Sí, Comscore mantiene y actualiza varias políticas relacionadas con la seguridad de conformidad con las con los puntos de ISO 27001, como se indica a continuación.

Sí, Comscore pone sus políticas a disposición de todos los empleados/contratistas y llevamos a cabo una formación de seguridad anual que incluye evaluar a los empleados sobre el contenido de la política.

Comscore basa su programa de seguridad en el marco de control ISO 27001:2013. Nuestro programa de seguridad se audita como parte de nuestro SOX, MRC, SOC3.

Sí, donde lo permita la ley. En el caso de los contratistas, no realizamos verificaciones de antecedentes del personal contratado a través de agencias, que realizan sus propias verificaciones de antecedentes. Para los contratistas directos que no son agencias, nosotros mismos realizamos las verificaciones de antecedentes.

Sí, donde lo permita la ley y generalmente ocurre antes del empleo.

Sí, Comscore ha desarrollado un Programa de formación en Concientización sobre Seguridad. La concientización sobre la seguridad se brinda a los empleados de Comscore mediante un enfoque múltiple. El entrenamiento primario se realiza a través del entrenamiento basado en computadora. Los empleados completarán la formación inicial durante la "Integración". La formación se lleva a cabo a través del Sistema de Gestión de Aprendizaje Comscore (LMS). La conciencia se mejora a través de boletines, carteles y correos electrónicos. Las políticas se publican en un sitio interno de SharePoint.

Sí.

Sí, según la Política de disposición de medios y activos de IT de Comscore, que es revisada por nuestros auditores externos.

Sí, Comscore tiene políticas que determinan y hacen cumplir la seguridad de la contraseña, el historial, así como la prohibición de compartir las contraseñas y el acceso de los usuarios.

Admitimos una arquitectura de firewall de varios niveles respaldada por un firewall de inspección de estado. Todo el acceso externo está mediado por una DMZ de Internet. El acceso a las redes internas está restringido en función de las aplicaciones autorizadas.

Sí.

Sí, se utiliza TLS o IPSSEC VPN para proteger los datos en tránsito. Nuestra política requiere el cifrado de datos en tránsito a través de una red pública.

Sí, se requiere cifrado de disco completo para dispositivos del cliente. El cifrado del servidor se limita a la información regulada, personal o confidencial. Se utiliza AES de 256 bits para cifrar datos en reposo.

Nuestras claves de cifrado se almacenan en un almacén de claves compatible con FIPS y cuentan con el respaldo de una arquitectura de seguridad redundante.

Comscore realiza revisiones de seguridad de sus proveedores de centros de datos y también revisa y se basa en auditorías de terceros independientes, como SOC 1, 2 o 3, o ISO 27001.

Sí, para los centros de datos a los que Comscore tiene acceso (es decir, AWS no permite el acceso in situ a sus centros de datos), Comscore restringe el acceso al personal clave y realiza revisiones de acceso periódicas. Comscore revisa regularmente el acceso a sus centros de datos de terceros. Los controles de acceso físico incluyen, pero no se limitan a: arquitectura de seguridad física multinivel; control de acceso mediante lector de tarjetas; cepos; autenticación multifactor, incluidos PIN y biométricos; Monitoreo 24x7/vigilancia CCTV).

Hemos implementado y gestionamos varias tecnologías de protección de la información:

• Cortafuegos de aplicaciones web (WAF)
• Protección contra Denegación de Servicio
• Cifrado de datos en tránsito
• Cifrado de datos personales y confidenciales en reposo
• Endpoint protection (AV) que incluye aprendizaje basado en máquina
• Gestión de dispositivos móviles
• Sistema de detección de intrusos en la red (NIDS)
• Sistemas de gestión de incidentes y eventos de seguridad (SIEM) con inteligencia de amenazas
• Inteligencia de amenazas legible por máquina (MRTI)
• Inspección de estado y cortafuegos de próxima generación
• Pruebas de intrusión de terceros
• Red privada virtual para acceso remoto de clientes, socios y compañías
• Escaneo frecuente de vulnerabilidad de aplicaciones y sistemas
• Auditoría y protección centradas en datos (DCAP)
• Protección contra pérdida de datos (DLP)

Sí, Comscore utiliza la información de seguridad y gestión de eventos (SIEM) para almacenar registros y detectar amenazas y anomalías de seguridad en nuestro entorno.

Sí, solo se permiten dispositivos administrados y propiedad de la empresa en la LAN inalámbrica corporativa. Todos los demás dispositivos están restringidos a una red de invitados aislada que permite el acceso solo a Internet. Utilizamos el cifrado inalámbrico estándar de la industria (WPA2).

Sí, nuestras puertas de enlace de correo electrónico utilizan SMTP sobre TLS.

Comscore utiliza un proceso de ciclo de vida de desarrollo de seguridad formal para garantizar que la seguridad se aborde durante todo el proceso de desarrollo. Los desarrolladores de Comscore también reciben capacitación en seguridad para desarrolladores.

Comscore realiza un control integral de seguridad y privacidad de todos los proveedores. El seguimiento y la revisión se basan en el riesgo.

Sí.

Sí, la política y los procedimientos de respuesta a incidentes de Comscore garantizan que un incidente se investigue, contenga, solucione y notifique de inmediato interna y externamente, según corresponda, incluidas las notificaciones reglamentarias, sujetas a las aprobaciones requeridas. Nuestro proceso define formalmente roles y responsabilidades, criterios de gravedad de incidentes, notificaciones requeridas, el enfoque adoptado para utilizar varias herramientas para detectar indicadores de compromiso. Un coordinador de incidentes supervisa el proceso de respuesta a incidentes. Un Equipo de Respuesta e Incidentes de Seguridad Informática, compuesto por expertos en infraestructura y aplicaciones técnicas, se dedica a investigar y remediar los incidentes.

Los datos se replican en la instalación de reserva y/o se respaldan en cinta, según el tiempo de recuperación y los objetivos del punto de recuperación. Los planes de recuperación ante desastres se documentan y prueban regularmente a través de un ejercicio de simulación y una prueba paralela anual. Las copias de seguridad incluyen copias completas semanales e incrementales diarias. Las cintas se almacenan fuera del sitio.

Sí, la gerencia lo revisa, actualiza y aprueba periódicamente.

Sí, nuestro programa de seguridad se audita como parte de nuestras auditorías SOX, MRC, SOC3 según lo requieran los clientes. Recientemente completamos una certificación de los Estándares Nacionales de China sobre Tecnología de Seguridad de la Información - Especificación de Seguridad de la Información Personal GB/T 35273-2017. Ver certificación.

Sí, como se indica en nuestras páginas de Privacidad y GDPR.

Comscore protege los datos de PI utilizando las siguientes técnicas, según las necesidades de la aplicación: sanitización, enmascaramiento de datos, hashing, anonimización, seudonimización y cifrado (AES de 256 bits).