Puikiai suprantame duomenų saugumo ir pramonės standartų laikymosi svarbą. Mūsų įsipareigojimas apsaugoti duomenis ir laikytis patikimos saugos praktikos išlieka svarbiausiu prioritetu. Tačiau, remiantis mūsų vidiniu vertinimu, mūsų tvarkomi duomenys neapima neskelbtinos informacijos ir SOC 2 saugumo sertifikatas šiuo metu mums nėra būtinas. Žinoma, būsime pasirengę persvarstyti šį sprendimą ateityje, jei mūsų duomenų apdorojimo reikalavimai pasikeistų arba išplėstų įtraukiant neskelbtiną informaciją.

Siekdami suteikti daugiau patikinimo dėl duomenų saugos praktikos, norėtume apibūdinti keletą pagrindinių dalykų, patvirtinančių mūsų įsitikinimą, kad išorinis auditas nereikalingas:

1. Duomenų pobūdis: visą mūsų apdorojamų duomenų sąrašą galima rasti mūsų privatumo politikos 24 skiltyje, kurią galima peržiūrėti mūsų paslaugų teikimo sąlygų 16 skiltyje. Nors pripažįstame, kad svarbu apsaugoti visus mums patikėtus duomenis, netvarkome neskelbtinos informacijos, tokios kaip asmens identifikavimo informacija (PII), finansiniai įrašai ir kt.
2. Rizikos įvertinimas: atlikome išsamų savo sistemų ir procesų rizikos įvertinimą, atsižvelgdami į tokius veiksnius kaip prieigos prie duomenų kontrolė, šifravimas, tinklo saugumas ir reagavimo į incidentus protokolai. Mūsų vidaus kontrolė ir saugos priemonės atitinka geriausią pramonės praktiką, skirtą apsaugoti neskelbtinus duomenis.
3. Nuolatinis saugos stebėjimas: nuolat stebime stebėjimo ir aptikimo sistemas, kad galėtume greitai nustatyti ir sumažinti galimas grėsmes saugumui ar pažeidimus. Mūsų atsidavusi IT komanda reguliariai atlieka vidinius auditus ir vertinimus, siekdama užtikrinti, kad saugos priemonės išliktų veiksmingos.

Mūsų vidaus kontrolė ir saugos priemonės apima:

• Prieigos kontrolę: įdiegėme griežtą prieigos kontrolę, siekdami užtikrinti, kad tik įgalioti asmenys turėtų prieigą prie mūsų sistemų ir duomenų. Vartotojo prieiga suteikiama remiantis mažiausių privilegijų principu, t. y., darbuotojams suteikiama prieiga tik prie duomenų ir sistemų, reikalingų jų darbo pareigoms atlikti. Naudotojo prieiga yra reguliariai peržiūrima ir nedelsiant atšaukiama darbuotojui išėjus arba pasikeitus vaidmenims.
• Duomenų šifravimą: naudojame pramonės standartinius šifravimo protokolus, kad apsaugotume saugomus bei siunčiamus duomenis. Tai apima stiprių šifravimo algoritmų naudojimą, siekiant apsaugoti neskelbtiną informaciją, pvz., slaptažodžius, finansinius duomenis ar bet kokius kitus duomenis, kurie gali būti pažeisti.
• Tinklo saugą: mūsų tinklo infrastruktūra yra apsaugota naudojant užkardas, įsibrovimų aptikimo ir prevencijos sistemas bei reguliarius pažeidžiamumo vertinimus. Mes reguliariai atnaujiname ir pataisome savo sistemas, kad apsaugotume nuo žinomų pažeidžiamumų ir kylančių grėsmių.
• Reagavimą į incidentus: turime išsamų reagavimo į incidentus planą, kad galėtume greitai ir veiksmingai pašalinti visus saugumo incidentus ar pažeidimus. Mūsų planas apima iš anksto nustatytus veiksmus, kaip sustabdyti incidentą, ištirti jo pagrindinę priežastį, sušvelninti jo poveikį ir atkurti normalią veiklą. Reguliariai rengiame pratybas, kad užtikrintume reagavimo į incidentus procedūrų veiksmingumą.
• Darbuotojų mokymą ir informavimą: pirmenybę teikiame darbuotojų mokymo ir informavimo programoms, kad savo organizacijoje ugdytume saugumu grindžiamą kultūrą. Mūsų darbuotojai reguliariai mokomi apie geriausią duomenų saugumo praktiką, įskaitant tokias temas kaip slaptažodžių higiena, informavimas apie sukčiavimą ir tinkamas duomenų tvarkymas. Tai padeda užtikrinti, kad visi darbuotojai žinotų savo pareigas palaikant duomenų saugumą.
• Auditą ir stebėjimą: mes palaikome išsamias audito ir stebėjimo sistemas, kad galėtume sekti ir registruoti veiklą mūsų sistemose. Tai leidžia mums greitai nustatyti bet kokį įtartiną ar neleistiną elgesį. Reguliarus sistemos žurnalų ir saugos kontrolės auditas atliekamas siekiant nustatyti ir pašalinti galimus trūkumus ar pažeidžiamumą.