Hos GumGum tager vi sikkerheden af dine data alvorligt. Da gennemsigtighed er et af de principper, som vores virksomhed bygger på, bestræber vi os på at være så klare og åbne som muligt om den måde, vi håndterer sikkerheden på. Vi forstår, at du stoler på, at GumGums tjenester sikrer dig optimal ydeevne. Vi er fast besluttede på at gøre GumGum til en tjeneste med høj tilgængelighed, som du kan stole på. Vores infrastruktur kører på systemer, der er fejltolerante, både i tilfælde af nedbrud på enkelte servere og endda hele datacentre.
Resumé
GumGum, Inc., herunder alle dets datterselskaber, har implementeret og/eller vil være ansvarlig for at sikre, at hver af dets underdatabehandlere implementerer og træffer foranstaltninger, der har til formål at:
- Forhindre uautoriserede personers adgang til det databehandlingsudstyr, der anvendes til behandling af personoplysninger (adgangskontrol til udstyret).
- Forhindre uautoriseret læsning, kopiering, ændring eller fjernelse af datamedier, der indeholder personoplysninger (mediekontrol).
- Forhindre uautoriseret indsigt i, ændring af eller sletning af lagrede personoplysninger (lagringskontrol).
- Forhindre, at uautoriserede personer benytter automatiserede databehandlingssystemer ved hjælp af datakommunikationsudstyr, der anvendes til behandling af personoplysninger (brugerkontrol).
- Adgangen til personoplysninger for personer, der er bemyndiget til at benytte et automatiseret databehandlingssystem, skal begrænses til omfanget og varigheden af deres adgangsrettigheder (kontrol med adgangen til data).
- Sørg for, at det er muligt at kontrollere, til hvilke personer personoplysninger er blevet overført eller stillet til rådighed ved hjælp af datakommunikationsudstyr (kommunikationskontrol).
- Sørg for, at det kan kontrolleres, hvilke personer der indtaster personoplysninger i automatiserede databehandlingssystemer, og hvornår dette sker (indtastningskontrol).
- Forhindre uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger under overførsel af disse oplysninger eller under transport af datamedier (transportkontrol).
- Sørg for, at det er muligt at gendanne installerede systemer, der anvendes til behandling af personoplysninger, i tilfælde af afbrydelser (gendannelse).
- Sikre, at de funktioner i systemet, der anvendes til behandling af personoplysninger, fungerer korrekt, at eventuelle fejl i funktionerne rapporteres (pålidelighed), og forhindre, at lagrede personoplysninger beskadiges som følge af en funktionsfejl i systemet (integritet).
Vejledende principper
GumGum følger disse retningslinjer ved udvikling og implementering af sikkerhedsforanstaltninger:
- GumGum bestræber sig på at beskytte fortroligheden, integriteten og tilgængeligheden af sine egne og sine kunders informationsaktiver.
- Vi vil overholde gældende amerikanske og internationale love om privatlivsbeskyttelse og databeskyttelse.
- Vi vil afveje behovet for effektivitet i virksomheden mod behovet for at beskytte følsomme, ejendomsretligt beskyttede eller andre fortrolige oplysninger mod unødvendige risici.
- Ved hjælp af passende (krypterede) autentificeringsforanstaltninger vil vi kun give adgang til følsomme, beskyttede eller andre fortrolige oplysninger til personer, der har behov for at kende disse oplysninger, og som har det lavest mulige adgangsniveau, der er nødvendigt for at udføre deres tildelte opgaver.
- Da vi er klar over, at en klog medarbejderstab udgør det bedste forsvar, vil vi tilbyde sikkerhedsuddannelse og ressourcer, der skal hjælpe den enkelte med at forstå og opfylde sine forpligtelser inden for informationssikkerhed.
Fortrolighed
Vi fører streng kontrol med vores medarbejderes adgang til de data, som du og dine brugere stiller til rådighed via GumGum-tjenesterne, som nærmere defineret i din aftale med GumGum om brugen af GumGum-tjenesterne („kundedata“). Driften af GumGum-tjenesterne kræver, at visse medarbejdere har adgang til de systemer, der lagrer og behandler kundedata. For eksempel kan det være nødvendigt for os at få adgang til dine kundedata for at diagnosticere et problem, du har med GumGum-tjenesterne. Disse medarbejdere må ikke bruge disse tilladelser til at se kundedata, medmindre det er nødvendigt. Vi har indført tekniske kontrolforanstaltninger og revisionspolitikker for at sikre, at enhver adgang til kundedata logges.
Personalepraksis
GumGum foretager baggrundstjek af alle medarbejdere inden ansættelsen, og medarbejderne modtager undervisning i privatlivsbeskyttelse og sikkerhed både i forbindelse med indkøringen og løbende (årligt). Derudover skal alle medarbejdere ved ansættelsen underskrive og overholde vores fortrolighedsaftaler. Vi indføjer ligeledes fortrolighedsforpligtelser i alle vores aftaler med leverandører og konsulenter.
Adgang
Systemadgangsrettighederne vil være begrænset til kun de rettigheder, der er nødvendige for at udføre opgaverne (minimalitetsprincippet). Når opgaverne er afsluttet, vil adgangsrettigheden blive slettet eller blokeret. Anmodninger om adgangsrettigheder er underlagt adskillelse af ansvarsområder. Tildeling og styring af rettigheder vil blive dokumenteret. Hvis adgang til personoplysninger ikke er udtrykkeligt nødvendig, vil adgangen ikke blive tilladt. Brugerrettigheder tildeles således, at der kun gives adgang i det omfang, det er nødvendigt for en opgave eller rolle, f.eks. læse-, skrive- og ændringsrettigheder osv. Adgang via eksterne netværk skal være tilstrækkeligt beskyttet (kryptering, autentificering osv.). Der skal implementeres sikre adgangskodeprotokoller baseret på den aktuelle teknologiske udvikling.
Cloud-server
I henhold til GumGums aftale om standardmodelklausuler behandler eller opbevarer GumGum ikke forbrugerdata lokalt, og vi har fastlagt klausuler for overførsel og opbevaring af data på forskellige cloud-baserede servere:
- USA (Virginia og Oregon) til AWS
- Irland
- Tokyo
Hvad angår GumGums hovedkontor, vil den fysiske adgang til faciliteterne blive kontrolleret både ved områdets ydergrænse og ved indgangene til bygningen af professionelt sikkerhedspersonale, videoovervågning samt adgang via nøglekort og alarmsystem for at få adgang til kontorets etager uden for åbningstiden. Autoriseret personale skal have adgang via nøglekort til bestemte etager i åbningstiden, og alle besøgende og underleverandører skal melde sig hos autoriseret personale.
Datasikkerhed
Tjenesterne leveres ved hjælp af krypteringsmetoder og -produkter, der er standard i branchen og bredt anerkendt, for at beskytte tjenesteudbyderens data og kommunikation under overførsel, herunder kryptering af data under overførsel og kryptering af data i hvile. Derudover krypteres tjenesteudbyderens data under overførsel mellem datacentre med henblik på replikering. Stort set alle data opbevares på en cloud-server, og vores robuste informationssikkerhedspolitik indeholder procedurer, der sikrer, at der er etableret passende sikkerhedskontrolforanstaltninger på netværket, herunder netværksadskillelse og andre foranstaltninger til at minimere risikoen for sikkerhedshændelser, herunder datalækager som følge af malware, vira, spyware osv. Perimeterkontroller beskytter vores netværk mod eksterne angreb. Firewalls, der er konfigureret i henhold til gældende tekniske standarder og procedurer, adskiller vores betroede netværk fra internettet eller miljøer, der er forbundet med internettet.
Overvågning
Indtastning, ændringer og sletning af personoplysninger registreres og gennemgås regelmæssigt med henblik på at afdække ulovlig databehandling. Adgangslogfilerne indeholder en oversigt over alle vellykkede og mislykkede logonforsøg, der er initieret af brugeren eller systemet. Alle aktiviteter, der er relevante for systemets sikkerhed, og som udføres med administratorrettigheder, logges. Logdataene opbevares på en måde, der forhindrer manipulation, sikrer hurtig tilgængelighed og overholder lovmæssige krav. Kun autoriserede brugere har adgang til logdataene.
Tilgængelighed
For at mindske risikoen for datatab vil der blive foretaget regelmæssige sikkerhedskopieringer. Desuden vil databehandlingssystemerne blive vedligeholdt og opdateret på passende vis. Følgende sikkerhedsforanstaltninger er iværksat som led i tilgængelighedskontrollen (bl.a.): (a) procedurer for sikkerhedskopiering, (b) arkitektur med flere lokationer og (c) redundans i kritiske systemer.
Håndtering af hændelser
GumGum har formelle politikker og procedurer for håndtering af sikkerhedshændelser og skal underrette berørte parter (herunder enkeltpersoner, kunder, leverandører, partnere og, hvis relevant, tilsynsmyndigheder) uden unødig forsinkelse, så snart selskabet bliver bekendt med utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til tjenesteudbyderdata, herunder personoplysninger, som overføres, lagres eller på anden måde behandles af GumGum eller dets underdatabehandlere, og som GumGum bliver bekendt med (en »hændelse vedrørende brud på tjenesteudbyderdata«). GumGum skal gøre en rimelig indsats for at identificere årsagen til en sådan hændelse vedrørende tjenesteudbyderdata og træffe de foranstaltninger, som GumGum anser for nødvendige og rimelige for at afhjælpe årsagen til en sådan hændelse vedrørende tjenesteudbyderdata, i det omfang afhjælpningen ligger inden for GumGums rimelige kontrol. Forpligtelserne heri gælder ikke for hændelser, der er forårsaget af tjenesteudbyderen eller tjenesteudbyderens brugere.
Infrastruktursikkerhed
Miljøet vil blive beskyttet mod almindelige trusler ved hjælp af metoder, der er standard i branchen, herunder: (a) webapplikations-firewalls; (b) systemer til detektering og forebyggelse af indtrængen; (c) sårbarhedsscanning af infrastrukturen og (d) sårbarhedsscanning af webapplikationer.
Hvis du har yderligere spørgsmål vedrørende sikkerhed, besvarer vi dem gerne. Du kan skrive til vores Global Compliance Officer på: compliance@gumgum.com, så svarer vi så hurtigt som muligt.