Mimecast CyberGraph^TM(f/k/a MessageControl Codebreaker en Silencer) en MessageControl Gatekeeper technische en organisatorische veiligheidsmaatregelen

Laatst bijgewerkt – 28 juni 2021

Dit document beschrijft de toepasselijke technische en organisatorische beveiligings- en beheermaatregelen die Mimecast heeft geïmplementeerd om de persoonsgegevens te beschermen die klanten ons toevertrouwen als onderdeel van de Mimecast CyberGraph en MessageControl-diensten.

• In dit document verwijst 'Klant' naar elke abonnee
  van de Mimecast MessageControl-service.
• "Mimecast CyberGraph en MessageControl Gatekeeper-dienst" verwijst naar de dienst die door Mimecast aan onze klanten wordt geleverd en die verder wordt beschreven in de overeenkomst.
• 'Klantgegevens' verwijst naar alle informatie die door de klant wordt aangeleverd of ingediend en door de Mimecast CyberGraph en MessageControl Gatekeeper-dienst wordt verwerkt.
• “Personal Data” means any information relating to an identified or identifiable natural person.
• “Personnel” means Mimecast employees and authorized individual contractors/vendors.

1. Organization of Information Security 

Objective: 

To outline Mimecast’s information security structure.

Measures: 

1. Mimecast heeft fulltime en speciaal opgeleid en/of gecertificeerd beveiligingspersoneel die verantwoordelijk zijn voor de informatiebeveiliging. 
2. The information security function reports directly to the Mimecast senior leadership team.
3. Mimecast has a comprehensive set of information security policies, approved by senior management and disseminated to all Personnel.
4. All Mimecast Personnel have signed legally reviewed confidentiality agreements.
5. Alle werknemers van Mimecast worden getraind in informatiebeveiliging.

2. Beheersysteem informatiebeveiliging 

Objective: 

To demonstrate Mimecast’s commitment to manage the assessment and treatment of these risks and to continually improve its information security.

Measures: 

1. Mimecast has deployed an ISMS (Information Security Management System) that serves as the foundation of our information security practices.

3. Physical Access

Objective: 

To protect the physical assets that contain Customer Data. 

Measures: 

1. De Mimecast CyberGraph en MessageControl Gatekeeper-dienst wordt gehost in de cloudomgeving van Amazon. De beschrijving van de fysieke beveiligingsmaatregelen van Amazon voor het datacentrum zijn te vinden op: https://aws.amazon.com/compliance/data-center/controls/

4. Systeemtoegang

Objective: 

To ensure systems containing Customer Data are used only by approved, authenticated users. 

Measures: 

1. Access to Mimecast systems is granted only to Mimecast Personnel and/or to permitted employees of Mimecast’s subcontractors and access is strictly limited as required for those persons to fulfil their function. 
2. All users access Mimecast systems with a unique identifier (UID). 
3. Mimecast has established a password policy that prohibits the sharing of passwords and requires passwords to be changed on a regular basis and default passwords to be altered. All passwords must fulfil defined minimum complexity requirements and are stored in encrypted form.
4. Access to systems containing Customer Data are only possible through a secure VPN tunnel and require a second factor of authentication. 
5. Mimecast has a comprehensive process to deactivate users and their access when Personnel leaves the company or a function.
6. Elke toegang of poging tot toegang tot de systemen wordt geregistreerd.  

5. Data Access 

Objective: 

To ensure Personnel entitled to use systems gain access only to the Customer Data that they are authorized to access. 

Measures: 

1. De personeelsleden van Mimecast hebben doorgaans  geen toegang tot klantgegevens.
2. Mimecast restricts Personnel access to Customer Data on a "need-to-know” basis based on this justification.
3. Elke toegang tot klantgegevens wordt geregistreerd.
4. Personnel training covers access rights to and general guidelines on definition and use of Customer Data. 

6. Transmissie/opslag/vernietiging van gegevens 

Objective: 

To ensure Customer Data is not read, copied, altered or deleted by unauthorized parties during transfer/storage. 

Measures: 

1. De toegang voor klanten tot de portalen van de Mimecast CyberGraph en MessageControl Gatekeeper-dienst zijn beveiligd door middel van Transport Layer Security (TLS) 1.2 of hoger.
2. Op verzoek van de klant worden klantgegevens onmiddellijk verwijderd.
   1. Er dient te worden opgemerkt dat klantgegevens bij elk verzoek tot verwijdering logischerwijs worden verwijderd in de eerste opslagkopie en daarna volledig wordt verwijderd uit de andere kopieën. Dit gebeurt om onbedoelde verwijdering of mogelijke bewuste schade te voorkomen.

7. Confidentiality and Integrity 

Objective: 

To ensure Customer Data remains confidential throughout processing and remains intact, complete and current during processing activities. 

Measures: 

1. Mimecast has a formal background check process and carries out background checks on all new Personnel.
2. Mimecast trains its engineering Personnel in application security practices and secure coding practices.
3. Mimecast has a central, secured repository of product source code, which is accessible only to authorized Personnel. 
4. Mimecast has a formal application security program and employs a robust Secure Development Lifecycle (SDL).
5. Security testing includes code review, penetration testing, and employing static code analysis tools on a periodic basis to identify flaws.
6. Alle softwarewijzigingen van de Mimecast CyberGraph en MessageControl Gatekeeper-dienst vinden plaats via een gecontroleerd en goedgekeurd mechanisme en binnen een officieel programma voor wijzigingsbeheer.

8. Availability 

Objective: 

Om ervoor zorgen dat klantgegevens worden beschermd tegen onbedoelde vernietiging of onbedoeld verlies en de klantgegevens tijdig toegankelijk zijn, worden hersteld of beschikbaar zijn bij een incident met de Mimecast CyberGraph en MessageControl Gatekeeper-dienst.

Measures: 

1. Voor zover mogelijk wordt de Mimecast CyberGraph-dienst gehost in Amazon met dezelfde geografische regio's als de Mimecast-dienst. De MessageControl Gatekeeper-dienst wordt gehost in Amazon in de oostelijke regio's van de VS. Alle diensten maken gebruik van zones met multi-beschikbaarheid om de continuïteit te garanderen.
2. Mimecast beschikt over een robuust programma voor bedrijfscontinuïteit/noodherstel, inclusief:
   • Well defined updated plans.
   • Regular Testing and retrospectives.  

9. Data Separation 

Objective: 

Om ervoor te zorgen dat de toepasselijke klantgegevens afzonderlijk worden verwerkt. 

Measures: 

1. Mimecast gebruikt logische scheiding binnen de multitenant-architectuur om scheiding van gegevens tussen klanten af te dwingen.
2. Bij elke fase van de verwerking worden de toepasselijke klantgegevens van verschillende klanten voorzien van een unieke identificatiecode, zodat de gegevens logischerwijs van elkaar gescheiden zijn. 

10. Incident Management 

Objective 

In the event of any security breach of Customer Data, the effect of the breach is minimized and the Customer is promptly informed. 

Measures:

1. Mimecast maintains an up-to-date incident response plan that includes responsibilities, how information security events are assessed and classified as incidents and response plans and procedures.
2. Mimecast regularly tests its incident response plan with “table-top” exercises and learns from tests and potential incidents to improve the plan. 
3. In the event of a security breach, Mimecast will notify Customers without undue delay after becoming aware of the security breach.

11. Audit

Objective 

To ensure Mimecast regularly tests, assesses and evaluates the effectiveness of the technical and organizational measures outlined above. 

Maatregelen omvatten: 

1. Mimecast conducts regular internal and external audits of its security practices.
2. Mimecast ensures that Personnel are aware of and comply with the technical and organizational measures set forth in this document. 
3. Mimecast conducts at least semi-annual penetration tests of the Mimecast Service using external security experts. 
4. Klanten kunnen jaarlijks een exemplaar van deze testresultaten opvragen bij hun contactpersoon voor klantsucces.

U kunt zich abonneren op meldingen voor wijzigingen op deze en andere, aan de gegevenspricavy gerelateerde pagina's door hier te klikken en zich te abonneren op de feed 'Trust Center Updates'.