Securitybijlage
Laatst bijgewerkt: 28 januari 2024
Afgezien van Evaluatieklanten, maakt deze Securitybijlage deel uit van Uw Voorwaarden met DSA-1 AI Platform. Alle met hoofdletters geschreven termen die worden gebruikt maar niet gedefinieerd in deze Beveiligingsbijlage, hebben de betekenis zoals vastgesteld in de Voorwaarden. De computerdiensten die worden gebruikt om het DSA-1 AI Platform aan te bieden, zijn op cloud gebaseerd en worden aan DSA-1 AI Platform verstrekt via een of meer cloudserviceproviders en vertegenwoordigen onze "Cloudomgeving".
Audits door Derden worden aan u beschikbaar gesteld zoals beschreven in Sectie 8.1.
Voor zover DSA-1 AI Platform besluit om een Audit door Derden te staken, zal DSA-1 AI Platform een gelijkwaardig, industrie-erkend framework aannemen.
HOSTINGLOCATIE VAN KLANTGEGEVENS
Klantgegevens en inhoud worden gehost en verwerkt door DSA-1 AI Platform in datacenters gelegen in de Europese Unie.
Elke klantgegevens en inhoud die worden verwerkt door de leveranciers van DSA-1 AI Platform, zullen eveneens beperkt blijven tot verwerking in de Europese Unie.
ENCRYPTIE
DSA-1 AI Platform versleutelt klantgegevens en inhoud in rust met AES 256-bit (of betere) encryptie. DSA-1 AI Platform gebruikt Transport Layer Security 1.2 (of beter) voor klantgegevens en inhoud die over niet-vertrouwde netwerken worden verzonden.
DSA-1 AI Platform staat klanten toe om "hun eigen encryptiesleutels mee te brengen" en we kunnen met u samenwerken om dat in te stellen voor uw klantgegevens en inhoud. Met betrekking tot encryptiesleutels roteren we regelmatig encryptiesleutels en gebruiken we hardwarebeveiligingsmodules om kritieke beveiligingssleutels te beschermen. DSA-1 AI Platform scheidt logisch encryptiesleutels van klantgegevens en inhoud.
SYSTEEM- EN NETWERKBEVEILIGING
Toegang tot onze Cloudomgeving door personeel van DSA-1 AI Platform gebeurt met een unieke gebruikers-ID en is in overeenstemming met het principe van het minste privilege. Toegang vereist een beveiligde verbinding, multi-factor authenticatie en wachtwoorden die voldoen aan of de redelijke lengte- en complexiteitseisen overtreffen.
Personeel van DSA-1 AI Platform zal geen toegang hebben tot klantgegevens en inhoud, behalve (i) om de dienst te leveren of te ondersteunen, of (ii) om te voldoen aan de wet of een bindend bevel van een overheidsinstantie.
Bij toegang tot onze Cloudomgeving zal ons personeel gebruikmaken van door het bedrijf uitgegeven laptops die beveiligingscontroles omvatten, waaronder encryptie, en die ook tools voor detectie en respons op endpoints bevatten om te monitoren en te waarschuwen voor verdachte activiteiten en kwaadaardige code en kwetsbaarheidsbeheer.
DSA-1 AI Platform zal zijn Cloudomgeving beschermen met ten minste industrienorm firewall- en beveiligingspraktijken.
Onze Cloudomgeving maakt gebruik van industrienorm dreigingsdetectietools met dagelijkse handtekeningupdates, die worden gebruikt om te monitoren en te waarschuwen voor verdachte activiteiten, potentiële malware, virussen en/of kwaadaardige computercode ("Malware"). DSA-1 AI Platform monitort klantgegevens of -invoer niet op Malware.
DSA-1 AI Platform schakelt een onafhankelijke derde partij in om ten minste jaarlijks penetratietests van de dienst uit te voeren. Samenvattende resultaten van dergelijke penetratietests kunnen op uw verzoek beschikbaar worden gesteld.
Kwetsbaarheden die voldoen aan gedefinieerde risicocriteria activeren waarschuwingen en worden geprioriteerd voor herstel op basis van hun potentiële impact op de dienst. Bij bewustwording van dergelijke kwetsbaarheden zal DSA-1 AI Platform commercieel redelijke inspanningen leveren om privé en publieke kritieke en hoge kwetsbaarheden binnen 30 dagen aan te pakken, en middelgrote kwetsbaarheden binnen 90 dagen. Om te beoordelen of een kwetsbaarheid 'kritiek', 'hoog' of 'middelmatig' is, gebruiken we het Common Vulnerability Scoring System (CVSS).
ADMINISTRATIEVE CONTROLES
DSA-1 AI Platform onderhoudt bewustwordings- en trainingsprogramma's voor zijn personeel, inclusief de onboarding.
Het personeel van DSA-1 AI Platform is verplicht om vertrouwelijkheidsovereenkomsten te ondertekenen en moet erkennen verantwoordelijk te zijn voor het melden van beveiligingsincidenten met betrekking tot klantgegevens en -inhoud.
DSA-1 AI Platform evalueert jaarlijks de toegangsprivileges van zijn personeel tot de cloudomgeving van DSA-1 AI Platform en verwijdert op tijdige wijze de toegang voor al het gescheiden personeel.
DSA-1 AI Platform beoordeelt externe dreigingsinformatie, waaronder kwetsbaarheidsaankondigingen en andere betrouwbare bronnen van kwetsbaarheidsrapporten. Aangekondigde kwetsbaarheden die als kritiek of hoog worden beoordeeld, worden met voorrang verholpen.
DSA-1 AI Platform zorgt ervoor dat al zijn leveranciers die input of klantgegevens en -inhoud verwerken, beveiligingsmaatregelen handhaven die consistent zijn met onze verplichtingen onder deze Beveiligingsbijlage.
FYSIEKE DATACENTERCONTROLES
Onze Cloudomgeving wordt onderhouden door een of meer cloudserviceproviders. We zorgen ervoor dat de datacenters van onze cloudserviceproviders over geschikte controles beschikken zoals geaudit onder hun derdenaudits en certificeringen. Elke cloudserviceprovider zal jaarlijks een SOC 2 Type II-audit en een ISO 27001-certificering hebben, of industrieel erkende gelijkwaardige frameworks. Dergelijke controles omvatten:
- Fysieke toegang tot faciliteiten wordt gecontroleerd bij ingangspunten van het gebouw;
- Bezoekers moeten zich legitimeren en worden geregistreerd bij binnenkomst;
- Fysieke toegang tot servers wordt beheerd door toegangscontroleapparaten;
- Fysieke toegangsprivileges worden regelmatig beoordeeld;
- Faciliteiten maken gebruik van monitor- en alarmresponsprocedures;
- Faciliteiten maken gebruik van CCTV;
- Faciliteiten hebben adequate branddetectie- en beschermingssystemen;
- Faciliteiten hebben adequate back-up- en redundantiesystemen; en
- Faciliteiten hebben geschikte klimaatcontrolesystemen.
DSA-1 AI Platform onderhoudt geen fysieke kantoren anders dan voor beperkte zakelijke, uitvoerende en ontwikkelingsdoeleinden. Onder geen enkele omstandigheid worden klantgegevens en -inhoud opgeslagen of gehost in dergelijke kantoren.
INCIDENTDETECTIE EN -RESPONS
Indien DSA-1 AI Platform zich bewust wordt van een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking van of de toegang tot klantgegevens en -inhoud (een "Beveiligingsincident"), zal DSA-1 AI Platform u hiervan zonder onnodige vertraging op de hoogte stellen, en in ieder geval binnen 72 uur nadat men zich ervan bewust is geworden. U wordt op de hoogte gesteld op het e-mailadres voor beveiligingsmeldingen dat is aangegeven op uw momenteel geldende bestelformulier of zoals anderszins door DSA-1 AI Platform passend wordt geacht.
In het geval van een Beveiligingsincident zoals hierboven beschreven, zal DSA-1 AI Platform onmiddellijk redelijke stappen ondernemen om het Beveiligingsincident te beperken, te onderzoeken en te mitigeren. Eventuele logbestanden die relevant worden geacht voor een Beveiligingsincident, worden ten minste één jaar bewaard.
DSA-1 AI Platform zal u tijdig informeren over het Beveiligingsincident, inclusief de aard en gevolgen van het Beveiligingsincident, de door DSA-1 AI Platform genomen en/of voorgestelde maatregelen om het Beveiligingsincident te mitigeren of te beperken, de status van ons onderzoek en een contactpunt waarvandaan aanvullende informatie kan worden verkregen. Niettegenstaande het voorgaande erkent de Klant dat, omdat het personeel van DSA-1 AI Platform mogelijk geen inzicht heeft in de inhoud van Klantgegevens en -inhoud, het kan zijn dat we niet in staat zijn om een gedetailleerde analyse te geven van het type Klantgegevens en -inhoud dat door het Beveiligingsincident is getroffen. Communicatie in verband met een Beveiligingsincident mag niet worden opgevat als een erkenning door DSA-1 AI Platform van enige schuld of aansprakelijkheid met betrekking tot het Beveiligingsincident.
KLANTRECHTEN EN GEDEELDE VERANTWOORDELIJKHEID
Op verzoek, en zonder extra kosten voor de Klant, zal DSA-1 AI Platform de Klant en/of diens passend gekwalificeerde derde partij vertegenwoordiger ("de Auditor"), toegang geven tot redelijkerwijs gevraagde documentatie die onze naleving van onze verplichtingen onder deze Beveiligingsbijlage aantoont, in de vorm van, indien van toepassing, (i) een samenvatting van de resultaten van onze meest recent voltooide penetratietest, en (ii) gegevensstroomdiagrammen voor de Dienst ("Auditrapporten"). Indien een Auditor een derde partij is, zal deze derde partij een afzonderlijke geheimhoudingsovereenkomst met DSA-1 AI Platform moeten ondertekenen voorafgaand aan enige audit, penetratietest, of beoordeling van Auditrapporten, en DSA-1 AI Platform kan schriftelijk bezwaar maken tegen een dergelijke derde partij indien DSA-1 AI Platform redelijkerwijs van mening is dat de derde partij niet voldoende gekwalificeerd is. Een dergelijk bezwaar vereist dat u een andere derde partij aanwijst of een dergelijke audit, penetratietest, of beoordeling zelf uitvoert. DSA-1 AI Platform is niet verantwoordelijk voor enige kosten die door een Auditor worden gemaakt in verband met enige beoordeling van Auditrapporten, of een audit of penetratietest.
Het is de verantwoordelijkheid van de Klant om ervoor te zorgen dat het geautoriseerd is om enige Input of Klantgegevens met de Dienst te gebruiken en dat uw gebruik voldoet aan relevante wettelijke en regelgevende verplichtingen.
U bent verantwoordelijk voor het beheren en beschermen van uw inloggegevens om toegang te krijgen tot de Dienst. Gebruikersreferenties moeten vertrouwelijk worden gehouden en mogen niet worden gedeeld met onbevoegde partijen. U moet onmiddellijk melding maken van enige verdachte activiteiten met betrekking tot uw account(s) (bijvoorbeeld wanneer u redelijkerwijs gelooft dat referenties zijn gecompromitteerd).
U bent verantwoordelijk voor het up-to-date en adequaat gepatcht houden van uw relevante IT-systemen (zoals de browser die u gebruikt om toegang te krijgen tot de Dienst).