智能表格保安实务

在Smartsheet,我们理解当您使用我们的在线服务时,您需要知道如何保护和保护您的数据。这些Smartsheet安全实践描述了Smartsheet使用的实践和保障措施,包括物理、组织和技术措施,旨在保持在线服务和客户内容的安全性、完整性和机密性,以防范信息安全威胁。

1.将军。

1.1资讯保安计划.Smartsheet应保持全面的书面信息安全计划,包括政策、标准、程序和相关文件,这些文件建立了规范客户内容处理和安全的标准、手段、方法和措施,以及用于处理或保护与提供服务有关的客户内容的Smartsheet系统或网络(“Smartsheet信息系统”)。

1.2保密制度;培训.Smartsheet将确保Smartsheet人员:(a)对客户内容的保密义务与本协议中规定的保护义务基本相同;以及(b)接受与客户内容处理相关的适当培训。

1.3定义

  • 1.3.1”协议"系指管理客户访问和使用在线服务的协议。
  • 1.3.2”客户"指执行或接受订单或注册免费试用和使用服务并已签订协议的个人或实体。
  • 1.3.3”客户的内容"指任何数据、文件附件、文本、图像、报告、个人信息或其他由客户或用户上传或提交到在线服务并由Smartsheet代表客户处理的内容。
  • 1.3.4”过程"系指对"用户内容"进行的任何操作或一系列操作,无论是否通过自动方式,如收集、记录、组织、结构、存储、改编、修改、检索、咨询、使用、对齐、组合、限制、删除、销毁或通过传输、传播或以其他方式提供的披露。
  • 1.3.5”安全漏洞"系指违反安全规定,导致意外或非法破坏、丢失、更改、未经授权披露或访问"客户内容"。
  • 1.3.6”服务"指由Smartsheet提供或控制的与订阅服务一起使用的订阅服务和任何其他在线服务或应用程序。
  • 1.3.7”内容的人员"是指Smartsheet授权处理客户内容的任何个人。
  • 1.3.8”订阅服务指Smartsheet提供或控制的基于订阅的在线服务和应用程序。
  • 就“用户"系指客户或其他用户根据本协议条款授权或邀请访问和使用在线服务的任何个人。

2.安全控制.根据其信息安全计划,Smartsheet应实施适当的物理、组织和技术控制,旨在:(a)确保Smartsheet处理的客户内容的安全性、完整性和保密性;以及(b)保护“用户内容”免受已知或合理预期的威胁或危害,包括对其安全性、完整性、意外损失、变更、披露和其他非法处理形式的威胁或危害。在不限制上述内容的情况下,Smartsheet将酌情使用以下控制:

2.1防火墙.Smartsheet将安装和维护防火墙,以保护通过互联网访问的数据。

2.2更新.Smartsheet将维护程序和例程,以使Smartsheet信息系统与最新的升级、更新、错误修复、新版本和其他修改保持同步。

2.3反恶意软件.Smartsheet将部署和使用反恶意软件,并将保持反恶意软件的最新状态。Smartsheet将使用此类软件来减轻来自所有病毒、间谍软件和其他被合理检测到的恶意代码的威胁。

2.4测试.Smartsheet将定期测试其安全系统、流程和控制,以确保它们符合这些安全实践的要求。

2.5访问控制.Smartsheet将通过遵守以下规定来保护由Smartsheet信息系统处理的客户内容:

  • 2.5.1 Smartsheet将为访问Smartsheet信息系统的Smartsheet人员分配一个唯一的ID。
  • 2.5.2 Smartsheet将限制Smartsheet信息系统的访问权限,仅限执行协议允许的特定义务所需的Smartsheet人员。
  • 2.5.3 Smartsheet将定期审查(至少每九十(90)天一次)有权访问Smartsheet信息系统的Smartsheet人员和服务名单,并删除不再需要访问的帐户。
  • 2.5.4 Smartsheet不会在任何操作系统、软件或Smartsheet信息系统上使用制造商提供的默认系统密码,将强制使用系统强制的“强密码”,按照或超过最佳实践(如下所述),并要求所有密码和访问凭据保密,不会在Smartsheet人员之间共享。
  • 2.5.5至少,Smartsheet产品密码将:(i)包含至少ob欧宝娱乐app手机下载8个字符;(ii)与以前的密码、用户登录名或常用名称不匹配;(iii)在怀疑或假定帐户泄露时更改;并(iv)定期更换。
  • 2.5.6当一个账号在一定时间内输入错误密码超过指定次数时,Smartsheet将会强制锁定该账号,禁止该账号处理客户内容。
  • 2.5.7 Smartsheet将维护所有使用Smartsheet人员访问Smartsheet信息系统的帐户或凭据的日志数据,并将定期检查访问日志,以发现恶意行为或未经授权的访问。

2.6政策.Smartsheet将维护和执行符合本安全实践中规定的标准的适当的信息安全、机密性和可接受的使用政策,包括检测和记录违反政策的方法。

2.7发展.开发和测试环境将与Smartsheet信息系统分开。

2.8删除.Smartsheet将使用至少符合美国国家标准与技术研究院(NIST) SP 800-88修订1建议(或业界广泛使用的后续标准)的程序,在处理媒体之前使“客户内容”不可恢复。

2.9加密.Smartsheet将使用与当时的行业标准(包括NIST建议)一致或超过当时的行业标准(包括SANS研究所、NIST或互联网安全中心(CIS)建议)一致的授权算法、密钥长度要求和密钥管理流程的加密标准,并使用与当时的行业标准(包括SANS研究所、NIST或互联网安全中心(CIS)建议)一致的强化和配置要求。根据这些标准,Smartsheet将在在线服务中加密客户内容,并且只允许为传输客户内容而加密连接到在线服务。

2.10远程访问.Smartsheet将确保从其受保护的公司或生产环境之外对Smartsheet信息系统或Smartsheet公司或开发工作站网络的任何访问都需要适当的连接控制,例如ob欧宝娱乐app手机下载VPN或多因素身份验证。

3.使用第三方。

3.1一般.Smartsheet根据本协议聘用的第三方将(至少)维持与本安全实践所适用和要求的基本相似的安全级别。

3.2数据托管.Smartsheet将确保任何第三方托管提供商(““基础架构即服务”或"IaaS”),由Smartsheet用于处理满足以下要求的客户内容:

  • 3.2.1之上基本要求.Smartsheet至少应确保IaaS提供商:(a)按照本安全实践第1.2节的规定,保持足够的物理安全和访问控制;(b)使用专业的暖通和环境控制;(c)利用专业的网络/布线环境;(d)使用专业的火警探测/灭火能力;(e)保持全面的业务连续性计划。
  • 3.2.2年度审计;评估.进行年度独立风险评估和审计。此类评估和审计报告将提供给Smartsheet,并在法律要求的情况下提供给客户,前提是Smartsheet可以删除与IaaS安全实践无关的所有商业和机密信息或条款。此外,Smartsheet应对任何关键的IaaS进行年度审查和评估,以验证安全措施至少符合这些安全实践的要求。
  • 3.2.3增强的需求.具备高可用性、冗余(“N+1”)数据中心的需求和能力,其中多个组件每个至少提供一个独立的备份组件,以确保在系统发生故障时,系统功能继续在可接受的性能水平上运行。

4.系统可用性.Smartsheet将维护(或,对于由第三方控制的系统,确保由第三方维护)灾难恢复(“博士”)的程序,旨在恢复灾难后订阅服务的可用性。至少,此类容灾程序应包括以下要素:(a)例行验证程序,以定期和编程方式创建客户内容的保留副本,以恢复丢失或损坏的数据;(b)列出所有关键智能表信息系统的清单,至少每年更新一次;(c) DR计划的年度审查和更新;以及(d)为验证其中详述的容灾程序和服务可恢复性而设计的容灾程序的年度测试。

5.安全漏洞。

5.1过程

  • 5.1.1 Smartsheet意识到确认存在安全漏洞时,将立即以书面形式通知客户。
  • 5.1.2 Smartsheet将根据Smartsheet的安全事件政策和程序调查并在必要时减轻或补救安全漏洞(“违反管理”)。
  • 5.1.3根据Smartsheet的法律义务,Smartsheet将向客户提供因违规管理而可获得的信息,包括事件的性质、披露的具体信息(如已知)以及任何相关的缓解措施或补救措施("违反信息”),客户应遵守因安全漏洞而适用法律规定的义务。
  • 5.1.4如果客户在事件信息之外还需要与安全漏洞相关的信息,在客户自行承担费用并提出书面要求的情况下,且在客户无法自行获取额外信息的情况下,Smartsheet将根据客户的要求与客户合理合作,尝试收集和提供此类额外信息。

5.2不成功的尝试.不成功的攻击或入侵不属于本第5条规定的安全漏洞。“不成功的攻击或入侵”是指不会导致未经授权或非法访问“客户内容”的攻击,可能包括但不限于对防火墙或边缘服务器的ping和其他广播攻击、端口扫描、不成功的登录尝试、拒绝服务攻击、包嗅探(或对流量数据的其他未经授权的访问,但不会导致超出IP地址或TCP/UDP头的访问),或类似事件。

5.3客户或用户参与.由于客户的配置设置、用户登录凭证的泄露、或客户或用户有意或无意地共享或披露客户内容而导致的对客户内容的未经授权或非法访问不属于安全漏洞。

5.4通知.安全漏洞通知(如有)将通过Smartsheet选择的任何合理方式(包括电子邮件)发送给“用户”的一个或多个SysAdmin用户。客户全权负责在在线服务中始终保持准确的联系信息。

5.5免责声明.Smartsheet在本第5条项下报告或回应安全违规的义务不代表Smartsheet承认Smartsheet在安全违规方面的任何过错或责任。

6.审计和报告。

6.1监控.Smartsheet通过进行各种审计、风险评估和其他监控活动来持续监控其信息安全计划的有效性,以确保其安全措施和控制的有效性。

6.2审计报告.Smartsheet使用外部审计师来验证其对某些服务(包括订阅服务)的安全措施和控制的充分性。由此产生的审核应:(a)包括自上一测量期结束以来整个测量期的测试;(b)根据AICPA SOC2标准或实质上等同于AICPA SOC2的其他替代标准执行;(c)由独立的第三方安全专业人员执行,费用由Smartsheet自行选择;(d)生成SOC2报告(“审计报告),这将是Smartsheet的保密资料。根据本协议的保密义务或双方同意的保密协议,审计报告应以书面形式向客户提供,但不超过每年一次。为免生疑问,每份审计报告将只讨论在审计报告发布时存在的服务;随后发布的服务,如果在审计报告的范围内,将在下一年度迭代的审计报告。

6.3渗透测试.Smartsheet使用外部安全专家对某些在线服务(包括订阅服务)进行渗透测试。此类测试应:(a)至少每年进行一次;(b)由独立的第三方安全专业人员执行,费用由Smartsheet自行选择;以及(c)产生一份穿透测试报告("笔芯测试报告),这将是Smartsheet的保密资料。根据本协议或双方同意的保密协议的保密义务,笔测报告将不超过每年向客户提供书面要求。

6.4客户审计.如果客户在法律上要求提供审计和笔试报告以外的信息,以符合适用法律,在客户自行承担费用并提出书面要求的情况下,如果客户无法自行获取额外信息,Smartsheet将允许并配合客户委托的第三方审核员对Smartsheet处理客户内容进行审计("客户审计),但条件是:

  • 6.4.1.客户向Smartsheet提供合理的提前通知,包括审计师的身份、客户审计的预期日期和范围;
  • 6.4.2 Smartsheet通过通知客户的方式批准审计师,且该批准不得被无理拒绝;
  • 6.4.3在客户审计过程中,客户和审核员应避免对Smartsheet的场所、设备或业务造成任何损害、伤害或中断;而且
  • 6.4.4.除非执法部门另有要求,否则客户在任何日历年内仅发起一次客户审核。

最后更新:2021年10月5日