Beveiliging van Iron Mountain InSight® whitepaper

Managementsamenvatting

Over beveiliging van Iron Mountain

Iron Mountain hanteert een diepgaande beveiligingsaanpak die zowel de opname en opslag van content en de verwerking van digitale documenten, als de hosting in een beveiligd datacenter omvat. Iron Mountain maakt gebruik van het National Institute of Standards and Technology (NIST) Cyber Security Framework (CSF) als bedrijfsbeveiligingskader. Wij bieden een veilige implementatie van services, gegevensopslag met privacybescherming voor eindgebruikers, communicatie tussen services en administratieve ondersteuning met een scheiding van taken.

Training

Iron Mountain werkt met sterk gereguleerde sectoren die personeelstrainingen op het gebied van beveiliging en privacy vereisen. Medewerkers volgen verschillende beveiligingscursussen en -trainingen die het hele jaar door worden ontwikkeld, zoals voorgeschreven door ons trainingsprogramma voor de hele onderneming. De training omvat een jaarlijkse beveiligingsbewustwording, gegevensprivacytraining, en trainingen over veilig programmeren, de ethische code en zakelijk gedrag. We werken samen met klanten om ervoor te zorgen dat medewerkers grondig worden nagetrokken met achtergrondcontroles. Wie we in dienst nemen, is afhankelijk van een achtergrondonderzoek dat wordt toegepast op basis van diverse lokale en klantvereisten.

Producten van Iron Mountain InSight

I. Nalevingsprogramma's

Iron Mountain InSight heeft een breed en specifiek programma voor naleving op het gebied van beveiliging opgezet dat is afgestemd op de behoeften van klanten wat betreft sector en regelgeving. Dit omvat naleving van beveiligingsvoorschriften en gegevensprivacy.

Nalevingsverklaringen

• ISO-27001: InSight is sinds 2020 continu gecertificeerd. Dit is een internationale standaard waarmee organisaties de beveiliging van hun informatiemiddelen kunnen beheren. Deze biedt een beheerkader voor de implementatie van een beheersysteem voor informatiebeveiliging (ISMS) om de vertrouwelijkheid, integriteit en beschikbaarheid van alle gegevens te waarborgen.
• SOC2 Type 2: Iron Mountain heeft sinds 2020 een SOC2 Type 2-verklaring voor InSight. Een SOC2 Type 2-rapport is een SOC-audit (Service Organization Control) over hoe een cloudgebaseerde serviceprovider omgaat met gevoelige informatie.

Compliant met de branche

• InSight is geschikt voor 21 CFR Part 11.
• StateRAMP: Ready-status ontvangen in januari 2024.
• FedRAMP (NIST 800-53/37): tests door derden uitgevoerd op basis van de NIST 800-53 Revision 4-controles, evenals aanvullende FedRAMPvereisten. InSight heeft ATO (Authorizations To Operate) van FedRAMP en de Ready-status van FedRAMP toegekend gekregen.

Gegevensprivacy

• Algemene verordening gegevensbescherming (AVG): InSight heeft een AVG-beoordeling ondergaan en een kopie van het rapport is op aanvraag beschikbaar.
• Health Insurance Portability and Accountability Act (HIPAA): InSight voldoet aan HIPAA en heeft privacy- en beveiligingsmaatregelen geïmplementeerd om de privacy en beveiliging van persoonlijk identificeerbare informatie (PII) te beschermen.

II. Overzicht van de operationele beveiliging

Identiteits- en toegangsbeheer

• We implementeren en handhaven rolgebaseerd toegangsbeheer voor gebruikers met bevoegdheden, waarbij hun gebruik en toewijzing beperkt is. Meervoudige verificatie (MFA) is verplicht, zodat de toegang beperkt is tot geverifieerde gebruikers. De laagste bevoegdheid wordt geïmplementeerd voor geautoriseerde gebruikers en processen.

Monitoren

• Beveiligingsscans: de InSight-omgeving omvat een bewakingssysteem dat containerbeelden en systemen scant en kwetsbaarheden detecteert.
• Testen van applicatiebeveiliging: InSight voert statische testen van applicatiebeveiliging (SAST), dynamische testen van applicatiebeveiliging (DAST) en handmatige penetratietesten uit.
• Systeembewaking en auditlogboeken: InSight omvat een SIEM-systeem (Security Information and Event Management) voor logboekbeheer, realtime bewaking van beveiligingsgebeurtenissen, correlatie en waarschuwing bij beveiligingsgebeurtenissen, en auditlogboeken.
• Reactie op incidenten: ons Cyber Incident and Response Team (CIRT) is verantwoordelijk voor het classificeren van auditgebeurtenissen die van bijzonder belang zijn voor het informatiesysteem van Iron Mountain InSight, en voor het uitvoeren van beoordelingen en analyses van auditrecords.
• Incidentbeheer: ons Cyber Incident and Response Team (CIRT) onderhoudt een cyberresponsplan om in realtime te identificeren, beschermen, detecteren, reageren en herstellen, inclusief uitgebreide registratie en bewaking van onze producten en infrastructuur. Daarnaast onderhouden we de kennis van medewerkers en de trainingsprogramma's met betrekking tot interne beleidsregels en procedures voor informatiebeveiliging.

Bedrijfscontinuïteit

• InSight's beoogde hersteltijd (RTO) voor bedrijfsapplicaties van niveau 1 ligt tussen 10 en 24 uur en het beoogde herstelpunt (RPO) werd beoordeeld als 1 uur in onze laatste BCP-test (bedrijfscontinuïteitplan) die in het vierde kwartaal van 2023 werd uitgevoerd. RTO/RPO kan worden gewijzigd op basis van de behoeften van de klant.

Herstel na calamiteiten

• De bedoeling van de test voor herstel na rampen van InSight is dat we objecten, databases en indexen effectief kunnen herstellen nadat ze per ongeluk verwijderd of bijgewerkt zijn. Dit zijn namelijk de bronnen van permanente gegevens voor de InSight-applicatie binnen de opgegeven RTO/RPO, zoals gedocumenteerd in ons bedrijfscontinuïteitplan (BCP).

Capaciteitsplanning

• Onze capaciteitsplanning is gericht op het bewaken van de werklastprestaties en het mogelijk maken dat de capaciteit voldoet aan de huidige en toekomstige eisen. Dit omvat het meten van de prestaties en het controleren van de capaciteit, zodat we de capaciteitslimieten niet overschrijden.

Patching en beheer van kwetsbaarheden

• Patching en beheer van kwetsbaarheden, anti-malware, encryptie van endpointschijven en inbraakpreventie worden beheerd met onze informatietechnologiemiddelen en endpointbeheeroplossingen.

Encryptie

• Alle gegevens worden tijdens verzending en in rust gecodeerd volgens de Federal Information Processing Standards (FIPS 140-2) met behulp van branchestandaarden zoals Advanced Encryption Standard (AES) 256 en door service beheerde sleutels.

III. Gegevensprivacy

Gegevensopslag

• Gegevensopslag beschrijft waar klantgegevens in rust worden opgeslagen. Om te kunnen voldoen aan de vereisten voor gegevensopslag, kan InSight bepalen waar gegevens worden opgeslagen en kan het ook de gegevensopslag aanpassen en beperken tot bepaalde regio's.

Databeveiliging

• InSight past de juiste technische, organisatorische en administratieve maatregelen toe, waaronder encryptie en meervoudige verificatie (MFA), zodat klantgegevens te allen tijde veilig blijven. InSight kan op verzoek van de klant een firewall voor webapplicaties (WAF) implementeren.

Impactbeoordelingen van gegevensbescherming (DPIA's)

• Iron Mountain verwerkt persoonlijke en persoonlijk identificeerbare informatie namens anderen. Als verwerkingsverantwoordelijke of verwerker mag Iron Mountain klantinformatie verwerken zonder dat de werkelijke inhoud of oorsprong van de gegevens bekend is.
• Wanneer we optreden als verwerkingsverantwoordelijke of verwerker vanuit de Europese Economische Ruimte (EER) en Zwitserland (of gegevens uit de Verenigde Staten in de EER of Zwitserland openen) worden gegevens verwerkt overeenkomstig de toepasselijke Privacy Shield-beginselen.
• We voeren op gezette tijden effectbeoordelingen van gegevensbescherming (DPIA's) uit, zoals voorgeschreven in verband met de verwerking van persoonsgegevens.

OPMERKING: Raadpleeg het privacybeleid van Iron Mountain voor informatie over de soorten persoonlijke gegevens en de doeleinden waarvoor dergelijke gegevens worden overgedragen en verwerkt, evenals de derden met wie dergelijke gegevens kunnen worden gedeeld.

Élever la valeur de votre travail

Iron Mountain is al meer dan 70 jaar uw strategische partner voor uw informatie en IT assets. We zijn wereldleider op het gebied van opslag- en informatiebeheerdiensten en worden vertrouwd door meer dan 225.000 organisaties over de hele wereld, waaronder meer dan 90% van de Fortune 1000. We beschermen, ontgrendelen en vergroten de waarde van uw werk, wat het ook is, waar het zich ook bevindt, hoe het ook is opgeslagen.