Praktik Keamanan Data
Verisign telah mengadopsi dan akan terus mempertahankan praktik-praktik keamanan teknis dan organisasi yang sesuai untuk mengamankan data pelanggan. Praktik-praktik ini melibatkan infrastruktur, perangkat lunak, karyawan, dan prosedur Verisign, serta mempertimbangkan sifat, ruang lingkup, dan tujuan pemprosesan sebagaimana ditentukan dalam perjanjian pelanggan. Kendali dan praktik keamanan dirancang dan dimaksudkan untuk melindungi kerahasiaan, integritas, dan ketersediaan data pelanggan dari risiko yang terdapat dalam pemprosesan data pribadi, khususnya risiko dari tindakan pemusnahan, kehilangan, pengubahan, pengungkapan yang bersifat tidak sah atau melanggar hukum dari, atau akses ke data pelanggan yang ditransmisikan, disimpan atau diproses. Verisign terus bekerja untuk memperkuat dan meningkatkan kendali dan praktik keamanan tersebut.
Verisign beroperasi sesuai dengan praktik yang selaras dengan AICPA, Prinsip dan Kriteria Layanan Kepercayaan (Sistem dan Kendali Organisasi (“SOC”)) (www.aicpa.org). Praktik keamanan informasi Verisign menetapkan dan mengatur bidang keamanan yang berlaku untuk Verisign dan penggunaan layanan Verisign oleh pelanggan. Personel Verisign, termasuk karyawan, kontraktor, dan karyawan sementaranya, tunduk pada praktik-praktik ini dan setiap kebijakan tambahan yang mengatur ketenagakerjaan mereka atau layanan yang mereka sediakan kepada Verisign.
Pendekatan Verisign terhadap keamanan informasi bersifat komprehensif, menerapkan strategi multi-lapis di mana keamanan fisik, infrastruktur jaringan, perangkat lunak, serta praktik dan prosedur keamanan karyawan memainkan peran penting, yang didukung oleh tata kelola dan pengawasan yang ketat.
a) Perlindungan Fisik
Verisign melakukan langkah-langkah yang dirancang secara khusus untuk mencegah individu yang tidak berwenang mengakses fasilitas Verisign yang menyimpan data pelanggan, termasuk lokasi kantornya dan semua infrastruktur produksinya. Kendali umum digunakan antara lokasi kantor dan co-lokasi/pusat data Verisign, yang mencakup hal-hal berikut:
- Semua akses fisik dibatasi dan diperlukan otorisasi untuk mengaksesnya.
- Semua lokasi Verisign dikendalikan dan dipantau oleh kamera video dengan kemampuan perekaman.
- Jalur masuk dilindungi oleh penghalang fisik yang dirancang untuk mencegah masuknya kendaraan yang tidak berwenang.
- Semua tempat dijaga selama 24 jam dalam sehari, 365 hari dalam setahun oleh penjaga keamanan yang melakukan tindakan seperti pengenalan identitas visual dan manajemen pendampingan pengunjung.
- Semua karyawan dan pengunjung wajib terlihat mengenakan identifikasi resmi saat berada di lokasi.
- Pengunjung wajib menandatangani daftar pengunjung dan didampingi dan/atau diamati saat berada di lokasi.
- Kepemilikan kunci/kartu akses dan kemampuan untuk mengakses lokasi dipantau. Staf yang mengundurkan diri dari Verisign wajib mengembalikan kunci/kartunya.
- Beberapa generator, UPS, HVAC, dan sistem pemadam kebakaran telah diterapkan di semua lokasi.
b) Kendali Akses Sistem
Firewall, kendali keamanan perimeter, VPN, dan router pengendali akses diterapkan dan dikonfigurasikan sesuai dengan standar Verisign untuk mencegah komunikasi yang bersifat tidak sah. Sistem deteksi intrusi berbasiskan jaringan dikonfigurasi untuk mendeteksi serangan atau perilaku yang mencurigakan, dan pemindaian kerentanan dilakukan untuk mengidentifikasi potensi kelemahan terhadap keamanan dan kerahasiaan sistem dan data. Verisign bisa, tergantung pada layanan spesifik yang digunakan, menerapkan kendali berikut ini: (i) otentikasi melalui kata sandi dan/atau otentikasi multi-faktor; (ii) otorisasi terdokumentasi dan proses manajemen perubahan; dan (iii) pencatatan akses. Perangkat lunak yang mendukung infrastruktur Verisign mencakup sistem operasi, basis data, dan perangkat lunak anti-virus yang diperbarui sesuai dengan kebutuhan. Aplikasi yang dikembangkan secara internal menjalankan fungsi pengiriman produk. Selain itu, Verisign menggunakan beberapa utilitas pencadangan/pemulihan untuk melakukan pencadangan harian dan berkala dari sistem produksinya.
Akses Verisign ke data pelanggannya dibatasi kepada personel yang berwenang saja dan akses hanya diberikan setelah persetujuan yang sesuai diterima dari pihak manajemen. Hanya staf Verisign yang berkepentingan yang diberikan akses kepada data pelanggan untuk tujuan memberikan dukungan kepada pelanggan terkait saja. Selain itu, Verisign menyediakan mekanisme di mana pelanggan bisa mengendalikan akses staf mereka yang berwenang terhadap informasi dan konten yang terkait.
c) Kendali Transmisi dan Koneksi
Verisign mengimplementasikan langkah-langkah untuk mencegah data pelanggan dibaca, disalin, diubah, atau dihapus oleh pihak-pihak yang tidak berwenang selama periode waktu henti layanan, transmisi, dan transportasi. Hal ini bisa dicapai dengan berbagai langkah pengamanan yang dilakukan, termasuk penggunaan firewall, VPN, protokol pengamanan, dan teknologi enkripsi yang sesuai untuk melindungi gateway dan pipeline tempat data pelanggan ditransmisikan. Akses pelanggan ke portal pelanggan Verisign juga dilakukan melalui protokol komunikasi yang aman yang disediakan oleh Verisign. Jika akses dilakukan melalui koneksi Transport Layer Security (“TLS”), koneksi tersebut ditransmisikan melalui enkripsi 128-bit. Kunci pribadi yang digunakan untuk menghasilkan kunci sandi adalah minimal 2048 bit. TLS diimplementasikan atau bisa dikonfigurasi untuk semua aplikasi berbasis web dengan sertifikasi TLS yang diterapkan di Verisign.
d) Segregasi Data
Data pelanggan secara logis atau fisik dipisahkan dari pelanggan lainnya yang dihosting di Verisign.
e) Kerahasiaan dan Pelatihan
Staf Verisign yang bisa mengakses data pelanggan wajib untuk tunduk pada perjanjian kerahasiaan yang berlaku. Staf Verisign diwajibkan untuk mengikuti dan menyelesaikan pelatihan secara berkala.
f) Kebijakan Keamanan Informasi Verisign
Kebijakan keamanan informasi Verisign menetapkan dan mengatur bidang keamanan yang berlaku untuk layanan Verisign dan penggunaan layanan tersebut oleh pelanggan. Personel Verisign tunduk pada kebijakan keamanan informasi Verisign dan setiap kebijakan tambahan yang mengatur ketenagakerjaan mereka atau layanan yang mereka sediakan kepada Verisign. Informasi yang relevan tentang kebijakan ini tersedia dalam SOC 2 yang berlaku atau laporan pihak ketiga lainnya yang bisa dibagikan kepada pelanggan berdasarkan permintaan.
g) Penilaian Keamanan
Verisign menggunakan proses internal untuk menguji, menilai, mengevaluasi dan menjaga keefektifan langkah-langkah keamanan teknis dan organisasi yang dijelaskan dalam dokumen ini secara berkala. Verisign bisa mempekerjakan pihak ketiga untuk melakukan tinjauan independen dan memastikan kepatuhan terhadap hal-hal berikut (ketersediaan dan cakupan laporan bisa bervariasi berdasarkan layanan dan negara):
- AICPA, Prinsip dan Kriteria Layanan Kepercayaan (Sistem dan Kendali Organisasi (SOC) 2 Tipe II)
- Undang-undang Sarbanes-Oxley tahun 2002
- Pengujian keamanan pihak ketiga independen ditujukan untuk meninjau efektivitas kendali administratif dan teknis.
Efektif berlaku: 24 Mei 2018