Compliance

For å beskytte informasjonsverdiene hos Optimizely har vi tatt de nødvendige stegene for å oppnå ISO 27001:2022, ISO 27017:2015, ISO 27018:2019, SOC 2 Type 2, PCI DSS v4.0.1 og TISAX. Denne prosessen inkluderte intern revisjon, kritisk testing, inspeksjoner, vurderinger og gjennomganger av Optimizelys styringssystem for informasjonssikkerhet. Uavhengig tredjepartssertifisering betyr at du kan stole på at Optimizely har robuste og effektive sikkerhets- og personvernkontroller for å beskytte dataene dine.

Vårt compliance-program sikrer at du og kundene dine kan stole på Optimizely, og at en uavhengig tredjepart bekrefter at effektive og robuste kontroller beskytter dataene dine.

Disse sertifiseringene og attestasjonsrapportene utføres av uavhengige tredjepartsrevisorer og er tilgjengelige på forespørsel. Eksisterende kunder kan be om tilgang gjennom sin Customer Success Manager. Potensielle kunder kan kontakte sin salgsrepresentant for tilgang.

Produktsertifiseringer

Content Management System (CMS)

Gjeldende liste over aktive sertifiseringer
  • ISO/IEC ISO27001:2022 – Styringssystemer for informasjonssikkerhet (ISMS)
  • ISO/IEC ISO27017:2015 – Informasjonssikkerhetskontroller for skytjenester
  • ISO/IEC 27018: 2019 Beskyttelse av personopplysninger i offentlige skyer
  • SOC 2 Type 2-attestasjon

Commerce Connect

Gjeldende liste over aktive sertifiseringer
  • ISO/IEC ISO27001:2022 – Styringssystemer for informasjonssikkerhet (ISMS)
  • ISO/IEC ISO27017:2015 – Informasjonssikkerhetskontroller for skytjenester
  • ISO/IEC 27018: 2019 Beskyttelse av personopplysninger i offentlige skyer
  • SOC 2 Type 2-attestasjon
  • PCI DSS v 4.0.1 egenvurderingsattestasjon

Web & Feature Experimentation Services

Gjeldende liste over aktive sertifiseringer
  • ISO/IEC ISO27001:2022 – Styringssystemer for informasjonssikkerhet (ISMS)
  • ISO/IEC ISO27017:2015 – Informasjonssikkerhetskontroller for skytjenester
  • ISO/IEC 27018: 2019 Beskyttelse av personopplysninger i offentlige skyer
  • SOC 2 Type 2-attestasjon
  • PCI DSS v 4.0.1 QSA-revidert

Campaign

Gjeldende liste over aktive sertifiseringer
  • ISO/IEC ISO27001:2022 – Styringssystemer for informasjonssikkerhet (ISMS)
  • TISAX – Trusted Information Security Assessment Exchange
    • Denne standarden gir den europeiske bilindustrien en konsistent, standardisert tilnærming til informasjonssikkerhetssystemer.

Configured Commerce

Gjeldende liste over aktive sertifiseringer
  • SOC 2 Type 2-attestasjon
  • PCI DSS v 4.0.1 egenvurderingsattestasjon

Optimizely Data Platform (ODP)

Gjeldende liste over aktive sertifiseringer
  • SOC 2 Type 2-attestasjon

Content Marketing Platform (CMP)

Gjeldende liste over aktive sertifiseringer
  • SOC 2 Type 2-attestasjon

Analytics (tidligere Netspring)

Gjeldende liste over aktive sertifiseringer
  • SOC 2 Type 2-attestasjon

HIPAA

Health Information Portability and Accountability Act (HIPAA) er en av de viktigste sektorspesifikke forskriftene knyttet til personvern i USA. Secretary for the Health and Human Services (HHS) utviklet et sett med påkrevde nasjonale standarder utformet for å beskytte konfidensialiteten, integriteten og tilgjengeligheten til helsedata. Visse virksomheter, dekningspliktige enheter og forretningspartnere, er pålagt å etterleve disse forskriftene for å sikre at helsedata overføres uten at sikkerheten kompromitteres.

Optimizely støtter HIPAA-compliance som forretningspartner ved å forplikte seg til følgende:

  • Implementere og opprettholde passende tekniske og organisatoriske sikkerhetstiltak utformet for å beskytte kundens Protected Health Information (PHI)
  • Varsle kunder om eventuelle databrudd uten unødig forsinkelse
  • Signere Business Associate Agreements (BAA-er) med bedriftskunder

Optimizely tilbyr nå HIPAA-klare programvaretjenester fra Optimizely:

  • Content Management System (CMS) (PaaS & SaaS)
  • Web & Feature Experimentation Services

For å se vår Optimizely Business Associate Agreement kan eksisterende kunder kontakte sin Customer Success Manager. Potensielle kunder kan kontakte sin salgsrepresentant.

Cyberrisikovurderinger

Cloud Security Alliance (CSA)

Cloud Security Alliance er verdens ledende organisasjon dedikert til bevisstgjøring, praktisk implementering og sertifisering for fremtidens sky- og cybersikkerhet. CSAs initiativer hjelper organisasjoner med å vurdere skyleverandører og forbedre skysikkerhetsstandarder over hele verden.

Optimizely tilbyr nivå 1-egenvurdering som demonstrerer vårt engasjement for å levere sikre PaaS- og SaaS-skytjenester.

Optimizely har oppdatert våre CAIQ-egenvurderinger til CAIQ 4.0.

STAR Registry | CSA (cloudsecurityalliance.org)

HECVAT

Higher Education Information Security Council (HEISC), i samarbeid med Shared Assessments Working Group, EDUCAUSEInternet2 og Research & Education Networks Information Sharing & Analysis Center (REN-ISAC), utviklet Higher Education Cloud Vendor Assessment Toolkit (HECVAT), en egenvurdering for krav til informasjonssikkerhet og databeskyttelse i høyere utdanning i USA for skyleverandører. Detaljene i vurderingen hjelper institusjoner for høyere utdanning (universiteter og høyskoler) med å validere at skytjenester er vurdert for sikkerhets- og personvernkrav, og gir en konsistent metodikk for høyere utdanningsinstitusjoner som ønsker å bruke skytjenester.

Optimizely har fullført en HECVAT- og HECVAT-Lite-egenvurdering for våre viktigste skyprodukter. Egenvurderingen beskriver vår tilpasning til bransjestandarder og sikkerheten som er bygget inn i våre produkter og infrastruktur.

CyberGRX

Optimizelys CyberGRX-rapport er tilgjengelig for alle potensielle kunder/eksisterende kunder uten kostnad.

Potensielle kunder/eksisterende kunder kan be om tilgang til den nivå 2-validerte CyberGRX-cyberrisikovurderingen via CyberGRX Global Risk Exchange.

FSQS/Hellios

FSQS-UK&I dekker de viktigste områdene for tredjepartsrisiko i finansnæringen, med over 30 dedikerte risikodomener bygget inn i leverandørregistreringsprosessen.

Optimizely har gjennomgått en FSQS Stage 3-vurdering.

FSQS/Hellios-vurderingsrapporten er tilgjengelig på forespørsel.

Sikkerhet og compliance

For hjelp med å be om tilgang til sikkerhets- og compliance-dokumenter kan eksisterende kunder kontakte sin Customer Success Manager. Potensielle kunder kan kontakte sin salgsrepresentant for tilgang.

Telecommunications and Telemedia Data Protection Act (TTDSG/TKG)

Den tyske føderale loven om personvern innen telekommunikasjon og telemedier, eller Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), regulerer personvernaspektene ved elektronisk kommunikasjon og telemedier i Tyskland. Loven omhandler spesifikt konfidensialitet og hemmelighold av digital kommunikasjon, og omfatter elementer som bruk av informasjonskapsler og datalagring.

Optimizely har en sikkerhetskonseptrapport som beskriver vår overholdelse av den tyske telekommunikasjonsloven som IKT-leverandør. Denne er tilgjengelig på forespørsel.

Penetrasjonstestrapporter

Optimizely gjennomfører regelmessige penetrasjonstester gjennom tredjeparts CREST-akkrediterte leverandører av penetrasjonstesting.

En kopi av rapporten, sammen med håndtering av funn, er tilgjengelig på forespørsel.

Forretningskontinuitet og katastrofegjenoppretting (BCDR)

Optimizelys program for forretningskontinuitet og katastrofegjenoppretting (BCDR) opprettholder globalt tilgjengelig forretningsdrift og legger til rette for effektiv gjenoppretting av forretningsdriften ved storskala forstyrrelser. Optimizelys BCDR-program bidrar til å sikre at forretningskritiske og kundevendte tjenester opererer kontinuerlig og uten driftsavbrudd.

Vårt BCDR-program inkluderer forretningskontinuitetsplaner, konsekvensanalyser og katastrofegjenopprettingsplaner som testes jevnlig.

Kundevendte DR-rapporter er tilgjengelige på forespørsel.

Infrastruktur-compliance

Etter at plattformene gjennomgår grundig tredjepartsbekreftelse av prosess- og tekniske kontroller, arver vi deres kontroller og implementerer vårt eget compliance-rammeverk på toppen av deres verktøy.

Risikostyring

Periodiske risikovurderinger gjennomføres der topprisiko identifiseres og behandlingsplaner utarbeides. Risikovurderingen, utvelgelsen av topprisiko og risikobehandlingsplanene gjennomgås, og fremdriften spores av Security Governance Board.

Robust sikkerhetsrammeverk

Optimizely implementerer bransjeledende sikkerhetstiltak, inkludert avansert kryptering, flerfaktorautentisering, regelmessige sårbarhetsvurderinger og inntrengingsdeteksjonssystemer for å beskytte kundedata mot uautorisert tilgang, datainnbrudd og cybertrusler.

Overholdelse av globale standarder

Optimizely følger et bredt spekter av compliance-standarder som sikrer at vi oppfyller de høyeste forventningene til personvern, sikkerhet og styring. 

Kontinuerlig overvåking og revisjon

Optimizely gjennomfører kontinuerlig overvåking av våre systemer og prosesser for å oppdage, vurdere og redusere potensielle risikoer. Regelmessige interne og eksterne revisjoner utføres for å sikre overholdelse av gjeldende lover og standarder og for å verifisere effektiviteten av våre sikkerhetsprotokoller.

Andre ressurser

Cyberforsikring
  • Forsikringsbevis med grenser og dekninger knyttet til generell forsikring og mer spesifikt cyberforsikring. 
Service-Level Agreement  
Tjenestebeskrivelser