A Comscore mantém uma equipe dedicada de profissionais de segurança que possuem as seguintes certificações: Certificação em Gestão de Segurança da Informação (CISM) e Profissional com Certificação em Segurança de Sistemas de Informação (CISSP). As responsabilidades da equipe incluem o gerenciamento de vulnerabilidades, resposta a incidentes de segurança e implementação e gerenciamento de tecnologias de proteção a informação.
A Comscore desenvolve, monitora e aprimora os controles de segurança de acordo com as melhores práticas da ISO 27001:
A Comscore implementou e gerencia várias tecnologias de proteção a informações, conforme apropriado:
Políticas de Segurança da Informação
Vocês têm uma política de segurança?
Sim, a Comscore mantém e atualiza várias políticas relacionadas à segurança em alinhamento com as melhores práticas da ISO 27001, conforme indicado abaixo.
Vocês geralmente informam os seus colaboradores sobre as suas políticas?
Sim, a Comscore disponibiliza suas políticas para todos os colaboradores/ contratados e realizamos um treinamento anual de segurança que inclui testes em nossos colaboradores quanto ao conteúdo de nossa política.
Organização da Segurança da Informação
Em qual infraestrutura de segurança sua organização se baseia?
A Comscore baseia seu programa de segurança na estrutura de controle ISO 27001:2013. Nosso programa de segurança é auditado como parte de nosso SOX, MRC, SOC3.
Segurança de Recursos Humanos
Vocês realizam verificações de antecedentes de seus colaboradores e contratados?
Sim, quando permitido por lei. Para contratados, não realizamos verificações de antecedentes pessoais por meio de agências, que fazem suas próprias verificações de antecedentes. Para contratados diretos que não são de agência, nós mesmos realizamos as verificações de antecedentes.
Vocês exigem que seus colaboradores assinem acordos de confidencialidade?
Sim, quando permitido por lei e normalmente ocorre antes de contratá-los.
O treinamento sobre a conscientização da segurança é fornecido aos seus colaboradores?
Sim, a Comscore desenvolveu um Programa de Treinamento de Conscientização da Segurança. Esta conscientização é fornecida aos funcionários da Comscore usando uma abordagem multifacetada. O treinamento primário é feito por meio de treinamento em computador. Os funcionários completarão o treinamento inicial durante sua entrada na empresa. O treinamento é realizado através do Comscore Learning Management System (LMS). A conscientização é aprimorada por meio de boletins informativos, cartazes e e-mails. As políticas são publicadas em um site interno, SharePoint.
Gestão de Ativos
Vocês apoiam um processo de gestão de ativos?
Sim.
Existem procedimentos para descarte e/ou destruição de mídia física (por exemplo, documentos em papel, CDs, DVDs, fitas, drives de disco etc.)?
Sim, de acordo com a Política de Descarte de Mídia e Ativos de TI da Comscore, que é revisada por nossos auditores externos.
Controle de Acesso
São utilizadas senhas fortes?
Sim, a Comscore tem políticas que determinam e reforçam a utilização de senhas fortes, o histórico, bem como a proibição de compartilhar senhas e acessos de usuários.
Quais controles de acesso à rede você dá suporte?
Oferecemos suporte a uma arquitetura de firewall multicamada com suporte de um firewall de inspeção profunda. Todo acesso externo é mediado por uma rede DMZ. O acesso a redes internas é restrito com base em aplicativos autorizados.
O seu VPN de acesso remoto está sujeito à autenticação de dois fatores?
Yes.
Criptografia
Você criptografa dados em trânsito?
Sim, o VPN TLS ou IPSec é usado para proteger dados em trânsito. Nossa política exige criptografia de dados em trânsito em uma rede pública.
Você criptografa dados em repouso?
Sim, a criptografia completa do disco é necessária para dispositivos de clientes. A criptografia do lado do servidor é limitada a informações regulamentadas, pessoais ou confidenciais. O AES de 256 bits é usado para criptografar dados em repouso.
Como você gerencia suas chaves de criptografia?
Nossas chaves de criptografia são armazenadas em um cofre de chaves compatível com FIPS (padrões federais de processamento de informações – EUA) e tem suporte de uma arquitetura redundante e à prova de falhas.
Segurança Física e Ambiental
Como você garante que os centros de processamento de dados de terceiros têm segurança?
A Comscore realiza revisões de segurança de seus provedores em centros de processamento de dados e revisa e conta com auditorias independentes de terceiros, como SOC 1, 2 ou 3, ou ISO 27001.
O acesso aos centros de processamentos de dados de terceiros da Comscore é restrito e controlado?
Sim, para os centros de processamento de dados aos quais a Comscore tem acesso (e.g. AWS não permite acesso in loco a seus centros de processamento de dados), a Comscore restringe acesso aos colaboradores-chave e realiza revisões periódicas de acesso. A Comscore revisa regularmente o acesso a seus centros de processamento de dados de terceiros. Os controles de acesso físico incluem, mas não estão limitados a: arquitetura de segurança física multinível; controle de acesso com leitor de cartão; armadilhas; autenticação multifator, incluindo código PIN e biométrico; Monitoramento 24h/dia em 7 dias e vigilância CFTV.
Operações de Segurança
Quais tecnologias operacionais a Comscore implanta para proteger os dados?
Implementamos e gerenciamos diversas tecnologias de proteção a informação:
Do you regularly review logs?
Sim, a Comscore utiliza um Sistema de Gerenciamento de Incidentes e Eventos de Segurança (SIEM) para agregar registros (logs) e detectar ameaças e anomalias de segurança em nosso ambiente.
Segurança das Comunicações
As conexões sem fio são criptografadas e autenticadas?
Sim, apenas dispositivos de propriedade e gerenciados pela empresa são permitidos na LAN sem fio da empresa. Todos os outros dispositivos estão restritos a uma rede de convidados isolada, permitindo acesso apenas à Internet. Utilizamos a criptografia sem fio padrão da indústria (WPA2).
Os e-mails trocados são criptografados?
Sim, nossos gateways de e-mail utilizam SMTP sobre o TLS.
Aquisição, Desenvolvimento e Manutenção de Sistemas
A segurança é abordada nos processos Ciclo de Vida de Desenvolvimento de Software (SDLC) e Garantia de Qualidade (QA)?
A Comscore utiliza um processo formal de Ciclo de Vida de Desenvolvimento de Segurança para garantir que a segurança seja abordada durante todo o processo de desenvolvimento. Os desenvolvedores da Comscore também passam por treinamento específico de segurança para desenvolvedores.
Relacionamento com Fornecedores
Como vocês irão monitorar seus terceiros contratados/subcontratados para garantir que eles atendam aos padrões de segurança?
A Comscore realiza uma verificação completa de segurança e privacidade de todos os seus fornecedores. O monitoramento e a revisão são baseados em avaliação de risco.
Você exige o uso de acordos de confidencialidade com fornecedores?
Gerenciamento de Incidentes de Segurança
As políticas e procedimentos de comunicação de incidentes estão em vigor?
Sim, a política e os procedimentos de Resposta a Incidentes da Comscore garantem que um incidente seja prontamente investigado, contido, remediado e relatado interna e externamente, conforme apropriado, incluindo notificações regulatórias necessárias, sujeitas às aprovações exigidas. Nosso processo define formalmente funções e responsabilidades, critérios de gravidade de incidentes, notificações necessárias, a abordagem adotada para usar várias ferramentas para detectar indicadores de comprometimento. Um Coordenador de Incidentes supervisiona o processo de resposta a incidentes. Uma Equipe responsável pela Segurança em Computadores especializada em Resposta a Incidentes, composta por especialistas em aplicações técnicas e infraestrutura, é acionada para investigar e remediar incidentes.
Continuidade de Negócios / Recuperação de Desastres
Os serviços da Comscore são recuperáveis em caso de desastre?
Os dados são replicados para um centro de standby e/ou copiados em fita, dependendo do tempo de recuperação e dos objetivos do ponto de recuperação. Os planos de recuperação de desastres são documentados e testados regularmente por meio de exercícios práticos e um teste paralelo anual. Backups semanais completos e incrementais diários. As fitas são armazenadas em outro local.
Você tem um plano para continuidade de dos negócios e recuperação de desastres?
Sim, ele é regularmente revisado, atualizado e aprovado pela administração.
Compliance
Existe uma revisão independente do programa de segurança da informação da Comscore?
A Comscore atesta seu programa de segurança de acordo com os padrões ISO 27001 (segurança) e ISO 27701 (privacidade). Nosso certificado ISO está disponível mediante solicitação (MNDA necessário para liberá-lo).
A Comscore está em conformidade com o GDPR (LGPD Europeu) e outros regulamentos de privacidade?
Sim, conforme observado em nossas páginas de Privacidade e GDPR.
Como a Comscore protege as informações pessoais?
A Comscore protege os dados de Informação Pessoal usando as seguintes técnicas, dependendo das necessidades do aplicativo: sanitização, mascaramento, hash, anonimização, pseudonimização e criptografia (AES 256 bits).
Se você acredita ter encontrado uma vulnerabilidade de segurança ou precisa relatar um problema de segurança, envie o formulário abaixo. Um membro de nossa equipe de segurança analisará seu problema e entrará em contato com você. Solicitamos que você não compartilhe ou divulgue uma vulnerabilidade não resolvida para ou com terceiros.