分段。这些流量由严格的防火墙安全策略定义。
在网络中部署了自动化工具,以支持对事件的近实时分析,以支持检测系统级攻击。部署在数据中心和远程办公站点内的下一代防火墙监视出站通信,以发现异常或未经授权的活动,这可能是恶意软件(例如,恶意代码、间谍软件、广告软件)存在的一个指标。
数据保护
Cision一直致力于开发支持最新推荐的安全密码套件和协议的产品,以加密传输中的流量。我们密切监控不断变化的密码领域,并努力升级我们的产品,以应对发现的新的密码弱点,并随着它们的发展实现最佳实践。对于传输中的加密,我们这样做的同时也平衡了旧客户端的兼容性需求。
脆弱性管理
进行安全评估是为了识别漏洞并确定补丁管理程序的有效性。审查每个漏洞以确定其是否适用,并根据风险进行排名,并将其分配给适当的团队进行补救。
补丁管理
Cision致力于将最新的安全补丁和更新应用于操作系统、应用程序和网络基础设施,以减少漏洞的暴露。补丁管理流程可以在供应商发布安全补丁更新时实现安全补丁更新。在将补丁部署到生产环境之前,将对其进行测试。
安全网络连接
客户web应用访问配置HTTPS加密。这有助于确保传输中的用户数据是安全、可靠的,并且仅对预期的接收者可用。加密级别协商为SSL或TLS加密,并取决于web浏览器可以支持什么。
访问控制
基于角色的访问
为访问信息系统实现了基于角色的访问控制。有适当的流程和程序来处理自愿或非自愿解雇的员工。我们的数据库、系统和环境中的敏感数据的访问控制设置在需要知道/最少权限必要的基础上。访问控制列表定义了信息系统中任何用户的行为,而安全策略将其限制为授权行为。
认证与授权
我们要求为授权用户提供唯一的帐户id。我们的密码政策涵盖所有适用的信息系统、应用程序和数据库。我们的密码策略强制使用复杂的密码,部署这些策略是为了防止未经授权的密码使用。
Cision员工被授予一组有限的默认权限来访问公司资源,例如他们的电子邮件和公司内部网。员工可以根据他们的具体工作职能获得某些额外的资源。对额外访问的请求遵循一个正式的流程,该流程涉及数据或系统所有者、经理或其他执行人员的请求和批准,这是由我们的安全指南定义的。审批由维护变更审计记录的工作流工具管理。
软件开发生命周期
我们遵循一个明确的方法来开发安全软件,旨在增加我们产品的弹性和可信度。我们的产品部署在一个迭代的、快速的发布开发生命周期中。安全性和安全性测试贯穿于整个软件开发方法。质量保证涉及生命周期的每个阶段,安全最佳实践是所有开发活动的强制方面。
我们的安全开发生命周期遵循标准的安全实践,包括漏洞测试、回归测试、渗透测试和产品安全评估。Cision架构团队定期审查我们的开发方法,以纳入不断发展的安全意识,行业实践,并衡量其有效性。
事件管理
Cision有一个正式的事件响应计划(事件响应计划)和相关程序,以应对信息安全事件。事件响应计划定义了关键人员的职责,并确定了通知的过程和程序。对事件响应人员进行培训,并定期测试事件响应计划的执行情况。
事件响应团队负责为安全事件提供事件处理能力,包括准备、检测和分析、遏制、消除和恢复。
业务连续性和灾难恢复
为了最大限度地减少由于硬件故障、自然灾害或其他灾难造成的服务中断,我们在所有数据中心位置都实施了灾难恢复计划。该程序包括多个组件,以最大限度地减少任何单点故障的风险。对于业务关键型应用程序,应用程序数据被复制到数据中心内的多个系统,在某些情况下,复制到地理上分散的辅助或备份数据中心,以提供足够的冗余和高可用性。我们的数据中心之间的高速连接有助于支持快速故障转移。
数据保护
我们对我们可能处理、处理和存储的客户数据采用一套通用的个人数据管理原则。我们使用适当的物理、技术和组织安全措施保护个人数据。任何Cision处理、处理或存储的非公开信息都是加密的。可能访问这些信息的编辑使用特别加固的工作站,包括使用白名单软件,该软件只允许使用经过批准的应用程序。
我们对敏感的个人数据给予额外的关注和照顾,并在适用的情况下尊重当地法律和习俗。
Cision仅以与根据我们的隐私政策收集或授权的目的相兼容和相关的方式处理个人信息。我们采取一切合理的措施来保护我们从用户那里收到的信息免遭丢失、误用或未经授权的访问、披露、更改和/或破坏。