Comscore ha un team dedicato composto da esperti di sicurezza in possesso di certificazioni CISM (Certified Information Security Manager) e CISSP (Certified Information Systems Security Professional). Le responsabilità del team includono la gestione delle vulnerabilità, la risposta agli incidenti di sicurezza e l’implementazione e la gestione dei sistemi informatici di protezione.
Comscore si occupa di sviluppare, monitorare e potenziare i controlli di sicurezza ai sensi delle best practice governate dalla norma ISO 27001:
Comscore ha implementato e gestisce numerose tecnologie di tutela delle informazioni a seconda delle esigenze:
Policy di sicurezza informatica
Comscore ha una policy di sicurezza informatica?
Sì, Comscore provvede a mantenere e aggiornare numerose policy in materia di sicurezza informatica, in linea con le best practice contemplate dalla norma ISO 27001, come specificato di seguito.
Comscore comunica le policy al proprio staff?
Sì, Comscore rende le policy di sicurezza disponibili a tutti i dipendenti e consulenti esterni, e prevede una formazione annuale in materia di sicurezza informatica che comprende anche la verifica delle conoscenze dei dipendenti riguardo i contenuti delle policy.
Organizzazione della sicurezza informatica
Su quale framework di sicurezza si fonda l'organizzazione?
Comscore basa il proprio programma di sicurezza sul framework di controllo ISO 27001:2013. Il nostro programma di sicurezza è sottoposto ad audit nell'ambito delle procedure SOX, MRC, SOC3.
Sicurezza delle risorse umane
Comscore esegue controlli sui precedenti personali dei dipendenti e dei consulenti esterni?
Sì, nella misura consentita dalla legge. Nel caso dei consulenti esterni, non vengono condotti controlli sui precedenti personali dei dipendenti assunti tramite agenzie interinali, le quali si occupano di svolgere controlli autonomamente. Comscore si fa carico dell'esecuzione dei dovuti controlli sul personale assunto direttamente.
Il personale Comscore deve firmare accordi di non divulgazione?
Sì, nella misura consentita dalla legge. La firma di accordi di non divulgazione avviene tipicamente prima dell'inizio del rapporto di lavoro.
I dipendenti ricevono formazione in materia di sensibilizzazione alla sicurezza informatica?
Sì, Comscore ha sviluppato un programma di sensibilizzazione alla sicurezza informatica. La formazione viene offerta secondo un approccio multiforme. La prima parte della formazione si svolge seguendo un training da remoto. I dipendenti sono tenuti a completare la formazione iniziale durante “il periodo di inserimento”. La formazione viene erogata attraverso il Comscore Learning Management System (LMS). La sensibilizzazione è successivamente rafforzata attraverso newsletter, poster ed e-mail. Le policy sono disponibili per la consultazione sul sito SharePoint interno.
Gestione delle risorse
Comscore ha introdotto un processo di gestione delle risorse?
Sì.
Esistono procedure per lo smaltimento e/o la distruzione di supporti fisici (ad es. documenti cartacei, CD, DVD, nastri, dischi rigidi ecc.)?
Sì, in ottemperanza alla policy Comscore sullo smaltimento di risorse e supporti multimediali, che viene esaminata da parte dei nostri revisori esterni.
Controllo degli accessi
Vengono utilizzate password complesse?
Sì, Comscore utilizza delle policy per introdurre e garantire l'utilizzo di password complesse e gestire in sicurezza lo storico delle password, oltre a vietare la condivisione di password e credenziali di accesso.
Quali controlli degli accessi sono supportati?
Comscore supporta un'architettura firewall multilivello con Stateful Inspection Firewall. Tutti gli accessi esterni sono mediati attraverso una demilitarized zone. L'accesso alle reti internet è limitato in base alle applicazioni autorizzate.
La VPN ad accesso remoto è soggetta ad autenticazione a due fattori?
Crittografia
Comscore provvede a crittografare i dati in transito?
Sì, i dati in transito sono protetti mediante VPN con protocollo TLS o IPSEC. La nostra policy prevede la crittografia dei dati in transito su una rete pubblica.
Comscore provvede a crittografare i dati a riposo?
Sì, è richiesta la crittografia completa del disco per tutti i dispositivi client. La crittografia lato server è limitata alle informazioni regolamentate, personali o sensibili. I dati a riposo sono sottoposti a crittografia AEA a 256-bit.
In che modo vengono gestite le chiavi di crittografia?
Le chiavi di crittografia sono archiviate in un insieme di credenziali conformemente allo standard FIPS, e sono supportate da un'architettura fail-safe ridondante.
Sicurezza fisica e ambientale
In che modo viene garantita la sicurezza dei data center di terze parti?
Comscore sottopone i propri provider di data center a opportuni controlli di sicurezza, oltre a fare ricorso a servizi di verifica indipendenti quali i framework SOC 1, 2 o 3 o ISO 27001.
L'accesso ai data center esterni di Comscore è ristretto e controllato?
Sì, relativamente ai data center a cui Comscore ha accesso (ad es. AWS non autorizza l'accesso fisico ai propri data center), provvediamo a limitare l'accesso al solo personale autorizzato e a effettuare controlli periodici degli accessi. Comscore sottopone a verifiche periodiche gli accessi ai data center di terze parti. I controlli degli accessi fisici includono (senza limitazione): architettura di sicurezza fisica multilivello; controllo degli accessi con lettore di carte magnetiche; dei mantrap; autenticazione a più fattori, con PIN e biometria; monitoraggio costante (24 ore al giorno, 7 giorni su 7) e telecamere di sorveglianza a circuito chiuso.
Sicurezza operativa
Quali tecnologie operative utilizza Comscore per la tutela dei dati?
Comscore ha implementato e gestisce numerose tecnologie di tutela delle informazioni:
I log vengono sottoposti a verifiche periodiche?
Sì, Comscore si avvale di un sistema Security Incident & Event Management (SIEM) per aggregare i log e individuare eventuali minacce alla sicurezza o anomalie all'interno dell'ambiente.
Sicurezza delle comunicazioni
Le connessioni wireless sono sottoposte a crittografia e autenticazione?
Sì, soltanto i dispositivi controllati e gestiti dall'azienda sono autorizzati ad accedere alla rete aziendale LAN wireless. Tutti gli altri dispositivi sono limitati a una rete guest isolata, che autorizza esclusivamente l'accesso alla rete Internet. Comscore si avvale della crittografia standard di settore (WPA2)
Le comunicazioni tramite posta elettronica sono crittografate?
Sì, il nostro e-mail gateway si avvale del protocollo SMTP su TLS.
Acquisizione, sviluppo e manutenzione dei sistemi
La sicurezza viene gestita nell'ambito di processi di SDLC e QA?
Comscore sfrutta un processo formale di Security Development Life Cycle per garantire l'osservanza delle procedure di sicurezza durante l’intero processo di sviluppo. Inoltre, gli sviluppatori Comscore sono tenuti a completare l’opportuna formazione in materia di sicurezza.
Relazioni con i fornitori
In che modo viene monitorata l'osservanza degli standard di sicurezza da parte di appaltatori/consulenti esterni?
Comscore sottopone tutti i propri fornitori a una valutazione di sicurezza completa. Il monitoraggio e l'analisi si basano sul rischio.
Comscore richiede l'utilizzo di accordi di riservatezza o non divulgazione nei rapporti con i fornitori?
Gestione degli incidenti di sicurezza
Comscore ha introdotto policy e procedure per la segnalazione di incidenti di sicurezza?
Sì, la policy e le procedure Comscore per la risposta agli incidenti di sicurezza garantiscono azioni tempestive di indagine, contenimento, rimedio e segnalazione (sia a livello interno che esterno) nella misura appropriata, ivi comprese le necessarie comunicazioni alle autorità competenti (soggette alle necessarie approvazioni). Il nostro processo definisce formalmente ruoli e responsabilità, criteri di gravità degli incidenti, comunicazioni necessarie, e l'approccio da intraprendere per l'utilizzo di diversi strumenti per rilevare indicatori di compromissione. Il processo di risposta agli incidenti di sicurezza viene gestito da un apposito Incident Coordinator. Un Computer Security Incident and Response Team, composto da esperti di applicazioni e infrastrutture tecniche, è incaricato di indagare e rimediare agli incidenti.
Gestione della continuità operativa/Disaster Recovery
I servizi Comscore sono ripristinabili in caso di emergenza?
I dati vengono replicati in un sistema di stand-by e/o sottoposti a backup su nastro a seconda del tempo di ripristino e degli obiettivi del punto di ripristino. I piani di Disaster Recovery sono documentati e testati regolarmente attraverso esercizi da tavolo e parallel test annui. Sono previsti backup settimanali completi e backup incrementali giornalieri. I nastri vengono archiviati fuori sede.
Comscore implementa un piano di BC/DR?
Sì, il piano viene sottoposto ad analisi, aggiornamenti e approvazioni periodiche da parte del team di gestione.
Conformità
Il programma di sicurezza informatica di Comscore viene sottoposto a controllo indipendente?
Comscore certifica il proprio programma di sicurezza secondo gli standard ISO 27001 (sicurezza) e ISO 27701 (privacy). Il nostro certificato ISO è disponibile su richiesta (MNDA è tenuto a rilasciarlo).
Comscore garantisce la conformità al GDPR e altre norme in materia di riservatezza?
Sì, come specificato nelle pagine dedicate alla Privacy Privacy e al GDPR.
In che modo Comscore tutela le informazioni personali?
Comscore assicura la protezione dei dati personali utilizzando le seguenti tecniche, in base alle esigenze dell'applicazione: sanificazione, mascheramento, hashing, anonimizzazione, pseudonimizzazione e crittografia (AES a 256 bit).
Se ritieni di aver identificato una vulnerabilità di sicurezza o di dover segnalare un problema di sicurezza, invia il modulo sottostante. Un membro del nostro personale di sicurezza esaminerà il tuo problema e ti ricontatterà. Ti chiediamo di non condividere o pubblicizzare una vulnerabilità irrisolta verso o con terze parti.