如需獲得最佳網頁瀏覽體驗,請使用 IE 11 或更高版本、Chrome、Firefox 或 Safari。

技术和组织措施声明

Quest

Quest在处理和传输个人数据时非常重视信息安全。本信息安全概述适用于Quest用以保护由Quest或其附属公司处理和/或在Quest集团公司之间传输的个人数据的企业控制措施。

安全实践

Quest已实施企业信息安全实践与标准,旨在保护Quest的企业环境,并从信息安全、系统和资产管理、开发和治理方面实现企业目标。

这些实践和标准经Quest管理层批准,并在必要时定期审查和更新。

Quest应维护适当的数据隐私和信息安全计划,包括有关物理和逻辑访问限制、数据分类、访问权限、认证计划、记录保留、数据隐私、信息安全以及个人数据和敏感个人数据在其整个生命周期内的处理的政策和规程。主要政策将至少每年审查一次。

组织安全

所有参与处理客户个人数据的Quest员工都有责任遵守这些实践和标准。Quest的信息安全(“IS”)职能部门负责以下活动:

  1. 安全策略 — IS职能部门致力于确保遵守其自身与安全相关的政策和标准以及所有相关法规,提高用户安全意识并向其提供安全培训。此外,IS职能部门还开展风险评估和风险管理活动,并管理合同安全要求。
  2. 安全工程 — IS职能部门管理安全解决方案的测试、设计和实施,以便在Quest的在线和信息技术环境中采用安全控制。
  3. 安全操作 – IS职能部门管理已实施安全解决方案的支持,监控并扫描Quest的在线和信息技术环境和资产,并管理事件响应。
  4. 取证调查 — IS职能部门与法务和合规部门以及人力资源部门合作开展调查,包括发现和取证。
  5. 安全咨询与测试 — IS职能部门与软件开发人员合作开发最佳安全实践,为软件项目提供应用程序开发和体系结构咨询,并开展质量保证测试。

资产分类和控制

Quest的做法是跟踪和管理关键信息以及物理、软件和逻辑资产。Quest可能会跟踪的资产示例包括:

  1. 信息资产,如已确定的数据库、灾难恢复计划、业务连续性计划、数据分类、归档信息;
  2. 软件资产,如已确定的应用程序和系统软件;
  3. 物理资产,如已确定的服务器、台式机/笔记本电脑、备份/归档磁带、打印机和通信设备。

这些资产根据业务关键程度进行分类,以确定机密性要求。用于处理个人数据的行业原则提供了技术、组织和物理安全措施的框架。这些安全措施可能包括访问管理、加密、日志记录和监控以及数据销毁等控制措施。

员工筛选、培训和安全

  1. 筛选/背景调查:在合理可行且适当的情况下,作为雇用/招聘流程的一部分,Quest应对员工或潜在员工进行筛选和背景调查(根据当地法律法规,不同国家和地区的情况各不相同),这些员工可以访问Quest的网络、系统或设施。
  2. 身份证明:Quest要求所有员工提供身份证明,以及根据雇用国家/地区或者员工为其提供服务的其他Quest实体或客户所要求的任何其他文件。
  3. 培训:Quest的年度合规培训计划包括要求员工完成在线数据保护和信息安全意识培训。
  4. 机密性:Quest确保其员工依法保护和维护其根据标准协议处理的任何数据的保密性。

物理访问控制和环境安全

  1. 物理安全计划:Quest在其物理安全计划中使用多种技术和操作方法,以在合理可行的范围内降低安全风险。Quest安全团队与各个场所密切合作,确定已采取适当措施,防止未经授权人员获取对个人数据处理系统的访问权限,并持续监控物理基础架构、业务和已知威胁的任何变化。此外,他们还监控行业中其他人使用的最佳实践措施,仔细选择同时满足商业实践独特性和Quest期望的方法。Quest通过考虑包括体系结构、操作和系统在内的控制元素来平衡其安全方法。
  2. 物理访问控制:Quest的设施/场所的物理访问控制/安全措施满足以下要求:
    1. 根据业务必要性、资产敏感性以及个人的角色和与Quest的关系,控制对Quest的建筑、设施和其他物理场所的访问。只有与Quest相关的人员才能访问Quest的设施和物理资源。访问权限仅以与人员在组织中的角色和职责相一致的方式提供;
    2. 相关Quest设施由访问控制系统提供保护。只有使用激活卡才能进入此类设施;
    3. 由IS职能部门给需要访问卡片控制设施和/或资源的人签发适当且唯一的物理访问凭据(例如分配给一个人的胸牌或出入证)。签发有唯一物理访问凭据的人员将收到指示,不得允许或让其他人使用其唯一凭据访问Quest的设施或资源(例如,无“尾随”)。如果没有有效身份的个人需要(i)访问特定设施和满足(ii)有效的业务需求,可向其发放临时(最多14天)凭据。唯一凭据不可转让,如果个人无法根据要求提供凭据,可能会被拒绝进入Quest的设施或被护送离开相关场所。在有工作人员的入口,个人必须在进入时向安全代表出示有效的带照片的身份证件或有效凭据。丢失凭据或其他身份证件或不记得将其放在何处的个人必须通过配有工作人员的入口进入,并由安全代表签发临时胸牌;
    4. 需要进入Quest设施的访客必须通过有工作人员的入口和/或主要设施入口进入。访客必须登记其到达日期和时间、离开大楼的时间,以及他们要拜访的人员的姓名。访客必须出示政府签发的现行身份证明文件,以证明其身份。为防止访问或披露公司专有信息,访客不得在无人陪同的情况下进入受限或受控区域;
    5. 在适当且合法的情况下,选定的Quest设施采用闭路电视监控、保安和其他物理措施;
    6. 大多数场所都提供上锁的碎纸箱,用于安全销毁机密信息/个人数据;
    7. 对于软件开发和基础架构部署项目,IS职能部门使用风险评估流程和数据分类程序来管理这些活动产生的风险。

安全事件和响应计划

  1. 安全事件响应计划:Quest维护安全事件响应策略及相关计划和规程,指明Quest在遇到失去对个人数据的控制、个人数据被盗、未经授权披露、未经授权访问或未经授权获取个人数据时将采取的措施。这些措施可能包括事件分析、控制、响应、补救、报告和恢复正常运营。
  2. 响应控制措施:实施控制措施,防止恶意使用资产和防范恶意软件并支持其检测;向Quest的IS职能部门或服务台报告潜在事件,以采取适当的行动。此类控制措施可能包括但不限于:信息安全策略和标准;受限访问;指定的开发和测试环境;在服务器、台式机和笔记本电脑上实施病毒检测;电子邮件附件病毒扫描;系统合规性扫描;入侵防御监控和响应;防火墙规则;关键事件的记录和警报;基于数据类型的信息处理规程;电子商务应用程序和网络安全;以及系统和应用程序漏洞扫描。根据风险,可以实施其他控制措施。

数据传输控制和加密

Quest应在其能够控制的任何个人数据电子传输的范围内采取一切合理措施,确保在传输或转移过程中,如果没有适当授权,则无法读取、复制、修改或删除此类传输。尤其是,Quest应:

  1. 在个人数据传输中实施行业标准加密实践。Quest使用的行业标准加密方法包括安全套接字层(SSL)、传输层安全性(TLS)、SSH之类的安全外壳程序,以及/或者互联网协议安全性(IPSec);
  2. 对于可能会处理敏感个人数据和/或在包含此类信息的网络(包括Quest的核心网络)上提供与系统的实时集成的面向互联网的应用程序,可以使用Web应用程序防火墙(WAF)来提供额外的输入检查和攻击缓解层。WAF将配置为减少注入式攻击、缓冲区溢出、Cookie操控和其他常见攻击方法等潜在漏洞。

系统访问控制

只有获得授权的用户才能访问Quest的系统。正式的规程和控制措施负责管控向获授权人员授予访问权限的方式,以及该个人履行其工作职责所需的适当访问级别。

数据访问控制

Quest实行以下关于访问和使用个人数据的控制措施:

  1. 指示人员仅使用实现Quest的相关业务目的所需的最小量的个人数据
  2. 指示人员不得读取、复制、修改或删除个人数据,除非为履行其工作职责而需执行这些操作;
  3. 第三方使用个人数据要受第三方与Quest之间的合同条款和条件的约束,这些条款和条件对第三方使用个人数据施加限制,并将此类使用的范围限制为第三方提供服务所必需的内容;

可用性控制

Quest通过遵循以下控制措施保护个人数据免遭意外破坏或损失:

  1. 根据客户合同,或者如果没有客户合同,则根据Quest的记录管理政策和实践以及法律保留规定,保留个人数据;
  2. 纸质个人数据应在安全的处理箱或横切碎纸机中进行处置,使得相关信息不再可破译;
  3. 将电子版个人数据将交由Quest的IT资产管理团队进行妥善处理;
  4. 实施适当的技术措施,包括(但不限于):所有系统均安装防病毒软件;通过防火墙提供网络保护;网络分段;使用内容过滤器/代理;无中断电源;定期生成备份;硬盘镜像(必要时);消防安全系统;酌情配备水保护系统;应急计划;以及有空调的机房。

数据输入控制

在适当情况下,Quest采取措施来检查个人数据是否已输入以及由谁输入到数据处理系统中,或者这些数据是否已被修改或删除。对相关应用程序的访问会被记录下来。

系统开发和维护

检查公开发布的第三方漏洞,了解其在Quest环境中的适用情况。基于Quest业务和客户所面临的风险提供预先确定的补救时间表。此外,根据风险扫描和评估新应用程序、重要应用程序和基础架构的漏洞。在生产之前将代码审查和扫描程序用于开发环境,以主动根据风险检测代码漏洞。这些流程可主动发现漏洞及确保合规性。

合规性

信息安全、法律、隐私和合规性部门需要找出可能适用于Quest的地区性法律法规。这些要求涵盖如下方面:Quest及其客户的知识产权、软件许可证、保护员工和客户的个人信息、数据保护以及数据处理规程、跨境数据传输、财务及运营规程、技术出口管制,以及取证要求。
诸如信息安全计划、隐私保护高管委员会、内部和外部审核/评估、内部和外部法律顾问咨询、内部控制评估、内部渗透测试和漏洞评估、合同管理、安全意识、安全咨询、策略例外检查和风险管理等机制共同促进了对这些要求的遵从。

子处理方

有关当前子处理方的信息,请访问https://support.quest.com/subprocessor。客户可订阅新子处理方的通知。
有关产品特定技术和组织措施的进一步信息,请参阅产品相关安全指南