Политика безопасности

I. Обзор.

Этот документ представляет собой общий обзор TOM Matterport. Matterport оставляет за собой право изменять или пересматривать эти TOM в любое время по своему усмотрению без предварительного уведомления при условии, что такое изменение или пересмотр не приводит к существенному ухудшению защиты персональных данных, которые Matterport обрабатывает при предоставлении своих различных Услуг.

II. Общая ответственность.

Условия TOM Matterport применяются ко всем стандартным предложениям услуг, предоставляемым Matterport, за исключением тех областей, в которых клиент разделяет ответственность за безопасность и конфиденциальность TOM.

Matterport применяет модель совместной ответственности, согласно которой ответственность за безопасность данных разделяется между Matterport и клиентом. Эта общая модель может помочь облегчить операционную нагрузку клиента.

Matterport несет ответственность за защиту инфраструктуры, на которой работают все Услуги, предлагаемые в рамках облачных Сервисов Matterport. Эта инфраструктура состоит из оборудования, программного обеспечения, сетей и средств, на которых работают облачные службы. Matterport управляет и контролирует компоненты, начиная с операционной системы хоста и уровня виртуализации и заканчивая физической безопасностью объектов, на которых работает служба.

Matterport размещает все свои приложения с помощью Amazon Web Services (AWS) в мультитенантной среде. Это позволяет Matterport масштабно развертывать свою базу во всей своей инфраструктуре и поэтому Сервисы могут обслуживать множество клиентов. Matterport в настоящее время не поддерживает однопользовательские среды. Клиент несет ответственность за управление своими учетными записями и видимость своих моделей. Клиент может иметь дополнительные обязанности в зависимости от типа облачных услуг, которые выбирает клиент. Тип облачных услуг определяет объем работы по настройке, которую клиент должен выполнить в рамках своих обязанностей по обеспечению безопасности.

III. Технические и организационные меры.

Matterport поддерживает следующие правила TOM для защиты персональных данных:

1. Программа информационной безопасности. Matterport отвечает за организационный и управленческий персонал, ответственный за разработку, внедрение и поддержание программы информационной безопасности Matterport.

2. Политика безопасности. Matterport обязуется поддерживать политики информационной безопасности и следить за тем, чтобы политики и меры регулярно пересматривались, а также вносить изменения в такие политики, которые Matterport считает целесообразными для обеспечения защиты Услуг и данных, обрабатываемых в них.

3. Управление рисками. Matterport оценит риски, связанные с обработкой персональных данных, и создаст план действий по снижению выявленных рисков. Matterport будет поддерживать процедуры оценки рисков для целей такого периодического анализа, мониторинга и поддержания соблюдения политик и процедур Matterport, а также отчетности о состоянии своей информационной безопасности и соответствия требований внутреннего руководства.

4. Физическая безопасность. AWS обеспечивает физическую и экологическую безопасность инфраструктуры Matterport, содержащей конфиденциальную информацию клиентов, предназначенную для: (i) защиты информационных активов от несанкционированного физического доступа, (ii) управления, мониторинга и регистрации перемещения людей на объекты Matterport и из них, и (iii) Защитите себя от опасностей окружающей среды, таких как пожар и наводнение.

5. Системная и сетевая безопасность.

• Сетевая безопасность. Matterport будет поддерживать средства контроля сетевой безопасности, такие как брандмауэры, управление удаленным доступом через виртуальные частные сети или решения для удаленного доступа, сегментацию сети и обнаружение несанкционированной или вредоносной сетевой активности посредством ведения журнала безопасности и мониторинга, предназначенные для защиты систем от вторжений и ограничения объема любая успешная атака.
• Безопасность данных. Matterport будет поддерживать средства контроля безопасности данных, которые включают логическое разделение данных, ограниченный (например, на основе ролей) доступ и мониторинг, а также, где это применимо, использование коммерчески доступных и стандартных отраслевых технологий шифрования.
• Шифрование. Matterport использует зашифрованное и аутентифицированное удаленное подключение к вычислительным средам Matterport и системам клиентов. Matterport поддерживает криптографический стандарт, который соответствует рекомендациям отраслевых групп, правительственных публикаций и других авторитетных групп по стандартизации. Этот стандарт периодически пересматривается, а выбранные технологии и шифры могут обновляться в соответствии с оцененным риском и принятием новых стандартов рынком.
  • Транзитное шифрование. Весь сетевой трафик, входящий и исходящий из центров обработки данных Сервисов, включая данные клиентов, шифруется при передаче.
  • Шифрование при хранении. Данные клиента, созданные клиентом, шифруются при хранении с помощью 256-битного шифрования AES.

6. Управление доступом пользователей. Matterport будет поддерживать логический контроль доступа, предназначенный для управления электронным доступом к данным и функциям системы на основе уровней полномочий и должностных функций (например, предоставление доступа на основе служебной необходимости и минимальных привилегий, использование уникальных идентификаторов и паролей для всех пользователей). , периодический пересмотр и своевременный отзыв/изменение доступа при увольнении или изменении должностных функций).

• Управление паролями. Matterport будет поддерживать средства управления паролями, предназначенные для управления и контроля надежности, срока действия и использования паролей, включая запрет пользователям делиться паролями. Matterport обязуется обеспечить наличие стандартов защиты паролей, соответствующих принятым в отрасли системам безопасности, чтобы обеспечить достаточный контроль.
• Защита рабочей станции. Matterport внедрит защиту на устройствах конечных пользователей и будет следить за тем, чтобы эти устройства соответствовали стандарту безопасности, требующему тайм-аут блокировки экрана, вредоносное ПО, программное обеспечение брандмауэра, удаленное администрирование, обмен файлами без аутентификации, шифрование жесткого диска и соответствующие уровни исправлений. Внедрены средства контроля для обнаружения и устранения отклонений от соответствия требованиям на рабочих станциях. Matterport проведет безопасную дезинфекцию физических носителей, предназначенных для повторного использования, перед таким повторным использованием, а также уничтожит физические носители, не предназначенные для повторного использования.
• Работа со СМИ. Matterport внедрит меры защиты портативных носителей информации от повреждения, уничтожения, кражи или несанкционированного копирования, а также личных данных, хранящихся на портативных носителях, посредством шифрования и безопасного удаления данных, когда они больше не нужны. Дополнительные аналогичные меры будут реализованы для мобильных вычислительных устройств для защиты персональных данных.

7. Аудит и протоколирование. Matterport будет поддерживать системный аудит или регистрацию событий, а также соответствующие процедуры мониторинга для упреждающей регистрации доступа пользователей и активности системы для регулярного анализа. Matterport будет создавать, защищать и сохранять такие записи журнала в объеме, необходимом для обеспечения мониторинга, анализа, расследования и отчетности о незаконной, несанкционированной или ненадлежащей активности информационных систем, включая успешные и неудачные события входа в учетную запись, управление учетной записью, события, события безопасности, объект доступ, изменение политики, привилегированные функции, создание/удаление учетной записи администратора и другие действия администратора, удаление данных, доступ к данным и их изменение, журналы брандмауэра и изменения разрешений.

8. Управление изменениями. Matterport будет поддерживать процедуры управления изменениями и механизмы отслеживания, предназначенные для тестирования, утверждения и мониторинга всех изменений в технологиях и информационных активах Matterport. Любые модификации приложений, произведенные Matterport (или третьей стороной), которые приведут к серьезным изменениям или нарушениям непрерывности (кроме модификаций, связанных с корректирующим обслуживанием), будут сообщены клиентам до запуска, чтобы клиент мог принять необходимые меры для устранения любых проблем. такой разрыв.

9. Управление угрозами и уязвимостями. Matterport будет поддерживать меры, предназначенные для регулярного выявления, управления, оценки, смягчения и/или устранения уязвимостей в вычислительных средах Matterport.

Меры включают:

• Управление исправлениями
• Антивирус/антивредоносное ПО
• Рекомендации по уведомлениям об угрозах
• Сканирование уязвимостей (все внутренние системы)
• Ежегодное тестирование на проникновение (системы с выходом в Интернет) в рамках
• устранение выявленных уязвимостей сторонней охранной фирмой.

10. Инциденты безопасности. Matterport будет поддерживать процедуры реагирования на инциденты, позволяющие расследовать, реагировать, смягчать и уведомлять о событиях, связанных с технологиями и информационными активами Matterport. Matterport будет следовать задокументированным процедурам реагирования на инциденты для соблюдения применимых законов и правил, включая уведомление об утечке данных любому Контролеру данных, без неоправданной задержки, но в любом случае в течение сорока восьми (48) часов после подтверждения Matterport факта утечки персональных данных, известного или есть обоснованные подозрения, что они могут повлиять на персональные данные клиентов.

11. Планы обеспечения непрерывности бизнеса. Matterport будет поддерживать определенные процедуры обеспечения устойчивости/непрерывности бизнеса и аварийного восстановления, в зависимости от обстоятельств, предназначенные для поддержания обслуживания и восстановления после прогнозируемых чрезвычайных ситуаций или катастроф в соответствии со стандартными отраслевыми практиками.

12. Управление поставщиками. Matterport поддерживает официальную программу управления поставщиками, включая проверки безопасности критически важных поставщиков, чтобы гарантировать соответствие политикам информационной безопасности Matterport. Matterport может привлекать и использовать поставщиков, выступающих в качестве субобработчиков, которые получают доступ, хранят или обрабатывают определенные данные клиентов. 

13. Конфиденциальность по замыслу. Matterport будет внедрять принципы Privacy by Design для систем и усовершенствований на самых ранних стадиях разработки, а также ежегодно обучать всех сотрудников вопросам безопасности и конфиденциальности.

14. Безопасность удаленных и сохраненных данных. Matterport сохраняет операционные процедуры и средства контроля для безопасного удаления систем и носителей, чтобы сделать всю информацию или данные, содержащиеся в них, не поддающимися расшифровке или восстановлению до окончательного удаления или освобождения от владения Matterport. Matterport хранит резервные данные в облачном хранилище в течение семи (7) дней и может хранить другие данные в соответствии с действующим законодательством и внутренними политиками хранения Matterport.