Segurança do Iron Mountain InSight® artigo técnico

Resumo executivo

Sobre a segurança da Iron Mountain

A Iron Mountain incorpora uma abordagem de segurança detalhada que abrange a ingestão de conteúdo, o armazenamento e o processamento de documentos digitais, bem como a hospedagem em um centro de dados seguro. A Iron Mountain utiliza o National Institute of Standards and Technology (NIST) Cyber Security Framework (CSF) como estrutura de segurança corporativa. Oferecemos uma implantação segura de serviços, armazenamento de dados com proteções de privacidade do usuário final, comunicações entre serviços e suporte administrativo com separação de tarefas.

Treinamento

A Iron Mountain trabalha com setores altamente regulamentados que exigem treinamento em segurança e privacidade da força de trabalho. Os funcionários participam de vários cursos e treinamentos de segurança desenvolvidos ao longo do ano, conforme exigido por nosso programa de treinamento corporativo. O treinamento inclui conscientização anual de segurança, treinamento sobre privacidade de dados, treinamento sobre código seguro, código de ética e conduta comercial. Trabalhamos com os clientes para que o pessoal seja devidamente examinado com verificações de antecedentes. Nossa contratação depende de uma investigação de antecedentes, conforme aplicado por meio de vários requisitos locais e do cliente.

Produtos Iron Mountain InSight

I. Programas de conformidade

O Iron Mountain InSight estabeleceu um programa de conformidade de segurança amplo e específico, alinhado às necessidades do cliente em relação a regulamentações e ao setor. Isso inclui conformidade de segurança e privacidade de dados.

Atestados de conformidade

• ISO-27001 - O InSight tem sido certificado regularmente desde 2020. Essa é uma norma internacional que ajuda as empresas a gerenciar a segurança de seus ativos de informação. Ela fornece uma estrutura de gerenciamento para a implementação de um sistema de gerenciamento de segurança da informação (ISMS) para garantir a confidencialidade, a integridade e a disponibilidade de todos os dados.
• SOC2 Tipo 2 - A Iron Mountain mantém um atestado SOC2 Tipo 2 para o InSight desde 2020. O relatório SOC2 Tipo 2 é uma auditoria de controle de organização de serviços (SOC) sobre como um provedor de serviços baseado em nuvem lida com informações confidenciais

Conformidade com o setor

• O InSight está em conformidade com a CFR 21 Parte 11.
• StateRAMP - Status de Pronto recebido em janeiro de 2024.
• FedRAMP (NIST 800-53/37) - Teste de terceiros realizado em relação aos controles NIST 800-53 Revisão 4, bem como aos requisitos adicionais do FedRAMP. O InSight recebeu as autorizações de operação (ATO) do FedRAMP, bem como o status de Pronto do FedRAMP.

Privacidade de dados

• Regulamento geral de proteção de dados (GDPR) - O InSight foi submetido a uma avaliação do GDPR e uma cópia do relatório está disponível mediante solicitação
• Lei de portabilidade e responsabilidade de convênios médicos (HIPAA) - O InSight está em conformidade com a HIPAA e implementou medidas de privacidade e segurança para proteger a privacidade e a segurança de informações de identificação pessoal (PII).

II. Visão geral da segurança operacional

Gerenciamento de identidade e acesso

• Implementamos e aplicamos o controle de acesso baseado em função para usuários com privilégios, restringindo seu uso e alocação. A autenticação multifator (MFA) é obrigatória para que o acesso seja limitado aos usuários autenticados. O privilégio mínimo é implementado para usuários e processos autorizados.

Monitoramento

• Verificação de segurança - O ambiente do InSight inclui um sistema de monitoramento que verifica imagens e sistemas de contêineres e detecta vulnerabilidades.
• Teste de segurança de aplicativos - O InSight realiza testes de segurança de aplicativos estáticos (SAST), testes de segurança de aplicativos dinâmicos (DAST) e testes de intrusão manual.
• Monitoramento do sistema e logs de auditoria - O InSight inclui um sistema de gerenciamento de eventos e informações de segurança (SIEM) para gerenciamento de logs, monitoramento em tempo real de eventos de segurança, correlação e alerta de eventos de segurança e logs de auditoria.
• Resposta a incidentes - Nossa equipe de resposta a incidentes cibernéticos (CIRT) é responsável por classificar os eventos de auditoria que são de interesse particular para o sistema de informações InSight da Iron Mountain e por conduzir revisões e análises de registros de auditoria.
• Gerenciamento de incidentes - Nossa equipe de resposta e incidentes cibernéticos (CIRT) mantém um plano de resposta cibernética para identificar, proteger, detectar, responder e recuperar em tempo real, incluindo registro em log e monitoramento completos de nossos produtos e infraestrutura. Também mantemos programas de conscientização e treinamento de funcionários para incluir políticas e procedimentos internos de segurança da informação.

Continuidade dos negócios

• O objetivo de tempo de recuperação (RTO) da InSight para aplicativos de negócios de nível 1 está entre 10 e 24 horas, e o objetivo de ponto de recuperação (RPO) foi avaliado em 1 hora em nosso último teste de plano de continuidade de negócios (BCP) realizado no quarto trimestre de 2023. O RTO/RPO pode ser modificado com base nas necessidades do cliente.

Recuperação de desastres

• O teste de recuperação de desastres do InSight foi desenvolvido para que possamos recuperar efetivamente objetos, bancos de dados e índices da exclusão ou atualização acidental, pois essas são as fontes de dados persistentes para o aplicativo InSight dentro do RTO/RPO determinado, conforme documentado em nosso plano de continuidade de negócios (BCP).

Planejamento de capacidade

• Nosso planejamento de capacidade é voltado para o monitoramento do desempenho da carga de trabalho e para permitir que a capacidade atenda às demandas atuais e futuras. O que inclui medir o desempenho e monitorar para não atingirmos os limites de capacidade.

Gerenciamento de patches e vulnerabilidades

• O gerenciamento de patches e vulnerabilidades, o antimalware, a criptografia de disco de ponto de extremidade e a prevenção contra invasões são gerenciados por meio de nossas soluções de gestão de ativos e pontos de extremidade de Tecnologia da Informação.

Criptografia

• Todos os dados são criptografados em trânsito e em repouso de acordo com os padrões federais de processamento de informações (FIPS 140- 2), usando padrões do setor, como o padrão de criptografia avançada (AES) 256 e chaves gerenciadas pelo serviço.

III. Privacidade de dados

Residência de dados

• A residência de dados descreve onde os dados do cliente são armazenados em repouso. Para ajudar a cumprir os requisitos de residência de dados, o InSight pode controlar onde os dados são armazenados e também personalizar e restringir o armazenamento de dados a determinadas regiões.

Proteção de dados

• O InSight aplica medidas técnicas, empresariais e administrativas apropriadas, incluindo criptografia e autenticação multifator (MFA), para que os dados do cliente permaneçam seguros o tempo todo. O InSight pode implantar um firewall de aplicativo da Web (WAF) a pedido do cliente.

Avaliações de impacto sobre a proteção de dados (DPIAs)

• A Iron Mountain lida com informações privadas e de identificação pessoal em nome de terceiros. Como controladora ou processadora de dados, a Iron Mountain pode tratar ou processar informações de clientes sem ter conhecimento do conteúdo real ou da origem dos dados
• Quando atuamos como controladora ou processadora de dados da Área Econômica Europeia (EEA) e da Suíça (ou acessamos dados dos Estados Unidos na EEA ou na Suíça), os dados são processados de acordo com os Princípios do Privacy Shield aplicáveis.
• Realizamos avaliações de impacto sobre a proteção de dados (DPIAs) em intervalos regulares, conforme exigido, associadas ao processamento de dados pessoais

OBSERVAÇÃO: Consulte a declaração de política de privacidade da Iron Mountain para obter informações sobre os tipos de dados pessoais e as finalidades para as quais esses dados são transferidos e processados, bem como os terceiros com os quais esses dados podem ser compartilhados.

Elevate the power of your work

Por mais de 70 anos, a Iron Mountain tem sido sua parceira estratégica para cuidar de suas informações e ativos. Líder global em serviços de armazenamento e gerenciamento de informações e com a confiança de mais de 225.000 organizações em todo o mundo, incluindo mais de 90% das empresas listadas na Fortune 1000, protegemos, desbloqueamos e ampliamos o valor de seu trabalho — seja ele o que for, onde estiver e como for armazenado.