Politica de securitate - Matterport Asia Centrală

Политики Matterport


Siguranța politică

Ultima modificare: iulie 2023

Cuprins

Măsurile de securitate tehnice și organizatorice ale Matterport („TOM”) descriu controalele implementate de Matterport pentru a proteja informațiile personale și a asigura securitatea, confidențialitatea, integritatea și disponibilitatea continuă a produselor și serviciilor Matterport, așa cum sunt descrise în orice acord cu clientul („Servicii”).

I. Обзор политики безопасности

Acest document oferă o prezentare generală a Termenilor de Utilizare (TOM) Matterport. Matterport își rezervă dreptul de a modifica sau revizui acești Termeni de Utilizare în orice moment, la discreția sa exclusivă, fără notificare prealabilă, cu condiția ca o astfel de modificare sau revizuire să nu afecteze în mod semnificativ protecția datelor cu caracter personal prelucrate de Matterport în furnizarea diverselor sale Servicii.

II. Responsabilitate generală

Termenii TOM ai Matterport se aplică tuturor ofertelor de servicii standard furnizate de Matterport, cu excepția acelor domenii în care clientul își asumă responsabilitatea pentru securitatea și confidențialitatea TOM.

Matterport utilizează un model de responsabilitate partajată, prin care responsabilitatea pentru securitatea datelor este împărțită între Matterport și client. Acest model partajat poate ajuta la ușurarea sarcinii operaționale a clientului.

Matterport este responsabil pentru securizarea infrastructurii care alimentează toate Serviciile oferite în cadrul serviciilor cloud Matterport. Această infrastructură constă în hardware-ul, software-ul, rețelele și facilitățile care alimentează serviciile cloud. Matterport gestionează și controlează componente, de la sistemul de operare gazdă și stratul de virtualizare până la securitatea fizică a facilităților în care rulează serviciul.

Matterport găzduiește toate aplicațiile sale folosind Amazon Web Services (AWS) într-un mediu multi-tenant. Acest lucru permite Matterport să implementeze baza de date la scară largă pe întreaga sa infrastructură, permițând serviciilor sale să deservească mai mulți clienți. Matterport nu acceptă în prezent medii cu un singur chiriaș. Clienții sunt responsabili pentru gestionarea conturilor lor și asigurarea vizibilității modelelor lor. Se pot aplica responsabilități suplimentare în funcție de tipul de serviciu cloud selectat. Tipul de serviciu cloud determină cantitatea de lucru de configurare necesară clientului ca parte a responsabilităților sale de securitate.

III. Măsuri tehnice și organizatorice

Matterport respectă următoarele reguli TOM pentru protecția datelor cu caracter personal:

1. Program de securitate a informațiilor. 

Matterport este responsabilă pentru personalul organizațional și de management responsabil de dezvoltarea, implementarea și întreținerea programului de securitate a informațiilor Matterport.

2. Politica de securitate.

 Matterport se angajează să mențină politicile de securitate a informațiilor și să se asigure că aceste politici și măsuri sunt revizuite periodic și că Matterport va face modificările acestor politici pe care le consideră adecvate pentru a asigura protecția Serviciilor și a datelor prelucrate în cadrul acestora.

3. Managementul riscurilor.

 Matterport va evalua riscurile asociate cu prelucrarea datelor cu caracter personal și va crea un plan de acțiune pentru atenuarea riscurilor identificate. Matterport va menține proceduri de evaluare a riscurilor în scopul analizei periodice, monitorizării și menținerii conformității cu politicile și procedurile Matterport, precum și raportării privind starea securității informațiilor sale și conformitatea cu cerințele de management intern.

4. Securitate fizică. 

AWS oferă securitate fizică și de mediu pentru infrastructura Matterport care conține informații sensibile ale clienților, concepute pentru a: (i) proteja activele informaționale împotriva accesului fizic neautorizat, (ii) gestiona, monitoriza și înregistra mișcarea persoanelor către și din facilitățile Matterport și (iii) proteja împotriva pericolelor de mediu, cum ar fi incendiile și inundațiile.

5. Securitatea sistemului și a rețelei.

  • Securitatea rețelei. Matterport va oferi suport pentru controale de securitate a rețelei, cum ar fi firewall-uri, controlul accesului de la distanță prin VPN-uri sau soluții de acces la distanță, segmentarea rețelei și detectarea activității neautorizate sau rău intenționate în rețea prin înregistrarea în jurnal și monitorizarea securității, concepute pentru a proteja sistemele de intruziuni și a limita domeniul de aplicare al oricărui atac reușit.
  • Securitatea datelor. Matterport va menține controale de securitate a datelor care includ separarea logică a datelor, acces și monitorizare limitate (de exemplu, bazate pe roluri) și, acolo unde este cazul, utilizarea tehnologiilor de criptare disponibile comercial și standarde industriale.
  • Criptare. Matterport utilizează conexiuni la distanță criptate și autentificate la mediile de calcul Matterport și la sistemele clienților. Matterport menține un standard criptografic care respectă recomandările grupurilor industriale, publicațiilor guvernamentale și altor organisme de standardizare autorizate. Acest standard este revizuit periodic, iar tehnologiile și metodele de criptare selectate pot fi actualizate pe baza riscului evaluat și a adoptării pe piață a noilor standarde.
    • Criptarea tranzitului. Tot traficul de rețea către și dinspre centrele de date ale Serviciilor, inclusiv datele clienților, este criptat în timpul transmisiei.
    • Criptare în repaus. Datele create de client sunt criptate în repaus folosind criptare AES pe 256 de biți.

6. Gestionarea accesului utilizatorilor.

 Matterport va susține controale logice de acces concepute pentru a gestiona accesul electronic la datele și funcțiile sistemului pe baza nivelurilor de autoritate și a funcțiilor postului (de exemplu, acordarea accesului pe baza principiului „nevoie de a cunoaște” și a privilegiilor minime, utilizarea unor ID-uri și parole unice pentru toți utilizatorii, revizuirea periodică și revocarea/modificarea la timp a accesului la încetarea contractului sau la schimbarea funcțiilor postului).

  • Gestionarea parolelor. Matterport va menține instrumente de gestionare a parolelor concepute pentru a gestiona și controla puterea, expirarea și utilizarea parolelor, inclusiv împiedicarea utilizatorilor să partajeze parole. Matterport se angajează să asigure că standardele de securitate a parolelor se aliniază cu sistemele de securitate acceptate în industrie pentru a asigura controale adecvate.
  • Securitatea stațiilor de lucru. Matterport va implementa securitate pe dispozitivele utilizatorilor finali și se va asigura că aceste dispozitive respectă standardele de securitate care impun expirarea blocării ecranului, protecție împotriva programelor malware, software firewall, administrare la distanță, partajare de fișiere neautentificată, criptare a hard disk-ului și niveluri adecvate de patch-uri. Au fost implementate controale pentru a detecta și remedia problemele de conformitate pe stațiile de lucru. Matterport va dezinfecta în siguranță suporturile fizice destinate reutilizării înainte de o astfel de reutilizare și va distruge suporturile fizice care nu sunt destinate reutilizării.
  • Lucrul cu mediile. Matterport va implementa măsuri pentru a proteja mediile de stocare portabile împotriva deteriorării, distrugerii, furtului sau copierii neautorizate, precum și datele cu caracter personal stocate pe medii de stocare portabile, prin criptare și ștergere securizată a datelor atunci când nu mai sunt necesare. Măsuri similare suplimentare vor fi implementate pentru dispozitivele mobile de calcul pentru a proteja datele cu caracter personal.

7. Audit și înregistrare în jurnal.

 Matterport va menține auditarea sistemului sau înregistrarea evenimentelor, precum și proceduri de monitorizare adecvate, pentru a înregistra proactiv accesul utilizatorilor și activitatea sistemului în vederea analizelor regulate. Matterport va crea, securiza și păstra astfel de înregistrări în jurnal în măsura necesară pentru a permite monitorizarea, analiza, investigarea și raportarea activității ilegale, neautorizate sau necorespunzătoare a sistemului informatic, inclusiv conectări reușite și nereușite la cont, evenimente de gestionare a contului, evenimente de securitate, acces la obiecte, modificări de politici, funcții privilegiate, crearea/ștergerea contului de administrator și alte acțiuni ale administratorului, ștergerea datelor, accesul și modificarea datelor, jurnalele firewall-ului și modificările permisiunilor.

8. Managementul schimbării. Matterport va menține proceduri de gestionare a schimbărilor și mecanisme de urmărire concepute pentru a testa, aproba și monitoriza toate modificările aduse tehnologiilor și activelor informaționale ale Matterport. Orice modificări ale aplicației efectuate de Matterport (sau de o terță parte) care duc la schimbări majore sau întreruperi ale continuității (cu excepția modificărilor legate de întreținerea corectivă) vor fi comunicate clienților înainte de lansare, astfel încât clientul să poată lua măsurile necesare pentru a remedia orice astfel de întrerupere.

9. Managementul amenințărilor și vulnerabilităților. Matterport va menține măsuri concepute pentru a identifica, gestiona, evalua, atenua și/sau remedia în mod regulat vulnerabilitățile din mediile de calcul ale Matterport.

Măsurile includ:

  • Gestionarea patch-urilor
  • Antivirus/Anti-malware
  • Ghiduri de notificare a amenințărilor
  • Scanare vulnerabilități (toate sistemele interne)
  • Testarea anuală a penetrării (sisteme cu acces la internet) ca parte a
  • Eliminarea vulnerabilităților identificate de către o companie de securitate terță parte.

10. Incidente de securitate. Matterport va menține proceduri de răspuns la incidente pentru a investiga, răspunde, atenua și notifica evenimentele care implică tehnologia și activele informaționale ale Matterport. Matterport va urma proceduri documentate de răspuns la incidente pentru a se conforma legilor și reglementărilor aplicabile, inclusiv notificarea oricărei încălcări de date către orice Operator de date fără întârzieri nejustificate, dar în orice caz în termen de patruzeci și opt (48) de ore de la confirmarea de către Matterport a unei încălcări de date cu caracter personal despre care se știe sau se suspectează în mod rezonabil că afectează datele cu caracter personal ale clientului.

11. Planuri de continuitate a afacerii. Matterport va menține anumite proceduri de continuitate/reziliență a activității și de recuperare în caz de dezastru, după caz, concepute pentru a menține serviciul și recuperarea în urma unor situații de urgență sau dezastre previzibile, în conformitate cu practicile standard din industrie.

12. Managementul furnizorilor. Matterport menține un program formal de gestionare a furnizorilor, inclusiv audituri de securitate ale furnizorilor critici, pentru a asigura conformitatea cu politicile de securitate a informațiilor Matterport. Matterport poate angaja și utiliza furnizori ca subcontractanți care accesează, stochează sau procesează anumite date ale clienților. 

13. Confidențialitate prin design. Matterport va implementa principiile de confidențialitate prin proiectare pentru sisteme și îmbunătățiri încă de la începuturile dezvoltării și va oferi anual tuturor angajaților instruire privind securitatea și confidențialitatea.

14. Securitatea datelor șterse și stocate. Matterport menține proceduri operaționale și controale pentru ștergerea securizată a sistemelor și suporturilor media, astfel încât toate informațiile sau datele conținute în acestea să fie indescifrabile sau irecuperabile până la ștergerea definitivă sau eliberarea din posesia Matterport. Matterport păstrează datele de rezervă în spațiul de stocare în cloud timp de șapte (7) zile și poate păstra alte date în conformitate cu legislația aplicabilă și cu politicile interne de păstrare ale Matterport.

eroare: Conținutul este protejat împotriva !!