Bezpečnosť

Náš prístup k bezpečnosti

Carsdata pôsobí ako dátová infraštruktúra pre európsky automobilový trh a dôvernosť, integrita a dostupnosť údajov, ktoré nám boli zverené, sú pre túto úlohu zásadné. Uplatňujeme prístup obrany do hĺbky: bezpečnosť je zabudovaná do toho, ako platformu navrhujeme, budujeme a prevádzkujeme, a nie pridaná dodatočne. Táto stránka zhŕňa technické a organizačné opatrenia, ktoré udržiavame. Poskytuje sa pre transparentnosť a netvorí súčasť žiadnej zmluvy; konkrétne záväzky sú stanovené v príslušnej zmluve o poskytovaní služieb a v Zmluve o spracúvaní osobných údajov.

Riadenie a súlad

Náš bezpečnostný program je navrhnutý okolo kontrolných mechanizmov a Trust Services Criteria stanovených v medzinárodne uznávaných rámcoch – vrátane ISO/IEC 27001 a SOC 2 – a naše postupy podľa nich neustále posudzujeme a zlepšujeme. Osobné údaje spracúvame v súlade s GDPR a naše spracúvanie v mene zákazníkov sa riadi našou Zmluvou o spracúvaní osobných údajov.

Za bezpečnosť sa zodpovedá na úrovni manažmentu, čo je podporené zdokumentovanými politikami pokrývajúcimi prijateľné používanie, riadenie prístupu, klasifikáciu údajov, riadenie zmien, riadenie dodávateľov a reakciu na incidenty. Politiky sa revidujú pravidelne a po akejkoľvek významnej zmene nášho prostredia.

Hosting údajov a infraštruktúra

Platforma beží na infraštruktúre etablovaných poskytovateľov cloudu, ktorí prevádzkujú certifikované, fyzicky zabezpečené dátové centrá. Osobné údaje sú hostované predovšetkým v rámci Európskej únie / Európskeho hospodárskeho priestoru. Naša infraštruktúra je logicky oddelená, nasadená naprieč odolnými zónami dostupnosti a spravovaná prostredníctvom infraštruktúry ako kódu tak, aby boli prostredia konzistentné, preskúmateľné a reprodukovateľné.

Šifrovanie

Údaje pri prenose sú šifrované pomocou TLS cez verejné siete. Údaje v pokoji sú šifrované pomocou silných, priemyselne štandardných algoritmov. Šifrovacie kľúče sú spravované prostredníctvom služieb správy kľúčov našich poskytovateľov cloudu, s prístupom obmedzeným na oprávnené systémy a zamestnancov.

Riadenie prístupu

Prístup k systémom a údajom sa riadi zásadami minimálnych oprávnení a potreby vedieť. Administratívny prístup vyžaduje viacfaktorové overenie, udeľuje sa na základe roly, je zaznamenávaný, pravidelne sa preskúmava a bezodkladne sa odoberá, keď už nie je potrebný. Tam, kde je to podporované, môže byť prístup zákazníka k platforme federovaný prostredníctvom jednotného prihlásenia (SSO).

Bezpečnosť siete a aplikácií

Naša sieť je chránená firewallmi, bezpečnostnými skupinami a segmentáciou, ktoré obmedzujú prevádzku na to, čo je nevyhnutné. Aplikácie sú chránené pred bežnými webovými zraniteľnosťami prostredníctvom bezpečného návrhu, validácie vstupov a zabezpečených konfigurácií a verejné koncové body sú chránené ochranami proti volumetrickým útokom a útokom na aplikačnej vrstve.

Bezpečný životný cyklus vývoja

Zmeny platformy prechádzajú pred vydaním systémom správy verzií, partnerskou kontrolou kódu a automatizovaným testovaním. V našich procesoch používame automatizované skenovanie závislostí a zraniteľností, oddeľujeme vývojové, testovacie a produkčné prostredia a dodržiavame riadený proces správy zmien tak, aby boli vydania sledovateľné a vratné.

Monitorovanie, zaznamenávanie a detekcia

Aplikačné, infraštruktúrne a prístupové záznamy zhromažďujeme centrálne a monitorujeme anomálnu aktivitu a problémy s dostupnosťou. Upozornenia smerujú k zodpovednému tímu tak, aby bolo možné potenciálne problémy bezodkladne preskúmať a riešiť.

Riadenie zraniteľností a testovanie

Naše systémy a závislosti pravidelne skenujeme na známe zraniteľnosti a odstraňujeme ich na základe priority podľa rizika. Na vykonávanie pravidelného penetračného testovania zapájame kvalifikované tretie strany a zistenia riešime podľa ich závažnosti.

Zálohy a kontinuita prevádzky

Údaje sa pravidelne zálohujú, pričom zálohy sú šifrované a uložené oddelene od primárnych systémov. Udržiavame plány kontinuity prevádzky a obnovy po havárii s definovanými cieľmi obnovy a testujeme svoju schopnosť obnoviť službu tak, aby sme sa dokázali zotaviť z narušenia s minimálnym dopadom.

Bezpečnosť personálu

Zamestnanci sú viazaní povinnosťami mlčanlivosti a absolvujú školenia o bezpečnosti a ochrane osobných údajov primerané ich role, a to pri nástupe aj priebežne. Prístup k produkčným údajom je obmedzený na tých, ktorí ho potrebujú na svoju prácu, a odníma sa, keď zmenia rolu alebo odídu.

Subsprostredkovatelia a riadenie dodávateľov

Na poskytovanie Služieb zapájame obmedzený počet starostlivo vybraných subsprostredkovateľov – predovšetkým poskytovateľov cloudovej infraštruktúry a úložiska. Posudzujeme bezpečnostnú pripravenosť našich dodávateľov, zaväzujeme ich primeranými zmluvnými povinnosťami v oblasti ochrany osobných údajov a bezpečnosti a udržiavame aktuálny zoznam subsprostredkovateľov, ako je uvedené v našej Zmluve o spracúvaní osobných údajov.

Reakcia na incidenty

Udržiavame zdokumentovaný proces reakcie na incidenty pokrývajúci detekciu, triedenie, zadržanie, odstránenie, obnovu a poincidentné preskúmanie. V prípade porušenia ochrany osobných údajov týkajúceho sa údajov zákazníka informujeme dotknutých zákazníkov bez zbytočného odkladu a podporujeme ich pri plnení ich vlastných oznamovacích povinností v súlade s GDPR a našou Zmluvou o spracúvaní osobných údajov.

Ochrana osobných údajov a súkromie

Bezpečnosť a súkromie sa riešia spoločne. Uplatňujeme zásady minimalizácie údajov a obmedzenia účelu, spracúvame osobné údaje v súlade s GDPR a spracúvanie vykonávané v mene zákazníkov riadime prostredníctvom našej Zmluvy o spracúvaní osobných údajov. Podrobnosti o tom, ako nakladáme s osobnými údajmi, nájdete v našich Zásadách ochrany osobných údajov.

Nahlásenie zraniteľnosti

Vítame hlásenia od bezpečnostných výskumníkov a používateľov. Ak sa domnievate, že ste našli bezpečnostnú zraniteľnosť v Carsdata.com, kontaktujte nás prosím na info@carsdata.com s dostatočnými podrobnosťami na reprodukciu problému. Žiadame vás, aby ste nám dali primeranú možnosť problém preskúmať a odstrániť pred akýmkoľvek verejným zverejnením a aby ste sa vyhli prístupu k údajom, ktoré nie sú vaše vlastné, alebo ich úprave. Vaše hlásenie potvrdíme a budeme vás informovať o našom pokroku.