跳到内容

信息安全与合规

概述

安全是每个人的责任

卢比孔河控股有限责任公司(“卢比孔河”)致力于信息安全,保护公司和客户的数据。卢比孔河认为安全是每个人的责任。我们的信息安全计划侧重于安全信任原则概述了由美国注册会计师协会(AICPA)。卢比孔河已经成功地完成了SOC2 Type2审计的安全程序。Type2审计将关注我们的软件即服务(SaaS)的解决方案。我们项目由几种策略和控制重点访问、资产管理、内部审计和遵从性、连续性、信息沟通、组织管理、风险管理、软件开发和变更管理和安全操作。卢比孔河最终认为信息安全是每个人的责任。

认证

信息安全

卢比孔河网络安全项目是基于NIST 800 - 53年和其他行业最佳实践框架和支持41(41)政策和一百三十四(134)控制。这些政策和控制审计和验证通过SOC2 Type2审计二氧化硫的过程。

控制环境

卢比孔河理解展示伦理价值的重要性和完整性顶部“语气”的心态。卢比孔河已经建立了员工手册,可接受的使用政策和行为准则。

卢比孔河董事会(“董事会”)是最终负责独立监管的卢比孔河操作和自己的责任。通过审计委员会,董事会提供的内部控制监督卢比孔河内操作的环境。

卢比孔河的行政领导团队(“英语教学”)是专注于为客户提供价值。安全被认为是公司的一个关键组成部分。安全被认为是控制的关键推动者交付价值的客户通过我们的产品和服务。英语教学,通过信息安全领导和连续性的领导委员会(ILC2),负责公司的日常管理的姿势有关安全、隐私、业务连续性、预防欺诈和内幕的威胁。

卢比孔河内英语教学负责经营活动。管理开发了一个正式的组织图表描述的角色和职责,汇报线,和授权,相关的设计、实现和操作作为信息安全计划的一部分。

卢比孔河利用云计算平台来管理其信息安全项目。

英语教学认识到高技能的人是成功的关键。控制开发支持招聘、保留和发展主管人员。背景调查是进行所有员工加入公司。至少每年的性能和开发人员评估管理确认所有人员能够继续履行职责。此外,员工安全意识培训完成新员工培训的时候,至少每年。

一个正式的变更管理和软件开发生命周期(SDLC)流程定义来控制设计,开发,测试,和实现卢比孔河应用程序和基础设施的修复和改进。

日志记录和监控工具是用来监控系统容量和性能基于定义的阈值。条件或事件的警报被启用,超过这些阈值和调查,及时解决。当事人也可以跟踪状态页的系统和应用程序的可用性点击这里和订阅更新。

事件管理的政策和程序以及已经建立了一个事件响应计划和实施。这些政策和计划每年至少审查和测试,或根据需要。

记录数据备份和保留策略和流程存在,并已提供给指导相关人员在执行这些过程的控制。利用基于云的解决方案采取的快照关键应用程序和系统数据和组件。快照是自动化的,以确保缓解对中断的风险和满足定义的服务水平协议(SLA)。

卢比孔河脆弱性管理程序,订阅行业最佳实践配置和修补。配置和补丁管理流程来确认系统安全配置和修补。卢比孔河的劳动力获得使用最小特权原则和当前的最佳品种安全操作控制包括,但不限于,多因素身份验证(MFA),病毒防护,人工智能驱动报警和阻塞。卢比孔河还拥有独立的第三方渗透测试,进行季度。事件反应和业务连续性管理桌面演习每年进行。

卢比孔河执行年度风险评估,这需要识别风险和适当的风险减少措施需要实现和维护解决此类风险。评估过程识别相关风险安全、隐私、业务连续性、预防欺诈和内幕的威胁。确定风险缓解策略记录和实现的组织。卢比孔河评估风险的可能性和影响通过计算确定风险,然后分配一个风险处理策略识别风险;这些包括减轻、避免、接受和传递。

筛选潜在的第三方对特定风险因素的基础上,服务(s)或产品(s)是依照卢比孔河采购供应商管理过程。现有的第三方评估基于性能和遵守sla。保密和保密承诺需要第三方签署的卢比孔河打算参与。第三方的卢比孔河进行业务必须由一个正式的协议。

内部政策和控制进行了综述至少每年。控制通过一个内部控制评估和测试发现缺陷及时处理。进行内部审计,发现ILC2报道和评述。

所有系统和应用程序都是由一个正式的访问控制策略。政策设计的基于角色的访问控制(RBAC),职责分离和最小特权原则。这一政策支持与强密码复杂性要求,多因素身份验证(MFA),审计,和其他技术控制。

所有全职员工完成安全意识培训新员工培训的时候,每年。卢比孔河也进行和参与桌面演习,妥协评估,违反准备评估,管理威胁狩猎,和其他类型的练习。卢比孔河还使用当前新闻、指标和数据,告知员工风险,最佳实践和bcm的问题。

免费Subservice组织控制(CSOC)

卢比孔河安全控制只覆盖部分的整体控制列表为每个卢比孔河的SaaS产品。是不可行的与这些产品有关的控制目标的实现只能通过卢比孔河。因此,每个实体的控制必须评估与卢比孔河的安全控制,考虑到相关互补Subservice组织控制(csoc)预计将实现Subservice组织如下所述。

云计算服务提供商(s):卢比孔河利用subservice组织对于云计算服务(“云提供商”)。这些云供应商负责提供物理和环境安全控制,访问系统,基础设施,以及其他适用的组件和事件反应相关的安全事件。云提供商负责隔离卢比孔河从其他客户环境。云提供商文档的所有领域的责任。卢比孔河评论云提供商的安全文档的一部分公司的第三方供应商管理政策和控制。

csoc控制卢比孔河假定将由subservice实现组织需要实现一个或多个信托服务标准规定在这个报告。subservice组织重要卢比孔河服务,包括适用信托服务标准,旨在满足subservice组织与控制相结合的控制界限,如下:

*注意:下面的清单提出不应被视为一个全面的列表的所有控件,应该使用这个或任何其他subservice组织

控制活动预计将由云提供商实现 适用信托标准
云提供商负责限制逻辑和物理访问数据中心设施,备份媒体,和其他系统组件包括防火墙、路由器和服务器。 CC6.1, CC6.2、CC6.3 CC6.4、CC6.5 CC6.6, CC6.7, CC6.8 CC9.2
云提供商负责实施措施,以防止或减轻威胁与风险评估一致。此外,云提供商负责评估安全事件的影响,影响客户沟通此事,修正这些攻击事件,朝着未来事件的预防。 CC3.1、CC3.3 CC4.1、CC4.2 CC6.3, CC6.8, CC7.2, CC7.3, CC7.4, CC7.5, CC9.1 CC9.2
云提供商负责维护客户环境的隔离(s)从其他供应商的客户。 CC6.1, CC6.6

云提供商负责维护系统日志的完整性及其相关配置。云提供商必须监控系统组件和操作来确定安全事故(怀疑和实际),除了自然灾害的迹象。 CC5.3、CC7.1 CC7.2 PI1.4


云提供商负责证明诚信和道德价值观和行为操作和与客户的关系。 CC1.1
云提供商负责展示独立治理和监督管理。云提供商负责各级控股个人负责他们的操作和安全控制。云提供商还负责任何第三方供应商的管理与访问客户环境。 C1.2、C1.3 C1.4
云提供商负责与客户沟通(如需要)影响功能和安全事项和操作控制。 CC2.3
云提供商负责识别变化,可能会严重影响系统的安全控制,包括影响,无论是积极的,还是消极的客户。 CC3.4, CC8.1
云提供商负责监测环境条件(温度、火和水),泄漏检测,UPS电池的寿命和容量,和其他关键设备来帮助维护服务的可用性。 A1.2
云提供商负责数据的备份和恢复的环境和通知卢比孔河任何问题关于他们的备份数据的可用性或完整性。 A1.2

免费用户实体控件(CUEC)

卢比孔河安全控制只覆盖部分的整体控制列表为每个卢比孔河的SaaS产品。是不可行的与这些产品有关的控制目标的实现只能通过卢比孔河。因此,每个实体的控制必须评估与卢比孔河的安全控制,考虑到相关的补充用户实体控件(CUECs)预计将在客户组织实现如下所述。

*注意:下面的清单提出不应被视为一个全面的列表的所有控件,应该使用这个或任何其他subservice组织

互补的用户实体控件 信任相关标准
客户负责展示承诺诚信道德价值观和行动,和机密性。他们的组织内的各级客户持有个人负责控制在追求商业目标和安全责任。 CC1.1、CC1.3 CC1.5
客户负责审查和代理通知(根据需要)卢比孔河通信对系统的变化,维护窗口,或其他事项影响安全。 CC2.2, CC2.3
客户负责处理数据和这些数据的准确性,按照公司保密政策。另外,客户是负责实现通用访问控制和SaaS产品(s)的活动。 CC3.2、CC5.2 CC5.3
客户负责授权用户分配用户名和密码,激活MFA如果认为有必要,和维护登录凭证的机密性。 CC6.1
客户负责定期检查终端用户的访问SaaS产品(s)的有效性和适当性,使在及时纠正的变化。 CC6.2, CC6.3
客户限制传动,运动,并根据需要删除客户信息和负责发行的创造和传播最佳实践客户数据。 CC6.7
客户负责提供对设备的物理访问和保护信息资产。 CC6.4, CC6.5
客户负责部署安全控制与操作相关的预防和检测安全事故,除了作用于安全事故是怀疑或实际。 CC6.8
客户负责监视操作和操作数据异常识别和安全事故的迹象,自然灾害等。 CC7.2
客户端必须评估疑似或实际的安全事件和行动补救事件和解决事件和防止未来的性质类似的事件。 CC7.3、CC7.4 CC7.5

隐私

卢比孔河理解保持私人数据的重要性。可以找到我们的隐私政策在这里。卢比孔河努力维持控制数据的隐私控制实现。这些控件的帮助下开发第三方专家和遵循的指导方针CCPA和GDPR与卢比孔河被定义为一个数据处理器。这样,客户或数据保留的所有权和控制他们的数据,而卢比孔河负责处理这些数据代表客户或数据主题。另外,客户,消费者,或数据主题,以下简称“客户”负责任何控制标识为免费用户实体控制(CUEC)(上图)。卢比孔河已经采取措施自查符合适用的数据保护法律以及调试隐私程序做一次独立的评估。

隐私

隐私操作

我们的隐私程序包括以下操作控制:

  • 年度回顾的卢比孔河发表了隐私政策,除了所有其他隐私相关政策的评论包括数据保护、内部隐私、数据分类、保留和处置、数据和信息处理、访问控制等
  • 获得的数据收集从客户同意
  • 定义程序数据请求和响应查询,包括隐私法律约束力的拒绝请求
  • 确保客户数据(我)不习惯在非生产环境中,(2)保留适用客户所在管辖,和(3)根据客户需求加工和处理和/或适用的法律
  • 256位传输中数据的加密和静止和肯塔基州的使用管理系统(公里)
  • 内部审计进行关注隐私政策和控制的有效性
联系我们
隐私

业务连续性和弹性

卢比孔河实现了业务连续性管理系统(bcm),侧重于SaaS的交付和维护产品和服务。bcm雇佣了连续性和弹性的关键支柱包括业务影响分析(BIA),业务连续性计划(BCP),我们的业务连续性政策,程序管理,危机管理,内部审计,我们声明的适用性(SoA)。

隐私

bcm

bcm聚光灯影响过程、过程和活动SaaS产品和服务在一个事件或中断,因为它涉及到财务,运营,声誉,法律和监管的结果。卢比孔河bcm的管理包括以下:

  • 项目管理手册定义的卢比孔河bcm的目的,组织的背景下,法律和监管要求,项目范围、风险评估和考虑风险,变更管理,意识,培训和锻炼,沟通、文档、业务规划和控制,性能监控、维护和持续改进、管理评审、内部审计及不合格和纠正措施。
  • 每个函数的记录BIA的年度审核,包括关键活动和流程和适用的高峰时期,计算最大可容许的中断(MTPD),计算恢复时间目标(RTO)和最小业务连续性目标(MBCO)。偏见也评估关键依赖于其他业务单位、供应商、和信息资产。此外,每个BIA认为影响和可能性(概率)的损失如果(我)物理工作网站,(ii)技术和通讯服务,(3)损失的员工,(iv)失去关键的业务合作伙伴。
  • 每个函数的记录BCP的年度审核。这些评论关注经营活动和结果的一个事件或中断。每个BCP定义通用任务相关的激活函数的BCP除了单位或函数专用任务开始BCP被激活一次。每个BCP还概述了战略和解决方案与中断相关网站,技术/通信服务,员工流失,失去关键的业务合作伙伴。
  • 危机管理计划和沟通剧本指出了卢比孔河方法危机沟通,了解危机的景观,角色和职责、场景处理和预先核准的消息通信感兴趣。
  • 年度功能领导审核,年度意识,锻炼和测试和管理评审。

服务可用性

卢比孔河服务可用性(“SA”)承诺对于一个给定的日历月为99.5%。计算这一承诺如下所述:

SA=(总时间-计划外停机计划保养)/(总计划保养)X 100

这些值列在上面的公式定义如下:

  • 总时间本月总分钟
  • 计划外停机总分钟不可用将在本月计划外停机
  • 计划维护月计划维护的总分钟。目前,计划保养四(4)小时每周维护,四(4)小时每月维护、和四(4)小时季度维护。卢比孔河目前的每周维护周五晚十点开始。(东部);每月维护开始凌晨02:00点。周六(东部);和季度维护始于周六凌晨06:00时。(东部)。所有时间如有更改,恕在合理的通知。如果实际维修超过规定的时间计划维护,它被认为是计划外停机。如果实际维护小于时间分配计划维护,时间不是应用信用来抵消任何计划外停机时间。服务可用性的度量点的卢比孔河服务的可用性。客户可以要求每月一次可用性报告。

与灾难恢复(DR),卢比孔河致力于恢复时间目标(RTO)的十二(12)小时,测量从卢比孔河服务不可用,直到再次可用。卢比孔河致力于恢复点目标(RPO)一(1)小时,测量从第一个事务是失去了直到卢比孔河服务不可用。

利害关系方可以通过浏览我们的监控服务可用性状态页和选择订阅更新。

欺诈和内幕威胁保护

卢比孔河理解金融合规的临界和金融安全的重要性。我们继续推动改善基本控件支持逻辑安全、物理安全、变更管理、技术操作,访问管理和数据保护。活动支持欺诈防范和内部威胁包括:

  • 初始创建程序卢比孔河内幕的威胁
  • 桌面锻炼的欺诈检测和激活内部威胁的活动
  • 标准作业程式、工作流和诉讼功能的知识管理和电子搜索活动
  • 政策内部威胁、访问控制、事件响应、变更管理、第三方管理、备份和恢复,处理完整性等。
  • 支持访问控制授权、数据丢失和预防(DLP),评论,和撤销,变更授权和管理,数据迁移,紧急变更,职责分离,种族隔离的环境中,密码复杂性、供应商管理、报告、接口和协议,行为准则等。
  • 通过可移动媒体环境限制,数据共享,zero-trust代理部署到所有的工作站,通过微软产品套件和限制数据协作来减轻对数据丢失
  • 背景和参考检查上执行所有全职员工(招聘)

有问题吗?

与我们的合规团队取得联系

联系我们