Средства обеспечения безопасности

Мы понимаем ваше стремление узнать, как компания Smartsheet обеспечивает безопасность и защиту ваших данных при использовании её веб-сервисов. В настоящем документе "Средства обеспечения безопасности в Smartsheet" содержатся сведения о функциях и средствах, в частности физических, организационных и технических мерах, используемых Smartsheet для обеспечения безопасности, сохранения целостности и защиты конфиденциальности веб-сервисов и Контента Клиента, а также для предотвращения угроз информационной безопасности.

 

1.       Общие положения.

1.1     Программа информационной безопасности.  Компания Smartsheet действует в рамках комплексной программы по обеспечению информационной безопасности, в том числе политик, стандартов, процедур и соответствующих документов, определяющих критерии, средства, методы и меры обработки и обеспечения безопасности Контента Клиента и систем или сетей Smartsheet, используемых для обработки или обеспечения безопасности Контента Клиента ("Информационные системы Smartsheet") в связи с предоставлением Услуг в соответствии с Соглашением и Дополнительным соглашением. 

1.2     Конфиденциальность. Обучение.Компания Smartsheet гарантирует, что её сотрудники: (a) обязуются соблюдать требования о неразглашении в отношении Контента Клиента, которые фактически так же относятся к защите конфиденциальности, как и изложенные в Соглашении; (b) проходят соответствующее обучение, связанное с обработкой Контента Клиента.

1.3     Определения

1.3.1    "Соглашение" — договор, регулирующий доступ Клиента к веб-сервисам и их использование им.

1.3.2    "Клиент" — физическое или юридическое лицо, которое оформляет или принимает Заказ, регистрируется для получения доступа к веб-сервису и его использования на время бесплатного пробного периода, а также является стороной Соглашения.

1.3.3    "Контент Клиента" — данные, файловые вложения, текст, изображения, отчёты, личная информация и другой контент, загруженный или переданный в веб-сервис Клиентом или Пользователями и обработанный Smartsheet от имени Клиента. 

1.3.4    "Обработка" — любая операция или ряд операций, выполняемых с Контентом Клиента, независимо от того, выполняются они автоматически или нет, например сбор, запись, организация, структурирование, хранение, адаптация, изменение, извлечение, консультация, использование, сопоставление, комбинирование, ограничение, стирание, уничтожение или раскрытие путём передачи, распространения или предоставления доступа иным образом.

1.3.5    "Нарушение безопасности" — инцидент безопасности, следствием которого является непредвиденное или незаконное уничтожение, потеря, изменение, несанкционированное разглашение Контента Клиента или несанкционированный доступ к нему.

1.3.6    "Услуги" — Услуги, предоставляемые по подписке, а также другие веб-сервисы или приложения, предоставляемые или контролируемые Smartsheet для использования с Услугами, предоставляемыми по подписке.

1.3.7    "Сотрудники Smartsheet" — любое физическое лицо, уполномоченное Smartsheet на обработку Контента Клиента.

1.3.8    "Услуга, предоставляемая по подписке" — веб-сервисы и приложения на основе подписки, которые предоставляются или контролируются Smartsheet. 

1.3.9     "Дополнительное соглашение" — критерии, средства, методы и меры, а также положения и условия, применимые к определённым продуктам и услугам Smartsheet или типам клиентов. Текст соглашения доступен на странице www.smartsheet.com/legal/agreement-supplement.

1.3.10    "Пользователь" — любое физическое лицо, которому Клиент или другой Пользователь предоставили доступ для использования веб-сервисов в соответствии с условиями Соглашения или которого пригласили получить такой доступ.

 

2.      Контроль безопасности.  В рамках программы информационной безопасности компания Smartsheet внедряет соответствующие физические, организационные и технические элементы контроля с целью: (a) обеспечить безопасность, сохранить целостность и защитить конфиденциальность Контента Клиента, обрабатываемого Smartsheet; (b) защитить Контент Клиента от известных или предсказуемых угроз или рисков, в частности в отношении его безопасности и целостности, а также предотвратить непредвиденную потерю, изменения, раскрытие и другие незаконные формы обработки. Наряду с вышесказанным, Smartsheet при необходимости использует следующие элементы контроля:

2.1    Межсетевые экраны.  Компания Smartsheet устанавливает межсетевые экраны и обеспечивает их надлежащее функционирование для защиты данных, доступных через Интернет. 

2.2    Обновления.  Компания Smartsheet регулярно пересматривает программы и стандартные процедуры, чтобы поддерживать свои информационные системы в актуальном состоянии с учётом последних обновлений, дополнений, исправлений ошибок, новых версий и других изменений.

2.3    Защита от вредоносных программ.  Компания Smartsheet устанавливает, использует и поддерживает в актуальном состоянии программное обеспечение для защиты от вредоносных программ. Smartsheet использует такое программное обеспечение, чтобы минимизировать угрозы, связанные с вирусами, программами-шпионами и другими вредоносными кодами, обнаруженными или потенциально выявляемыми. 

2.4    Тестирование.  Компания Smartsheet регулярно проверяет системы, процессы и элементы контроля безопасности, чтобы убедиться в их соответствии требованиям, изложенным в настоящем документе "Средства обеспечения безопасности".

2.5    Управление доступом.  Чтобы обеспечить безопасность обработки Контента Клиента информационными системами, компания Smartsheet применяет перечисленные ниже принципы управления доступом.

  • 2.5.1    Smartsheet присваивает уникальный идентификатор сотрудникам, имеющим доступ к информационным системам Smartsheet. 
  • 2.5.2    Smartsheet предоставляет доступ к информационным системам только тем сотрудникам, которым он необходим для выполнения определённых обязательств в соответствии с Соглашением. 
  • 2.5.3    Smartsheet регулярно (минимум раз в девяносто (90) дней) пересматривает список сотрудников и сервисов Smartsheet, имеющих доступ к информационным системам, и удаляет учётные записи, которым более не требуется доступ.
  • 2.5.4    Smartsheet не использует системные пароли, установленные по умолчанию производителем, в любых операционных системах, программном обеспечении или информационных системах Smartsheet, предписывает обязательное использование "надёжных паролей" в соответствии с установившейся (описанной ниже) или лучшей практикой и требует, чтобы в отношении всех паролей и учётных данных для доступа сохранялся режим конфиденциальности, и они не распространялись среди сотрудников компании. 
  • 2.5.5    В соответствии с требованиями, пароли для рабочих учётных записей Smartsheet: (i) состоят из не менее чем восьми (8) символов; (ii) не совпадают с предыдущими паролями, логином пользователя или общими именами/названиями; (iii) изменяются при подозрении или предположении о компрометации учётной записи; (iv) регулярно сменяются.
  • 2.5.6    Smartsheet блокирует и отключает учётные записи, связанные с обработкой Контента Клиента, при превышении установленного количества попыток ввода неправильного пароля за определённый период.
  • 2.5.7    Smartsheet ведёт журнал регистрации всех случаев использования учётных записей или учётных данных сотрудниками Smartsheet для доступа к информационным системам компании, а также регулярно проверяет журналы регистрации доступа на наличие признаков вредоносной активности или несанкционированного доступа. 

2.6    Политики.  Smartsheet применяет и обеспечивает соблюдение сотрудниками компании соответствующих политик информационной безопасности, конфиденциальности и приемлемого использования, отвечающих стандартам, изложенным в настоящем документе "Средства обеспечения безопасности", в том числе в отношении методов обнаружения и регистрации нарушений политик. 

2.7    Разработка.  Процессы разработки и тестирования не связаны с информационным системами Smartsheet. 

2.8    Удаление.  Перед утилизацией носителя Smartsheet делает Контент Клиента невосстановимым с применением процедур, соответствующих рекомендациям SP 800-88 в ред. 1 Национального института стандартов и технологий (NIST) или аналогичному стандарту, широко используемому в отрасли.  

2.9    Шифрование.  Smartsheet использует криптографические стандарты, предусматривающие обязательное внедрение авторизованных алгоритмов, требований к длине ключа и процессов управления ключами, которые соответствуют актуальным отраслевым стандартам, в том числе рекомендациям NIST, или превосходят их, а также применяет требования к защите и конфигурации, соответствующие актуальным отраслевым стандартам, в том числе рекомендациям Института SANS, NIST или Центра интернет-безопасности (CIS). В соответствии с указанными стандартами Smartsheet шифрует Контент Клиента в состоянии покоя в веб-сервисах и использует только зашифрованные соединения с веб-сервисом для передачи Контента Клиента.

2.10  Удалённый доступ.  Smartsheet гарантирует, что любой доступ к информационным системам, к корпоративной сети или сети рабочих станций разработчиков из расположений, находящихся за пределами защищённой корпоративной или производственной среды, будет осуществляться с применением соответствующих элементов контроля подключения, например VPN или многофакторной аутентификации. 

 

3.      Привлечение третьих лиц.

3.1    Общие положения.  Третьи лица, привлекаемые компанией Smartsheet в рамках Соглашения, обеспечивают (как минимум) практически аналогичные уровни безопасности в соответствии с настоящим документом "Средства обеспечения безопасности".

3.2   Хостинг данных.  Smartsheet гарантирует, что любой сторонний хостинг-провайдер ("Инфраструктура как сервис" или "IaaS"), привлекаемый компанией для обработки Контента Клиента, отвечает следующим требованиям:

  • 3.2.1    Базовые требования.  Smartsheet гарантирует, что поставщики IaaS: (a) обеспечивают адекватные физическую безопасность и управление доступом, как указано в разделе 2.5 настоящего документа; (b) используют профессиональные средства контроля ОВКВ и окружающей среды; (c) используют профессиональную сетевую/кабельную среду; (d) используют профессиональные средства обнаружения/подавления воспламенений; (e) придерживаются комплексного плана обеспечения бесперебойности функционирования систем.
  • 3.2.2    Ежегодный аудит. Оценка.  Проведение ежегодных независимых оценок рисков и аудитов. Отчёты об оценках и аудитах предоставляются компании Smartsheet и, в предусмотренных законом случаях, станут доступны Клиенту при условии, что Smartsheet может удалить из них всю коммерческую и конфиденциальную информацию или положения, не имеющие отношения к средствам обеспечения безопасности IaaS. Кроме того, Smartsheet проводит ежегодные проверки и оценки любой критически важной IaaS, чтобы убедиться в соответствии мер безопасности как минимум требованиям настоящего документа "Средства обеспечения безопасности".
  • 3.2.3    Расширенные требования.  Обладает функциями и потенциалом центра обработки данных с высокой степенью доступности и резервирования ("N+1"), где несколько компонентов имеют по крайней мере один независимый резервный компонент, чтобы обеспечить функционирование системы на приемлемом уровне производительности в случае сбоя.

 

4.      Доступность системы.  Smartsheet соблюдает (или, в отношении сторонних систем, обеспечивает соблюдение третьими лицами) требования программы аварийного восстановления ("DR"), предназначенной для восстановления доступности Услуги, предоставляемой по подписке, после аварии. Программа DR состоит из следующих элементов: (a) стандартная проверка процедур регулярного создания резервных копий Контента Клиента на программном уровне с целью восстановления утерянных или повреждённых данных; (b) инвентаризация (с обновлением, как минимум, раз в год) с перечнем всех критически важных информационных систем Smartsheet; (c) ежегодный пересмотр и обновление программы DR; (d) ежегодное тестирование программы DR, направленное на проверку процедур DR и возможности восстановления описанных в ней услуг.

 

5.      Нарушение безопасности.

5.1    Процедура

  • 5.1.1     Smartsheet своевременно уведомляет Клиента в письменном виде о подтверждённом нарушении безопасности. 
  • 5.1.2    Smartsheet расследует и, при необходимости, минимизирует или устраняет последствия нарушения безопасности в соответствии с политиками и процедурами Smartsheet в отношении инцидентов безопасности ("Управление нарушениями").
  • 5.1.3    В соответствии с юридическими обязательствами Smartsheet предоставляет Клиенту доступную в результате управления нарушениями информацию, в частности, о характере инцидента, конкретных раскрытых сведениях (если таковые известны), а также соответствующих мерах по минимизации или устранению последствий ("Информация о нарушении"), чтобы Клиент мог выполнить свои обязательства в рамках законодательства, применимого в отношении нарушения безопасности.
  • 5.1.4    Если в дополнение к информации об инциденте Клиенту требуются сведения, относящиеся к нарушению безопасности, по письменному запросу Клиента и за его счёт, при условии, что Клиент не может самостоятельно получить доступ к интересующим его сведениям, компания Smartsheet оказывает содействие в разумных пределах и предпринимает попытки собрать и предоставить дополнительные сведения, указанные в запросе Клиента.

5.2    Неудачные попытки.  Неудачные атаки или вторжения не являются нарушением безопасности, на них не распространяется действие настоящего раздела 5. Неудачная атака или вторжение — это попытка, не приведшая к несанкционированному или незаконному доступу к Контенту Клиента. К ним, в частности, могут относиться атаки с помощью пинг-запросов и другие широковещательные атаки на межсетевые экраны или пограничные серверы, сканирование портов, неудачные попытки входа в систему, распределённые атаки на отказ в обслуживании, анализ пакетов (или другой несанкционированный доступ к данным трафика, который не приводит к доступу вне IP-адресов или заголовков TCP/UDP) и аналогичные инциденты.

5.3    Участие Клиента или Пользователя.  Несанкционированный или незаконный доступ к Контенту Клиента, произошедший в результате настройки Клиентом параметров конфигурации, компрометации учётных данных Пользователя, а также намеренного или ненамеренного распространения или раскрытия Контента Клиентом или Пользователем, не является нарушением безопасности.

5.4    Уведомления.  Уведомления о нарушении безопасности отправляются системным администраторам Клиента любым целесообразным, на усмотрение Smartsheet, способом, в том числе по электронной почте. Клиент несёт полную ответственность за регулярную актуализацию контактной информации в веб-сервисе.

5.5    Оговорка об ограничении ответственности.  Обязательство Smartsheet сообщать о нарушении безопасности или реагировать на него в соответствии с настоящим разделом 5 не является признанием Smartsheet какой-либо вины или ответственности в связи с нарушением безопасности.

 

6.      Аудит и отчётность.

6.1    Мониторинг.  Smartsheet постоянно отслеживает результативность программы информационной безопасности с помощью различных аудитов, оценок рисков и других контрольных мероприятий, чтобы убедиться в эффективности мер и элементов контроля безопасности. 

6.2    Аудиторские отчёты.  Компания Smartsheet привлекает внешних аудиторов для проверки адекватности мер и элементов контроля безопасности для некоторых услуг, в том числе Услуг, предоставляемых по подписке. Такой аудит: (a) предусматривает проверку всего оцениваемого периода с момента окончания предыдущего; (b) проводится в соответствии со стандартами AICPA SOC2 или другими стандартами, эквивалентными AICPA SOC2; (c) проводится независимыми сторонними специалистами по безопасности на усмотрение и за счёт Smartsheet; (d) отображается в отчёте SOC2 ("Аудиторский отчёт"), являющемся конфиденциальной информацией Smartsheet. Аудиторский отчёт предоставляется Клиенту по письменному запросу не чаще одного раза в год, при условии соблюдения обязательств по конфиденциальности, предусмотренных Соглашением или совместно согласованным договором о неразглашении. Настоящим уточняется, что в каждом аудиторском отчёте рассматриваются только те услуги, которые существовали на момент составления аудиторского отчёта. Услуги, появившиеся впоследствии, включаются в следующий ежегодный аудиторский отчёт, если подпадают под сферу его действия.  

6.3    Тестирование на проникновение.  Компания Smartsheet привлекает внешних экспертов по безопасности, чтобы провести тестирование на проникновение для некоторых веб-сервисов, в том числе Услуг, предоставляемых по подписке. Такое тестирование: (a) проводится не реже одного раза в год; (b) проводится независимыми сторонними специалистами по безопасности на усмотрение и за счёт Smartsheet; (c) отображается в отчёте о тестировании на проникновение ("Отчёт о тестировании на проникновение"), являющемся конфиденциальной информацией Smartsheet. Отчёт о тестировании на проникновение предоставляется Клиенту по письменному запросу не чаще одного раза в год, при условии соблюдения обязательств по конфиденциальности, предусмотренных Соглашением или совместно согласованным договором о неразглашении.  

6.4    Аудит, проводимый Клиентом.  Если в дополнение к аудиторским отчётам и отчётам о тестировании на проникновение Клиенту на законных основаниях необходимы сведения с целью соответствия требованиям применимого законодательства, то по письменному запросу Клиента и за его счёт, при условии, что Клиент не может самостоятельно получить доступ к интересующим его сведениям, Smartsheet разрешает проведение аудита сторонним аудитором, уполномоченным Клиентом, в отношении обработки Smartsheet Контента Клиента ("Аудит, проводимый Клиентом"), и оказывает необходимое содействие при условии соблюдения следующих требований:

  • 6.4.1.   Клиент предоставляет Smartsheet заблаговременное уведомление, содержащее информацию об аудиторе, предполагаемой дате и объёме аудита, проводимого Клиентом.
  • 6.4.2    Smartsheet утверждает кандидатуру аудитора путём уведомления Клиента, при этом необоснованный отказ в предоставлении такого утверждения не допускается.
  • 6.4.3    Клиент и аудитор действуют таким образом, чтобы в ходе аудита, проводимого Клиентом, избежать нанесения какого-либо ущерба или повреждения, а также не привести к сбоям в работе помещений, оборудования и компании в целом. 
  • 6.4.4.   Клиент проводит только один аудит в любом календарном году, если иное не требуется со стороны правоохранительных органов.

 

Последнее обновление: 24 марта 2023 г.