Keamanan

Tindakan Teknis dan Prosedural.

Extu telah menerapkan dan akan mempertahankan langkah-langkah teknis dan prosedural, kontrol internal dan praktik keamanan informasi yang tepat yang dirancang untuk melindungi data yang Diproses oleh Extu berdasarkan Perjanjian, terhadap kehilangan, kerusakan, atau perubahan yang tidak disengaja; pengungkapan atau akses yang tidak sah; atau penghancuran yang melanggar hukum sebagai berikut:

Penyaringan, Pelatihan dan Keamanan Karyawan

  1. Personil. Extu mengambil langkah-langkah yang wajar guna memastikan personelnya memiliki keterampilan, pengalaman, dan pelatihan yang memadai dalam melindungi dan menangani Informasi Pribadi saat menyediakan Layanan.
  2. Pemeriksaan latar belakang. Extu melakukan investigasi latar belakang yang wajar dan sesuai terhadap semua personel sesuai dengan hukum dan peraturan yang berlaku.
  3. Pelatihan. Program pelatihan kepatuhan Extu mencakup persyaratan bagi karyawan dan kontraktor untuk menyelesaikan pelatihan perlindungan data setelah bergabung dengan organisasi, serta pelatihan wajib tahunan tentang perlindungan data dan kesadaran privasi. Mereka juga harus lulus penilaian tahunan. Pelatihan perlindungan data mencakup topik-topik seperti kesadaran keamanan, manajemen insiden data, dan mungkin juga mencakup materi yang berlaku untuk fungsi pekerjaan tertentu.
  4. Kerahasiaan. Extu memastikan bahwa karyawannya berkewajiban untuk menjaga dan melindungi kerahasiaan Informasi Pribadi apa pun yang mereka tangani sesuai dengan Perjanjian ini.

Keamanan Fisik dan Lingkungan

  1. Pusat data. Extu menggunakan pusat data untuk mengelola keamanan fisik dengan akses yang dijaga 24/7 dan pemindai bio metrik. Penyedia pusat data kami memenuhi persyaratan kepatuhan SOC 2.
  2. Kontrol fisik. Extu telah mengadopsi “kebijakan meja rapi dan bersih” yang mengharuskan tidak adanya Informasi Pribadi yang ditinggalkan tanpa pengawasan dan mengharuskan personel untuk mengunci layar komputer mereka saat tidak berada di meja kerja. Semua media cetak yang berisi Informasi Pribadi harus dimusnahkan secara aman (misalnya dengan pembakaran atau penghancuran) sesuai dengan kebijakan penyimpanan kami. Semua Informasi Pribadi yang disimpan pada perangkat keras dan media yang dapat dipertukarkan harus dimusnahkan secara aman sebelum perangkat lama tersebut dibuang. Melalui pelatihan rutin, Extu menginstruksikan agar tidak ada personel yang menyalin atau mentransfer Informasi Pribadi ke dalam perangkat keras komputer pribadi, laptop, perangkat genggam, media yang dapat dipertukarkan, atau teknologi lainnya.
  3. Subprosesor. Extu telah membuat program kepatuhan pihak ketiga yang mengintegrasikan keamanan dalam proses pengevaluasian vendor atau subprosesor serta memastikan kerahasiaan, integritas, dan ketersediaan data. Extu mempertahankan hubungan kontraktual dengan vendor untuk menyediakan Layanan sesuai dengan perjanjian perlindungan data yang telah disepakati.

Keamanan Teknis

  1. Kontrol akses. Extu memiliki kebijakan pengendalian akses formal dan menggunakan sistem manajemen akses terpusat untuk mengendalikan akses karyawan dan kontraktor ke sistem. Akses diberikan berdasarkan pemisahan tugas dan prinsip hak istimewa paling minimum. Akses yang dikendalikan mencakup penggunaan nama pengguna dan kata sandi yang kompleks serta otentikasi multifaktor. Extu menyesuaikan hak akses personil setiap kali mereka memikul tanggung jawab yang berbeda dan mencabut semua akses pada saat pemutusan hubungan kerja atau kontrak.
  2. Transmisi dan enkripsi data. Extu mengambil semua langkah yang wajar untuk memastikan bahwa semua Informasi Pribadi (disimpan dalam bentuk dan media apa pun, baik yang berwujud maupun tidak berwujud) yang dapat menyebabkan kerusakan atau gangguan pada subjek data jika hilang, dicuri, atau diakses oleh orang yang tidak berhak, dienkripsi, terutama saat sedang dikirim antar sistem. Langkah ini termasuk menerapkan praktik enkripsi standar industri dalam proses transmisi data pribadi (seperti Transport Layer Security) dan mengenkripsi data pribadi saat tidak digunakan dan dalam proses pengiriman.
  3. Perlindungan keamanan data. Langkah-langkah keamanan data yang tepat tersedia, termasuk (tapi tidak terbatas pada): perangkat lunak anti virus dan perangkat lunak berbahaya yang diinstal pada sistem informasi, patch terbaru dan pembaruan keamanan untuk perangkat lunak yang digunakan diterapkan, perlindungan jaringan disediakan melalui firewall serta sistem deteksi intrusi dan catatan untuk sistem yang penting tersedia.
  4. Tinjauan kode. Extu mempertahankan siklus hidup pengembangan perangkat lunak formal yang mencakup praktik pengodean keamanan, termasuk tinjauan kode dan praktik manajemen perubahan rekayasa dan pengembangan produk.
  5. Penyimpanan data. Extu memiliki kebijakan penyimpanan dan pembuangan data.

Kepatuhan SOC II dan Sertifikasi PCI DSS.

Vendor pemroses kartu kredit Extu menggunakan langkah-langkah keamanan untuk melindungi informasi Anda selama dan setelah transaksi selesai. Vendor kami telah disertifikasi sebagai pihak yang mematuhi inisiatif keamanan asosiasi kartu. Integrasi sistem manajemen insentif kami dengan vendor memenuhi standar kepatuhan PCI DSS (khususnya SAQ A).

Kami juga melakukan audit SOC II Tipe 2 tahunan terhadap sistem manajemen insentif kami. Kami bersedia menyediakan Laporan SOC II kami jika diminta.

Respons Insiden dan Pemberitahuan Pelanggaran

  1. Pemulihan bencana. Extu telah mengambil langkah-langkah untuk memastikan Layanan dapat terus diberikan jika terjadi bencana yang dapat mengganggu mode operasi normal. Sistem dan layanan penting telah diidentifikasi dan rencana pemulihan bencana telah ditetapkan. Extu melakukan pencadangan data secara teratur, memastikan sistem penting dapat dipulihkan dan kehilangan data dapat diminimalkan.
  2. Tanggapan terhadap insiden. Extu telah menetapkan prosedur penanganan insiden, yang memungkinkan penanganan insiden secara tepat waktu dan terkendali serta sesuai dengan hukum dan kewajiban yang berlaku.

Partnering With Us = Higher Returns for You