Medidas de segurança
Este documento descreve medidas e controlos técnicos e organizacionais de segurança, implementados pela Cision para proteger dados pessoais e garantir a confidencialidade, integridade e disponibilidade contínua dos produtos e serviços da Cision.
Este documento é uma visão geral das medidas de segurança técnica e organizacional da Cision. Mais detalhes sobre as medidas que implementámos, estão disponíveis mediante solicitação. A Cision reserva o direito de proceder a alterações dessas medidas técnicas e organizacionais, a qualquer momento, sem aviso prévio, desde que tais alterações não reduzam ou enfraqueçam de forma significativa a proteção fornecida aos dados pessoais que a Cision processa no fornecimento dos seus serviços. Na eventualidade, improvável, da Cision reduzir significativamente a sua segurança no processamento destes dados, os clientes serão notificados.
A Cision compromete-se a efetuar as seguintes medidas técnicas e organizacionais de segurança para proteger os dados pessoais:
1. Gestão organizacional e existência de pessoal dedicado responsável pelo desenvolvimento, implementação e manutenção da segurança da informação Cision.
2. Procedimentos de auditoria e de avaliação de riscos, com o objetivo de rever e avaliar periodicamente riscos para a Cision, monitorizando e mantendo a conformidade com as políticas e procedimentos da Cision, e relatando a condição de segurança e conformidade da informação à equipa de gestão interna sénior.
3. Manter políticas de segurança da informação, rever regularmente as políticas e medidas e, quando necessário, melhorá-las.
4. A comunicação com aplicações Cision utiliza protocolos criptográficos, como o TLS, para proteger informação transmitida através de redes públicas. As fronteiras da rede, stateful firewalls, firewalls de aplicativos Web e proteção contra DDoS são métodos usados para filtrar ataques. Dentro da rede interna, as aplicações seguem um modelo de várias camadas que permite utilizar controlos de segurança entre cada camada.
5. Controlos de segurança de dados que incluem, no mínimo, mas não se limitam a, segregação lógica de dados, acesso e monitorização restritos (por exemplo, com base nas funções) e, quando aplicável, utilização de tecnologias de encriptação padrão e disponíveis comercialmente.
6. Controlo de acesso lógico desenvolvido para a gestão do acesso eletrónico a dados e a funcionalidades do sistema com base em níveis de autoridade e funções de trabalho (por exemplo, concessão de acesso com base na necessidade de informação e privilégio mínimo, utilização de IDs e palavras-passe exclusivas a cada utilizador, revisão regular e revogação/alteração dos acessos imediatamente após o fim de um contrato ou em caso de alterações nas funções).
7. Controlo de palavras-passe de forma a gerir e controlar o nível de segurança e o uso da senha. Inclui a proibição de partilhar as palavras-passe com outros utilizadores.
8. Auditoria do sistema ou registo de eventos e procedimentos de monitorização relacionados de forma a registar proactivamente o acesso do utilizador e a sua atividade no sistema para revisão rotineira.
9. Segurança física e ambiental do data center, das instalações da sala de servidores e outras áreas que contenham informações confidenciais do cliente de modo a: (i) proteger recursos de informação contra o acesso físico não autorizado, (ii) gerir, monitorizar e registar movimentos de pessoas dentro e fora das instalações da Cision e (iii) proteger contra riscos ambientais, como calor, fogo e danos causados pela água.
10. Procedimentos e controlos operacionais que proporcionam configuração, monitorização e manutenção da tecnologia e dos sistemas de informação de acordo com padrões internos e adotados pela indústria, incluindo o descarte seguro de sistemas e média, de forma a que toda a informação ou dados neles contidos sejam indecifráveis ou irrecuperáveis antes de descarte final ou libertação da posse da Cision.
11. Procedimentos de controlo das modificações e mecanismos de rastreamento que testem, aprovem e monitorizem todas as alterações na tecnologia e nos ativos de informação da Cision.
12. Procedimentos de gestão de incidentes/problemas para permitir que a Cision investigue, responda, mitigue e notifique eventos relacionados com a tecnologia e os recursos de informação da Cision.
13. Controlos de segurança de rede que permitem o uso de firewalls corporativos e arquiteturas DMZ em camadas, além de sistemas de deteção de invasão e outros procedimentos de correlação de tráfego e eventos desenvolvidos para proteger os sistemas contra invasões e limitar o alcance de qualquer ataque bem-sucedido.
14. Avaliação de vulnerabilidades, gestão de patches e tecnologias de proteção contra ameaças e procedimentos programados de monitorização projetados para identificar, avaliar, mitigar e proteger contra ameaças de segurança identificadas, vírus e outros tipos de código malicioso.
15. Procedimentos de Resiliência/Continuidade Empresarial e de Recuperação de Desastre, concebidos para a manutenção do serviço e/ou recuperação de situações de emergência ou desastres previsíveis.