Sì, Comscore provvede a mantenere e aggiornare numerose policy in materia di sicurezza informatica, in linea con le best practice contemplate dalla norma ISO 27001, come specificato di seguito.

Sì, Comscore rende le policy di sicurezza disponibili a tutti i dipendenti e consulenti esterni, e prevede una formazione annuale in materia di sicurezza informatica che comprende anche la verifica delle conoscenze dei dipendenti riguardo i contenuti delle policy.

Comscore basa il proprio programma di sicurezza sul framework di controllo ISO 27001:2013. Il nostro programma di sicurezza è sottoposto ad audit nell'ambito delle procedure SOX, MRC, SOC3.

Sì, nella misura consentita dalla legge. Nel caso dei consulenti esterni, non vengono condotti controlli sui precedenti personali dei dipendenti assunti tramite agenzie interinali, le quali si occupano di svolgere controlli autonomamente. Comscore si fa carico dell'esecuzione dei dovuti controlli sul personale assunto direttamente.

Sì, nella misura consentita dalla legge. La firma di accordi di non divulgazione avviene tipicamente prima dell'inizio del rapporto di lavoro.

Sì, Comscore ha sviluppato un programma di sensibilizzazione alla sicurezza informatica. La formazione viene offerta secondo un approccio multiforme. La prima parte della formazione si svolge seguendo un training da remoto. I dipendenti sono tenuti a completare la formazione iniziale durante “il periodo di inserimento”. La formazione viene erogata attraverso il Comscore Learning Management System (LMS). La sensibilizzazione è successivamente rafforzata attraverso newsletter, poster ed e-mail. Le policy sono disponibili per la consultazione sul sito SharePoint interno.

Sì.

Sì, in ottemperanza alla policy Comscore sullo smaltimento di risorse e supporti multimediali, che viene esaminata da parte dei nostri revisori esterni.

Sì, Comscore utilizza delle policy per introdurre e garantire l'utilizzo di password complesse e gestire in sicurezza lo storico delle password, oltre a vietare la condivisione di password e credenziali di accesso.

Comscore supporta un'architettura firewall multilivello con Stateful Inspection Firewall. Tutti gli accessi esterni sono mediati attraverso una demilitarized zone. L'accesso alle reti internet è limitato in base alle applicazioni autorizzate.

Sì. 

Sì, i dati in transito sono protetti mediante VPN con protocollo TLS o IPSEC. La nostra policy prevede la crittografia dei dati in transito su una rete pubblica.

Sì, è richiesta la crittografia completa del disco per tutti i dispositivi client. La crittografia lato server è limitata alle informazioni regolamentate, personali o sensibili. I dati a riposo sono sottoposti a crittografia AEA a 256-bit.

Le chiavi di crittografia sono archiviate in un insieme di credenziali conformemente allo standard FIPS, e sono supportate da un'architettura fail-safe ridondante.

Comscore sottopone i propri provider di data center a opportuni controlli di sicurezza, oltre a fare ricorso a servizi di verifica indipendenti quali i framework SOC 1, 2 o 3 o ISO 27001.

Sì, relativamente ai data center a cui Comscore ha accesso (ad es. AWS non autorizza l'accesso fisico ai propri data center), provvediamo a limitare l'accesso al solo personale autorizzato e a effettuare controlli periodici degli accessi. Comscore sottopone a verifiche periodiche gli accessi ai data center di terze parti. I controlli degli accessi fisici includono (senza limitazione): architettura di sicurezza fisica multilivello; controllo degli accessi con lettore di carte magnetiche; dei mantrap; autenticazione a più fattori, con PIN e biometria; monitoraggio costante (24 ore al giorno, 7 giorni su 7) e telecamere di sorveglianza a circuito chiuso.

Comscore ha implementato e gestisce numerose tecnologie di tutela delle informazioni:

• Web Application Firewall (WAF)
• Denial of Service Protection
• Crittografia dei dati in transito
• Crittografia di dati personali e sensibili
• Protezione degli endpoint (AV), incluse soluzioni basate sull’apprendimento automatico
• Gestione dei dispositivi mobile
• Network Intrusion Detection System (NIDS)
• Sistemi Security Incident & Event Management (SIEM) con threat intelligence
• Machine Readable Threat Intelligence (MRTI)
• Stateful Inspection Firewall e Next-Generation Firewall
• Third Party penetration testing
• VPN (Virtual Private Network) per accesso da remoto da parte di clienti, partner e aziende
• Scansione frequente delle vulnerabilità a livello di sistemi e delle applicazioni
• Data Centric Audit & Protection (DCAP)
• Data Loss Protection (DLP)

Sì, Comscore si avvale di un sistema Security Incident & Event Management (SIEM) per aggregare i log e individuare eventuali minacce alla sicurezza o anomalie all'interno dell'ambiente.

Sì, soltanto i dispositivi controllati e gestiti dall'azienda sono autorizzati ad accedere alla rete aziendale LAN wireless. Tutti gli altri dispositivi sono limitati a una rete guest isolata, che autorizza esclusivamente l'accesso alla rete Internet. Comscore si avvale della crittografia standard di settore (WPA2)

Sì, il nostro e-mail gateway si avvale del protocollo SMTP su TLS.

Comscore sfrutta un processo formale di Security Development Life Cycle per garantire l'osservanza delle procedure di sicurezza durante l’intero processo di sviluppo. Inoltre, gli sviluppatori Comscore sono tenuti a completare l’opportuna formazione in materia di sicurezza.

Comscore sottopone tutti i propri fornitori a una valutazione di sicurezza completa. Il monitoraggio e l'analisi si basano sul rischio.

Sì.

Sì, la policy e le procedure Comscore per la risposta agli incidenti di sicurezza garantiscono azioni tempestive di indagine, contenimento, rimedio e segnalazione (sia a livello interno che esterno) nella misura appropriata, ivi comprese le necessarie comunicazioni alle autorità competenti (soggette alle necessarie approvazioni). Il nostro processo definisce formalmente ruoli e responsabilità, criteri di gravità degli incidenti, comunicazioni necessarie, e l'approccio da intraprendere per l'utilizzo di diversi strumenti per rilevare indicatori di compromissione. Il processo di risposta agli incidenti di sicurezza viene gestito da un apposito Incident Coordinator. Un Computer Security Incident and Response Team, composto da esperti di applicazioni e infrastrutture tecniche, è incaricato di indagare e rimediare agli incidenti.

I dati vengono replicati in un sistema di stand-by e/o sottoposti a backup su nastro a seconda del tempo di ripristino e degli obiettivi del punto di ripristino. I piani di Disaster Recovery sono documentati e testati regolarmente attraverso esercizi da tavolo e parallel test annui. Sono previsti backup settimanali completi e backup incrementali giornalieri. I nastri vengono archiviati fuori sede.

Sì, il piano viene sottoposto ad analisi, aggiornamenti e approvazioni periodiche da parte del team di gestione.

Sì, il nostro programma di sicurezza è sottoposto ad audit nell'ambito delle procedure SOX, MRC e SOC3 a seconda delle esigenze dei clienti. Recentemente abbiamo ottenuto un attestato relativo allo standard nazionale cinese in materia di sicurezza informatica (GB/T 35273-2017 - Information Technology – Personal Information Security Specification). Visualizza la lettera di certificazione.

Sì, come specificato nelle pagine dedicate alla Privacy Privacy e al GDPR.

Comscore assicura la protezione dei dati personali utilizzando le seguenti tecniche, in base alle esigenze dell'applicazione: sanificazione, mascheramento, hashing, anonimizzazione, pseudonimizzazione e crittografia (AES a 256 bit).