安全是每个人的责任
Rubicon控股公司LLC(“Rubicon”)致力于信息安全并保护公司和客户数据Rubicon认为安全是每个人的责任。我们的信息安全程序侧重于安全信任原则,由美联储协会概述Rubicon成功完成了SOC2类型2安全程序审核类型2审核聚焦软件服务解决方案程序由数项政策和控件组成,重点是存取、资产管理、内部审计和守法、连续性、信息通信、组织管理、风险管理、软件开发与改变管理以及安全操作Rubicon最终视信息安全为每个人的责任
信息安全性与遵规性
信息安全
Rubicon网络安全程序以NIST800-53和其他行业最佳做法框架为基础,并有41项政策和134控件支持其中许多策略和控件通过SOC2类型2审核SO2过程审核验证
控制环境
Rubicon理解展示道德价值和完整性的重要性Rubicon制定员工手册、可接受使用策略和行为守则
Rubicon董事会归根结底负责独立监督Rubicon操作和职责联委会通过审计委员会监督Rubicon环境内部操作
Rubicon执行领导团队集中向客户提供价值安全确认为公司关键构件安全控件被公认为通过我们的产品和服务向客户提供价值的关键推介器ELT通过Infocse主管和连续委监督公司安全、隐私、业务连续性、欺诈和内幕威胁预防等方位的日常管理
ELT负责Rubicon内部的业务活动管理层开发正式组织图划分作用和职责、报告线和授权设计、实施和业务,作为信息安全方案的一部分
Rubicon使用云平台管理信息安全程序
ELT确认高技能人员对成功至关重要开发控件支持招聘、保留和开发合格人员对所有雇员加入公司进行背景检查管理人员至少每年对人员性能和发展进行评价,确认所有人员都有能力继续履行其职责。此外,安全意识培训由雇员在入职时完成,此后至少每年完成
正式变换管理软件生命周期进程定义控制Rubicon应用和基础设施设计、开发、测试和实施
日志监控工具用于基于定义阈值监控系统容量和性能启动警告条件或事件超过阈值并及时调查解决相关方还可以跟踪系统和应用提供点击这里并订阅更新
事件管理政策和程序以及事件响应计划已经建立和实施这些政策和计划至少每年或按需要审查和测试
文档数据备份和保留策略和流程存在并存,指导相关工作人员执行这些流程控件云基解决方案用于截取关键应用和系统数据及组件抓图自动化并取用以确保减少中断风险并实现规定的服务级协议
Rubicon使用脆弱管理程序订阅行业最佳做法配置和补丁配置补丁管理流程到位确认系统安全配置补丁Rubicon员工使用最小特权原理和当前最优安全操作控件,包括但不限于多因子认证、病毒保护以及人工智能驱动报警阻塞Rubicon还使用独立第三方渗透测试,每季度进行一次桌面事件响应和业务连续性管理每年进行一次
Rubicon进行年度风险评估,这既需要识别风险,也需要实施和维持适当的风险减少措施,以应对这些风险。评估过程识别安全风险、隐私风险、业务连续性风险以及欺诈和内幕威胁预防风险识别风险和缓解策略由组织记录并实施Rubicon评估风险计算确定风险的可能性和影响,然后风险处理策略分配到确定风险包括缓冲、避免、接受和转移
潜在第三方根据Rubicon供应商管理流程采购服务或产品,对照具体风险因素筛选现有第三方根据性能和对服务级协议的遵守情况评价非披露和保密承诺需由Rubicon打算与之接触的第三方签名。第三方Rubicon经商必须受正式协议约束
内部政策和控件至少每年审查一次控件通过内部控件评估测试并及时解决识别缺陷内部审计由ILC2报告审查
所有系统和应用都受正式访问控制策略约束策略围绕角色存取控制、职责分离和最小特权原则设计保单配有强密码复杂性要求、多因子认证、审核和其他技术控件
所有全时雇员入职时完成安全认知培训,此后每年完成安全认知培训Rubicon还进行并参加桌面演练、折中评估、违反准备状态评估、受控威胁搜捕和其他类型演练Rubicon使用最新新闻、度量和数据通知员工风险、最佳做法和BCMS问题
辅助服务组织控件
Rubicon安全控件只覆盖Rubicon每件SAS产品控件总列表的一部分单靠Rubicon实现与这些产品有关的控制目标不可行因此,每个实体的控件必须与Rubicon安全控件一起评价,同时考虑到下文所述预期在子服务组织实施的相关辅助服务组织控件
云计算服务提供者:Rubicon使用云计算服务子服务组织云提供商负责提供物理和环境安全控制、访问系统、基础设施和其他适用组件以及与安全事件有关的事件响应云提供商负责将Rubicon环境与其他客户隔离开来。云提供商记录所有职责领域Rubicon审查云提供商安全文件,作为公司第三方供应商管理策略和控制的一部分
COSCs是Rubicon假设由子服务组织执行的控制,因为实现本报告所述的一项或多项托管服务标准势在必行。子服务组织对Rubicon服务意义重大,包括拟由子服务组织控件加Rubicon控件满足的适用信托服务标准如下:
*注:下表不应视为本服务组织或任何其他子服务组织应使用的所有控件综合清单
| 控制活动预期由云提供商实施 | 可应用信任标准 |
|---|---|
| 云提供商负责限制对数据中心设施、备份媒体和其他系统组件的逻辑物理访问,包括防火墙、路由器和服务器 | CC6.1、CC6.2、CC6.3、CC6.4、CC6.5、CC6.6、CC6.7、CC6.8、CC9.2 |
| 云提供商负责根据风险评估采取措施预防或减轻威胁云提供商还负责评价安全事件的影响,向受影响客户传递事件信息,对事件采取补救措施,并努力预防未来事件 | CC3.1、CC3.3、CC4.1、CC4.2、CC6.3、CC6.8、CC7.2、CC7.3、CC7.4、CC7.5、CC9.1、CC9.2 |
| 云提供商负责保持客户环境与其他提供商客户隔离 | CC6.1 |
| 云提供商负责维护系统日志完整性及其相关配置云提供方还必须监控系统组件和运维识别安全事件(疑难事件和实际事件)以及自然灾害信号 | CC5.3、CC7.1、CC7.2、PI1.4 |
| 云提供商负责显示完整性和道德价值并采取行动与其业务和客户相关 | CC1.1 |
| 云提供方负责显示自主治理和监督云提供商负责追究各级个人操作安全控制的责任云提供商还负责管理第三方供应商访问客户环境 | C1.2、C1.3、C1.4 |
| 云提供商负责(视需要)与客户通信,处理影响功能安全操作控件的事项 | CC2.3 |
| 云提供商负责识别可能对安全控制系统产生重大影响的变化,包括对其客户的正负效果 | CC3.4,CC8.1 |
| 云提供商负责监测环境条件(温度、火和水)、泄漏检测、UPS电池寿命和容量以及其他关键设备帮助保持服务可用性 | A1.2 |
| 云提供商负责备份恢复环境数据并通知Rubicon有关备份数据可用性或完整性的任何问题 | A1.2 |
辅助用户实体控件
Rubicon安全控件只覆盖Rubicon每件SAS产品控件总列表的一部分单靠Rubicon实现与这些产品有关的控制目标不可行因此,每个实体的控件必须与Rubicon安全控件一起评价,同时考虑相关辅助用户实体控件,预期客户组织实施如下
*注:下表不应视为本服务组织或任何其他子服务组织应使用的所有控件综合清单
| 辅助用户实体控件 | 相关信任标准 |
|---|---|
| 客户负责显示对诚信道德价值和行动及保密的承诺客户要求组织内各级个人为实现业务目标和安全承担控制职责 | CC1.1、CC1.3、CC1.5 |
| 客户负责审查Rubicon通信中系统修改、维护窗口或影响安全的其他事务并按通知(视需要)采取行动 | CC2.2,CC2.3 |
| 客户负责按照其公司保密政策处理数据和准确性数据客户还负责对SAS产品存取和活动实施总体控制 | CC3.2、CC5.2、CC.5.3 |
| 客户负责向授权用户分配用户名和密码,视需激活MFA并保密登录证书 | CC6.1 |
| 客户负责定期审查终端用户对SaaS产品访问的有效性和适当性并及时作出纠正修改 | CC6.2和CC6.3 |
| 客户限制传输、移动和删除客户信息,并负责发布创建和传输客户数据的最佳做法 | CC6.7 |
| 客户负责实际访问设施和受保护信息资产 | CC6.4,CC6.5 |
| 客户除对安全事件采取行动外,还负责部署与其操作有关的安全控制以防范和检测安全事件,无论安全事件疑似或实际发生 | CC6.8 |
| 客户负责监测操作数据以查明异常事件和显示安全事件、自然灾害等 | CC7.2 |
| 客户必须评价疑似或实际安全事件并处理事件以补救和解决事件并防止今后发生类似性质事件 | CC7.3、CC7.4、CC7.5 |
隐私
Rubicon理解保密数据的重要性隐私策略可以找到来Rubicon努力通过实施隐私控制来保持数据控制受第三方专家帮助开发这些控件并遵循CCPA和GPAR指南,因为它与Rubicon定义为数据处理器相关客户或数据主体保留对数据的所有权和控制权,鲁比孔代表客户或数据主体处理此类数据客户、消费者或数据主体(下文称Custmer)负责确定辅助用户实体控制(CUEC)(以上)的任何控件Rubicon已采取步骤自我验证对适用数据保护法的遵守情况并委托对隐私程序进行独立评估
隐私操作
隐私程序包括下列操作控件
- Rubicon出版的隐私政策年度审查,以及所有其他隐私相关政策审查,包括数据保护、内部隐私、数据分类、保留和处置、数据和信息处理、访问控制等
- 获取客户对数据收集的同意
- 限定数据请求和回复查询程序,包括拒绝无法律约束力隐私请求
- 确保客户数据:(一) 不用于非生产环境,(二) 保留在客户居住区,(三) 按照客户要求和/或适用法律处理和处理
- 256bit数据传输和休息加密并使用Ky管理系统
- 内部审计以隐私政策和控件的有效性为重点
业务连续性和应变能力
Rubicon实施业务连续性管理系统,重点是交付和维护SaaS产品和服务BCMS使用连续性和弹性关键支柱,包括企业影响分析、业务连续性计划、业务持续政策、程序治理、危机管理、内部审计和实用说明
BCMS系统
BCMS聚焦过程、程序和活动在事件或中断时对SAAS产品和服务的影响,因为这与金融、运营、名声和法律规范结果相关Rubicon管理BCMS包括以下内容:
- 程序管治手册定义RubiconBCMS的目的、组织背景、法律和调控需求、程序范围、风险评估和考虑风险、改变管理、认识、培训与实践、通信、文件整理、操作规划与控制、性能监测、维护与持续改进、管理审查、内部审计以及不一致性和纠正行动
- 逐函数记录BIA年度评审,包括关键活动进程和适用峰值计算最大可容忍中断周期、计算恢复时间目标和最小持续业务目标BIA还评估关键依赖性对其他业务单元、供应商和信息资产此外,每项BIA都考虑损失的影响和概率(“概率”),如果(一)实工场,(二)技术通信服务损失,(三)雇员损失和(四)关键商业伙伴损失
- 逐函数记录BCP年度审查,这些审查侧重于发生事件或中断时的业务活动和结果每种BCP定义通用任务与函数BCP激活相关联,除单元或函数特定任务外,一旦BCP激活即启动BCP还概述与中断网站、技术/通信服务、雇员损失和关键商业伙伴损失有关的策略和解决办法
- 危机管理计划和通信编程概述Rubicon处理危机通信的方式、理解危机全景、作用和责任、假想处理和预先批准通信通知相关方
- 功能年度评审、年度认知、演练测试和管理评审
服务可用性
Rubicon服务可用性(“SA”)承诺99.5%此项承诺计算如下:
南都市++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
以上公式所列值定义如下:
- 总时间总分月
- 非计划外过期完全分钟无法使用 因月意外停机
- 计划维护总分钟 计划维护 本月计划维护目前为4(4)小时每周维护,4(4)小时每月维护,4(4)小时季度维护Rubicon当前每周维护从晚上10点开始周五月度维护从2点开始周六季度维护从上午6点开始周六所有时间均需经合理通知修改实际维护时间超出计划维护时间时,即视为非计划中断如果实际维护时间少于计划维护分配时间,则时间不作为抵充本月非计划中断时间的抵免服务可用性测量点为Rubicon服务可用性客户可请求每月提供报告一次
Rubicon承诺恢复时间目标为12小时(RTO),从Rubicon服务无法使用到重新可用计算。Rubicon承诺恢复点目标为1小时(RPO),从第一次事务丢失到Rubicon服务无法使用计算。
相关方可以通过导航监控服务提供状态页面并选择订阅更新
欺诈内幕威胁保护
Rubicon理解金融守法的临界性和金融安全的重要性。我们继续推动基本控件改进支持逻辑安全、实体安全、改变管理、技术操作、访问管理及数据保护。
- Rubicon内幕威胁程序初始创建
- 表顶测试欺诈检测并激活内幕威胁活动
- SOPs、工作流和实用知识管理诉讼控件和电子发现运动
- 内存威胁政策、访问控制政策、事件响应政策、改变管理政策、第三方管理政策、备份恢复政策、处理完整性政策等
- 支持访问授权、数据损防、审查、撤销、修改授权和管理、数据迁移、紧急修改、职责分离、环境隔离、密码复杂性、供应商管理、报告、接口协议、行为守则等
- 环境限制通过可移动媒体分享数据,零信任代理部署到所有工作站,以及通过微软产品套件限制数据协作以减缓数据损耗
- 对所有全时雇员进行后台查询