Mesier AS Datasikkerhetspolicy

Introduksjon

Formålet med denne sikkerhetspolitikken («Policy») er å beskrive Mesiers sikkerhetspolicy angående kundeinformasjon, inkludert uten begrensning personlig informasjon samlet inn og behandlet av Mesiers online tjenester.

Spesifikt er denne policyen ment å identifisere Mesiers retningslinjer, prosedyrer og revisjons- og opplæringspraksis som brukes for datasikkerhet, og vårt resulterende ansvar for å beskytte personlig informasjon mot tap, misbruk, uautorisert tilgang, avsløring, endring og ødeleggelse.

Personlig informasjon

Mesier AS tilbyr sine kunder online databehandlingstjenester. I denne egenskapen eier eller kontrollerer vi ikke noe av informasjonen vi behandler på vegne av våre kunder; all slik informasjon eies og kontrolleres av våre kunder. Denne kundeinformasjonen lagres i et sikkert anlegg fra en tredjeparts uavhengig dataprosessortjenesteleverandør på herdede systemer ved å bruke industristandardmetoder for datasikkerhet. Tilgang til denne informasjonen er begrenset til autorisert personell bare slik det er bestemt av operasjonspolitikk.

Mesier AS innhenter også personlig informasjon fra identifiserbare personer i forbindelse med produktregistrering og support, og for å fullføre transaksjoner. Denne informasjonen kan lagres i Mesiers interne datanettverk eller i offline arkiveringssystemer. Tilgang til denne informasjonen er begrenset til autorisert personell bare slik det er bestemt av operasjonelle retningslinjer.

Tilnærming til sikkerhet

De følgende avsnittene beskriver Mesiers omfattende tilnærming for å sikre at myndighetene overholdes i retningslinjene. Dette består av fire (4) hovedområder: Sikkerhet, personalutdanning, revisjoner og kontrakter.

Sikkerhet

Datasikkerhet er hjørnesteinen i å verifisere personvernet til data. Mesier AS opprettholder en streng sikkerhetsstilling gjennom fokusert metodikk. Det er basert på implementering av beste praksis og sikkerhetspolitikk på fem (5) hovedområder som gir dekning for hele bedriften, inkludert:

  • Regulerende kontroller
  • Organisasjonskontroller
  • Tjenesteleverandørkontroller
  • Standardisert prosess og praksis
  • Kontroll av forretningspartner

Sentrale retningslinjer som bidrar til bekreftelse og overholdelse av retningslinjene er:

  • Bevissthet og trening
  • Personell praksis
  • Administrative roller og ansvar
  • Retningslinjer for bruk av datamaskiner, e-post og Internett
  • Nettverks- og telekommunikasjonssikkerhet
  • Påvisning og rapportering av hendelser
  • Ondsinnet kodekontroll (antivirus)
  • Bærbare datamaskiner
  • Logisk og systemtilgang
  • Fysisk tilgang
  • Fjerntilgang
  • Brannmurledelse
  • Tredjeparts tjenester
  • Programvarelisensiering og passende bruk
  • Revisjon og overvåking
  • Dataklassifisering, konfidensialitet, integritet og tilgjengelighet
  • Overholdelse av retningslinjer

Operasjonsprosedyrer som viser overenstemmelse med retningslinjene er:

  • Endre kontroll
  • Arrangementsovervåking
  • Data backup
  • Systemherding

Ovennevnte retningslinjer og prosedyrer er dokumentert og tilgjengelige for gjennomgang.

Personalet vårt

Personalet vårt består av ansatte og entreprenører.

Personalutdanning

Mesier AS varsler og forsterker regelmessig sin personvern- og cookie-policy med sitt personell. Dette gjøres ved hjelp av følgende prosess:

  • Retningslinjene for personvern og informasjonskapsler distribueres hele selskapet via e-post kvartalsvis og når de oppdateres.
  • Retningslinjene for personvern og informasjonskapsler vises på Mesiers nettsted.
  • Minst en gang per år blir denne sikkerhetspolitikken presentert og diskutert på et selskap over hele verden.
  • Denne sikkerhetspolitikken vises tydelig på et felles område på kontoret.

Bekreftelse

Denne sikkerhetspolitikken blir selvkontrollert med jevne mellomrom av Mesiers sikkerhetsansvarlige. Sikkerhetsansvarlig er ansvarlig for:

  • Sørge for at retningslinjene, retningslinjene, interne prosedyrene, personalopplæring og andre tiltak som er nødvendige for å implementere policyen, blir utviklet og implementert,
  • Arbeide med Mesiers juridiske rådgivere for å sikre Mesiers løpende overholdelse av gjeldende personvernlover og avtaler, samt noen av Mesiers andre relaterte juridiske forpliktelser, og
  • Tilsyn med årlige vurderinger av Mesiers interne og eksterne praksis for å sikre at de overenstemmelse med retningslinjene og tilknyttede selskapsforpliktelser.

I tillegg gjennomfører Mesier gjennom sine interne revisjonsprosesser en revisjon av sikkerhetskontrollene minst en gang per år. Denne uavhengige vurderingen vurderer den fysiske sikkerhets-, nettverkssikkerhets- og driftspolitikken og kontrollene som er på plass for å beskytte kundedata. Den siste kopien av sikkerhetsgjennomgangen er tilgjengelig for kunder, personell og potensielle kunder på forespørsel.

Kontrakter

Før (i) behandler all personlig informasjon på vegne av en person eller enhet, eller (ii) overfører all personlig informasjon, krever Mesier AS kontrakter med datasikkerhetsbestemmelser i overenstemmelse med denne sikkerhetspolitikken.

Som ansettelsesvilkår må alt personell i Mesier AS signere en taushetsavtale.