Salta ai contenuti
TRUST CENTER DI HOOTSUITE

Conformità


Programma di gestione del rischio

Il framework di gestione del rischio di sicurezza di Hootsuite stabilisce il mandato e l'impegno generali, i principi guida e i ruoli e le responsabilità stabiliti per la gestione, il monitoraggio e il miglioramento delle pratiche di gestione del rischio all'interno dell'organizzazione. Questo programma può essere adattato per riflettere l'ambiente organizzativo interno ed esterno, i progressi tecnologici e i cambiamenti aziendali. Il framework include la valutazione e il trattamento dei rischi per la sicurezza delle informazioni per tutti i processi di sicurezza, inclusa la revisione dei fornitori, l'applicazione di patch per applicazioni/server, la gestione degli incidenti di sicurezza e la correzione delle vulnerabilità.

Hootsuite dispone di un team dedicato la cui missione è fornire attività di garanzia e consulenza oggettive progettate per aggiungere valore e rafforzare le operazioni di Hootsuite. Lo scopo del suo mandato è determinare se la disposizione dei processi di gestione del rischio, controllo e governance di Hootsuite, come progettati e rappresentati dai dirigenti, è adeguata e funzionante come previsto per tutte le unità aziendali che includono le operazioni di Hootsuite.

Questo comporta:

  1. Garantire che i dirigenti abbiano implementato controlli interni affidabili.

  2. Fornire consulenza alle unità aziendali in merito ai rischi e aiutare i dirigenti a identificare i controlli per mitigare i rischi.

  3. Valutare i controlli e le operazioni all'interno delle unità aziendali e riferire i risultati della valutazione ai dirigenti.

Esiste un processo strutturato di valutazione dei rischi per identificare e gestire i rischi che potrebbero influire sulla capacità di Hootsuite di fornire servizi ai propri clienti. La valutazione viene eseguita su base annua o in caso di cambiamenti significativi nell'ambiente o nel processo aziendale. La valutazione prevede le seguenti fasi: identificare, analizzare, valutare e trattare efficacemente i rischi.


Politiche sulla sicurezza delle informazioni

Hootsuite ha istituito un sistema di gestione della sicurezza delle informazioni (ISMS) per guidare le sue operazioni. Sono in atto politiche e processi per fornire al management indicazioni e supporto per la sicurezza delle informazioni in conformità con i requisiti aziendali e i framework, le leggi e i regolamenti pertinenti. Hootsuite dispone di una serie completa di politiche per la sicurezza delle informazioni basate sugli standard ISO/IEC 27001/27002 per la sicurezza delle informazioni, Trust Service Criteria (SOC 2), NIST 800-53 e GDPR. Includono politiche relative a: 

  • Uso accettabile

  • Controllo degli accessi 

  • Gestione delle risorse 

  • Gestione delle modifiche 

  • Gestione della configurazione 

  • Crittografia 

  • Disaster recovery 

  • Sicurezza degli endpoint 

  • Classificazione delle informazioni 

  • Sicurezza delle risorse umane 

  • Registrazione e monitoraggio 

  • Backup delle operazioni 

  • Password

  • Sicurezza fisica e ambientale 

  • Gestione degli incidenti di sicurezza

  • Gestione del rischio per la sicurezza 

  • Gestione delle vulnerabilità di sicurezza

  • Gestione del rischio da parte di terzi 

  • Sicurezza wireless

Le politiche di sicurezza si basano sui principi chiave di least-privilege, need-to-know e separazione dei compiti. Le politiche vengono riviste annualmente o quando si verifica una modifica significativa dell'ambiente o del processo aziendale.


Verifica

Hootsuite esegue test interni sui principali controlli di sicurezza e privacy per convalidare l'aderenza ai framework stabiliti. Ciò include test di penetrazione della sicurezza da parte di terzi su base annua. I risultati vengono comunicati al management esecutivo; gli sforzi correttivi vengono monitorati e i controlli vengono nuovamente testati come richiesto per garantire la conformità.

I controlli sulla sicurezza e sulla privacy vengono verificati annualmente da una terza parte indipendente per accertare che la tecnologia, i processi e le procedure siano in atto e vengano seguiti. Puoi richiedere un riepilogo del nostro report SOC 2 Tipo II tramite il tuo account manager.
Il nostro report SOC 3 illustra le informazioni relative ai controlli interni di Hootsuite per la sicurezza, la disponibilità, l'integrità del trattamento, la riservatezza e la privacy ed è disponibile per il download qui.

La strategia nazionale per la sicurezza informatica del governo britannico richiede che tutti i fornitori siano conformi ai controlli Cyber Essential per le offerte relative ai contratti governativi che implicano la gestione di informazioni sensibili e personali. Cyber Essentials è stato sviluppato dal Governo britannico, in accordo con l'industria, e fornisce una serie di misure di igiene informatica di base. Hootsuite ha raggiunto la conformità con il programma Cyber Essentials.


FedRAMP

Il Federal Risk and Authorization Management Program, o FedRAMP, è un programma governativo che standardizza la valutazione della sicurezza per i servizi cloud utilizzati dalle agenzie federali statunitensi. FedRAMP garantisce che le aziende soddisfino standard rigorosi disciplinati da un ente esterno. Le agenzie federali statunitensi sono incoraggiate a ospitare i dati presso fornitori di servizi cloud esterni che dispongono dell'autorizzazione FedRAMP.


L'autorizzazione FedRAMP segue un processo di certificazione che viene verificato rispetto allo standard NIST SP 800-53. Esistono diversi livelli di autorizzazione a seconda del tipo di dati federali gestiti dal fornitore. Hootsuite è autorizzata rispetto allo standard FedRAMP Tailored Li-SaaS.

Se hai domande sul programma di gestione del rischio di Hootsuite, sulle politiche di sicurezza delle informazioni o sul processo di verifica indipendente, chiedi al tuo rappresentante per il successo dei clienti o contattaci per saperne di più.