Conviva Security

Conviva är en pålitlig källa för mätdata för strömmande multimedia och vi strävar efter att hålla all data vi kommer åt, lagrar och bearbetar säker. Vi har delat in våra säkerhetsåtgärder i följande kategorier för att på bästa sätt sammanfatta heltäckningen av våra säkerhetspolicyer och -praxis: (1) Molnsäkerhet och tredje part, (2) Produktsäkerhet, (3) Företagssäkerhet och (4) Sekretess & Efterlevnad.

Molnsäkerhet och tredje part

Vi väljer noggrant ut våra tredjepartsleverantörer och underbehandlare för att säkerställa att vi endast arbetar med parter som säkert kan hantera de uppgifter vi behandlar. Närmare bestämt, eftersom det hänför sig till alla personuppgifter som vi samlar in eller som du som kund tillhandahåller till oss i syfte att tillhandahålla dig tjänster ("Tjänster"), håller vi alla våra underbehandlare för samma datahantering, säkerhet och sekretesspraxis och standarder som vi håller oss till. Detta innebär att vi noggrant granskar varje parts tekniska, administrativa och fysiska säkerhetsåtgärder innan vi avtalar med dem för att säkerställa helhetskonsistens med avseende på våra kunddataflöden och bearbetning. Dessutom, om någon av våra leverantörer eller underbehandlare överför personuppgifter utanför EU, säkerställer vi att de nödvändiga överföringsmekanismerna finns på plats för att vara GDPR-kompatibla.

En nyckelkomponent i vår hantering av data kretsar kring hosting och datalagring. Vi använder Amazon Web Services (“AWS”), Google Cloud Platform och Equinix för att vara värd för våra tjänster. Vår tjänstestatistik och metadata bearbetas och lagras i USA. Våra kunder kan känna sig säkra på att våra primära tredjepartsleverantörer lagrar vår data säkert och är SOC-kompatibla. Till exempel är AWS och Google Cloud Platform SOC-1, SOC-2 och SOC-3 kompatibla1. Equinix är SOC-1 och SOC-2 kompatibel2.

När det gäller behandlingen av våra kunders personuppgifter finns en lista över våra nuvarande underbehandlare på https://www.conviva.com/conviva-subprocessors/.

Produktsäkerhet

Vi upprätthåller ett informationssäkerhetsprogram som utförligt undersöker alla aspekter av Convivas plattform och dess anslutna enheter och produkter. Det här avsnittet utvecklar de åtgärder vi har utvecklat för din säker åtkomst till våra tjänster och hur säkerheten upprätthålls inifrån produkten.

Applikationssäkerhet

Vi följer rutinerna för säker mjukvaruutvecklingslivscykel (“SDLC”) för utvecklingen av våra tjänster. Våra utvecklare är utbildade i säkra kodningskonventioner och hålls informerade om de senaste säkra kodningsteknikerna. Koden granskas regelbundet innan den ansluts till masterkodgrenen. Vi genomför applikationspenetrationstestning mot våra tjänster på årsbasis med hjälp av välrenommerade tredjeparts leverantörer av penetrationstesttjänster. Vi utför även sårbarhetsskanning och eventuell åtgärdande kvartalsvis och under större mjukvaruuppgraderingar. Vi stöder enkel inloggning (SSO) för våra tjänster.

Nätverks- och systemsäkerhet

Vi implementerar branschpraxis i design och konfiguration av vårt nätverk, och vi använder branschledande nätverksutrustning för att tillhandahålla en säker och pålitlig nätverksplattform. Nätverksåtkomst till Convivas SaaS-tjänster görs endast tillgänglig med HTTPS för att säkerställa att data transporteras säkert.
Convivas nätverk är segmenterat för att helt isolera produktion, iscensättning, kvalitetssäkring, utveckling och företagsnätverk. Dessutom kräver åtkomst till alla Convivas nätverksenheter, brandväggar och servrar för administration VPN-åtkomst med multifaktorautentisering.

Alla nya servrar som vi distribuerar till produktionen härdas genom att inaktivera alla onödiga och potentiellt osäkra tjänster, ta bort standardlösenord och tillämpa Convivas anpassade konfigurationsinställningar på varje server innan produktionsanvändning. Vi skannar även vårt nätverk och våra system efter sårbarheter och utför eventuell åtgärd som behövs, kvartalsvis och under större mjukvaruuppgraderingar.

Övervakning
Upptidsövervakning

Vi övervakar tjänsternas tillgänglighet för externt tillgängliga Conviva-plattformstjänster. Dessutom använder Conviva en mängd olika övervakningstjänster för öppen källkod och företag och egenutvecklade övervakningslösningar för övervakning av Convivas end-to-end-infrastruktur och applikationstjänster.

Loggning och larm

Convivas informationssäkerhetsteam samlar in, bearbetar och lagrar produktionsloggar i ett centraliserat manipuleringssäkert logghanteringssystem. Loggar bevaras i minst tolv månader. Logganalys är automatiserad i den utsträckning det är praktiskt möjligt för att upptäcka säkerhetsproblem och anomalier och är konfigurerad för att ge varningar för incidenthanteringssyfte.

Affärskontinuitet och katastrofåterställning
Hosting Infrastruktur

Våra tredjepartsservrar använder en kombination av avbrottsfri strömförsörjning och generatorer för att upprätthålla strömmen i händelse av ett avbrott.

Vi underhåller distribuerade system för att undvika potentiella enskilda felpunkter. Vi underhåller vår utrustning i enlighet med industristandarder och tar bort all opålitlig och/eller föråldrad utrustning. Enstaka felpunkter undviks när det är möjligt i Conviva-arkitekturen, och standby-system underhålls där det behövs för att ersätta misslyckade system. På samma sätt felsöks och ersätts misslyckade programvarukomponenter när fel uppstår.

Beräknar redundans

Vår datorplattform är ett distribuerat system med flera kopior av data i olika regioner. Således kan systemet tolerera flera fel i noder inom en enda region utan att förlora data. Icke-fungerande noder utvärderas och ersätts vid behov för att upprätthålla system- och dataintegritet. Skulle data gå förlorade i en viss region kan den återställas från andra regioner. Denna process testas regelbundet och används vid behov för att upprätthålla dataintegriteten över regionerna.

Återhämtningsplan för katastrofer

Vår katastrofåterställningsplan inkluderar lokal failover av resurser i vår primära driftsmiljö med geografisk failover till andra verksamhetsplatser över flera geografiska områden i världen. Conviva behåller en fullständig säkerhetskopia av produktionsdata på en avlägsen, avlägsen plats skild från den primära driftplatsen där våra tjänster bearbetas. Fullständiga säkerhetskopior sparas på den här avlägsna platsen och transaktioner sparas dagligen. Vi testar våra säkerhetskopior regelbundet för att säkerställa att de kan återställas.

Slutpunktssäkerhet och övervakning

Våra användarsystem är konfigurerade för att köra en mängd övervaknings-, konfigurationshanterings- och antivirusverktyg som hjälper till att upptäcka misstänkt kod, osäkra konfigurationer och användarbeteende. Vårt IT-team övervakar arbetsstationsvarningar och säkerställer att dessa problem löses i tid.

Datasäkerhet

Kundens datasäkerhet och skydd hos Conviva involverar datakryptering, administrativa kontroller för dataåtkomst och datalagring och förstörelse.

Datakryptering och skydd

Brandväggar, routrar och switchar Åtkomstkontrollistor används för att skydda nätverksinträde. Administrativ åtkomst utförs över SSH med privata nycklar och/eller SSL för webbportaler med lösenord där så krävs.

Kryptering används för att överföra data från klientenheter till Conviva. All känslig klientinformation som lagras i databasen, inklusive Conviva och externa systemlösenord, krypteras eller hashas där så är möjligt.

Administratörskonton ges endast till de som behöver den åtkomstnivån för att hantera den specifika kundens konto och återkallas vid den anställdes avgång eller byte av ansvar.

Användarnamn, lösenord, roller och åtkomstbaserade behörigheter används i hela Convivas system för att säkerställa att endast behöriga personer har tillgång till lämpliga system och data som är specifika för den personens roll. Privata nycklar används vid behov.

Vi upprätthåller loggar över åtkomst till alla system och data och vi kommer att utvärdera eventuella säkerhetsöverträdelser och meddela kunderna på lämpligt sätt. Obduktion kommer att genomföras för att avgöra om någon sanering krävs efter intrånget, och sedan kommer sådan sanering att utföras så snabbt som möjligt.

Loggar på system- och applikationsnivå upprätthålls för försök, misslyckad och framgångsrik åtkomst till Convivas system.

Företagssäkerhet

Vi upprätthåller en uppsättning informationssäkerhetspolicyer, procedurer och riktlinjer för alla våra Conviva-anställda och entreprenörer att följa för att säkerställa säkerheten för Convivas tjänster, plattform och data. Dessa procedurer, policyer och riktlinjer är levande dokument som regelbundet granskas och uppdateras vid behov av Convivas informationssäkerhets- och juridiska team för att hantera förändringar i teknik och lag och nya former av intrång. Ett centralt fokus i våra säkerhetspolicyer inkluderar också en Incident Response Plan för att tillhandahålla ett väldefinierat, organiserat tillvägagångssätt för att hantera alla hot mot datorer och data, samt vidta lämpliga åtgärder när källan till intrånget eller incidenten inträffar vid en tredje- festplatsen spåras tillbaka till Conviva. Denna plan identifierar och beskriver roller och ansvarsområden för Incident Response Team så att Convivas teammedlemmar kan agera snabbt när de får reda på eventuella hot.

Vår personalavdelning genomför också bakgrundskontroller som inkluderar brotts-, utbildnings- och anställningskontroller för alla våra anställda och direktanställda entreprenörer. Innan de får första åtkomst till systemen måste alla arbetare acceptera sekretessvillkor, klara en bakgrundskontroll och gå säkerhetsutbildning. Den här utbildningen täcker integritets- och säkerhetsämnen, inklusive enhetssäkerhet, acceptabel användning, förebyggande av skadlig programvara, fysisk säkerhet, datasekretess, kontohantering och incidentrapportering. Efterlevnadsutbildning ges årligen för att säkerställa att all personal håller sig uppdaterad om de senaste säkerhetsprotokollen. Anställda är också korsutbildade för att säkerställa att ingen anställd är den enda kunskapspunkten i händelse av systemavbrott. Vid en anställds eller entreprenörs uppsägning med Conviva, avaktiveras den personens åtkomst till Convivas system omedelbart.

Sekretess och efterlevnad

Som underbehandlare förstår vi vikten av att skydda data när vi tillhandahåller tjänster. När det gäller personuppgifter eller personligt identifierbar information kan våra kunder skicka oss eller instruera oss att samla in och behandla IP-adresser, tittar-ID-nummer, enhets-ID-nummer och geolokaliseringsinformation för att vi ska kunna tillhandahålla våra tjänster. Vi kan hasha eller anonymisera personuppgifterna. När det till exempel kommer till IP-adresser kan vi hasha det genom att anonymt konvertera det till ett instans-ID-nummer som genereras slumpmässigt och inte kan relateras tillbaka till IP-adressen. Därefter raderar vi IP-adressen och all kundidentifierbar information som behandlas från den kommer att raderas ytterligare enligt vår datalagringspolicy. När det gäller våra kunders anställda kommer vi att samla in inloggningsuppgifter för webbplatsen inklusive namn, e-postadress och lösenord för att göra det möjligt för kundpersonalen med tillgång till Convivas Pulse-system att se datastatistik relaterade till våra tjänster.

Convivas fullständiga integritetspolicy kan nås på: https://www.conviva.com/legal/. Conviva har också åtagit sig att se till att dess tjänster är GDPR-kompatibla och har formaliserat sin policy här: https://www.conviva.com/legal/#GDPR.

Lagringsperiod för personuppgifter

Under tillhandahållandet av våra tjänster samlar vi in och behandlar vissa uppgifter som kan betraktas som personuppgifter eller personligt identifierbar information ("Personuppgifter") enligt tillämpliga dataskyddslagar. Vi behåller sådana personuppgifter under föreskrivna tidsperioder enligt instruktioner från våra kunder och i enlighet med tillämpliga dataskyddslagar.

Möjlighet att ändra eller radera information och utöva andra rättigheter

I enlighet med tillämpliga dataskyddslagar kan våra kunder begära tillgång till, eller att vi ändrar, raderar eller slutar samla in, personuppgifterna för deras anställda och/eller slutanvändare. Dessa förfrågningar kan skickas med hjälp av ett supportformulär som finns i hjälprullgardinsmenyn på vår kundwebbportal känd som Pulse. Vi kommer att svara på korrekt skickade förfrågningar inom 30 dagar, såvida vi inte berättar att vi behöver ytterligare tid för att svara. Vi kan komma att kräva ytterligare information för att verifiera begärandens identitet för att vi ska kunna svara på begäran. Under vissa omständigheter kanske vi inte kan sluta behandla personuppgifter, och om så är fallet kommer vi att ge en förklaring. I händelse av att vi ombeds att radera och sluta samla in personuppgifter kan vissa funktioner hos våra tjänster påverkas. Alla frågor eller förfrågningar om hjälp med ovanstående ska ställas till vårt kundsupportteam på support@conviva.com.

Om vi innehar en individs personuppgifter och de har samlats in och/eller behandlats i samband med våra tjänster till en kund, måste sådan person kontakta kunden direkt för att utöva sina rättigheter med avseende på personuppgifterna enligt tillämplig datasekretess lagar. I enlighet med sådana lagar kommer vi att svara på sådana förfrågningar endast efter instruktioner från våra kunder.

Frågor

Om du har allmänna frågor om säkerheten för Convivas tjänster eller angående något som diskuteras ovan, vänligen kontakta oss på:

Conviva Inc.
Juridiska frågor och sekretesspolicy
989 East Hillsdale Boulevard, Suite 400
Foster City, CA 94404, USA
USA
(650) 401-8282
privacy@conviva.com

Om du är i Europeiska unionen kan du kontakta Convivas EU-baserade representant på:

Conviva Ltd.
2-7 Clerkenwell Green, London, EC1R 0DE, Storbritannien
Storbritannien Observera: General Manager
privacy@conviva.com

 

 

1Ytterligare information om AWS säkerhet kan nås på följande länkar:
http://aws.amazon.com/security/sharing-the-security-responsibility
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/
https://aws.amazon.com/compliance/soc-faqs/
Google Cloud Platform-säkerhet: https://cloud.google.com/security/compliance/#/

2Ytterligare information om Equinix säkerhet kan nås på
http://www.equinix.com/services/data-centers-colocation/standards-compliance/.