Regelefterlevnad

För att skydda informationstillgångarna hos Optimizely har vi vidtagit nödvändiga åtgärder för att uppnå ISO 27001:2022, ISO 27017:2015, ISO 27018:2019, SOC 2 Type 2, PCI DSS v4.0.1 och TISAX. Denna process omfattade internrevision, kritisk testning, inspektioner, bedömningar och granskningar av Optimizelys ledningssystem för informationssäkerhet. Oberoende tredjepartscertifiering innebär att du kan lita på att Optimizely har robusta och effektiva säkerhets- och integritetskontroller för att skydda dina data.

Vårt program för regelefterlevnad säkerställer att du och dina kunder kan lita på Optimizely och ha tredjepartsgaranti för att effektiva och robusta kontroller skyddar dina data.

Dessa certifieringar och intyganderapporter utförs av oberoende tredjepartsrevisorer och är tillgängliga på begäran. Befintliga kunder kan begära åtkomst via sin Customer Success Manager. Potentiella kunder ombeds kontakta sin säljrepresentant för åtkomst.

Produktcertifieringar

Content Management System (CMS)

Aktuell lista över aktiva certifieringar
  • ISO/IEC ISO27001:2022 - Ledningssystem för informationssäkerhet (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssäkerhetskontroller för molntjänster
  • ISO/IEC 27018: 2019 Skydd av PII i publika moln
  • SOC 2 Type 2-intygande

Commerce Connect

Aktuell lista över aktiva certifieringar
  • ISO/IEC ISO27001:2022 - Ledningssystem för informationssäkerhet (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssäkerhetskontroller för molntjänster
  • ISO/IEC 27018: 2019 Skydd av PII i publika moln
  • SOC 2 Type 2-intygande
  • PCI DSS v 4.0.1 Self-Assessment-intygande

Webb- & Feature Experimentation-tjänster

Aktuell lista över aktiva certifieringar
  • ISO/IEC ISO27001:2022 - Ledningssystem för informationssäkerhet (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssäkerhetskontroller för molntjänster
  • ISO/IEC 27018: 2019 Skydd av PII i publika moln
  • SOC 2 Type 2-intygande
  • PCI DSS v 4.0.1 QSA-granskad

Campaign

Aktuell lista över aktiva certifieringar
  • ISO/IEC ISO27001:2022 - Ledningssystem för informationssäkerhet (ISMS)
  • TISAX - Trusted Information Security Assessment Exchange
    • Denna standard ger den europeiska fordonsindustrin ett konsekvent och standardiserat tillvägagångssätt för informationssäkerhetssystem.

Configured Commerce

Aktuell lista över aktiva certifieringar
  • SOC 2 Type 2-intygande
  • PCI DSS v 4.0.1 Self-Assessment-intygande

Optimizely Data Platform (ODP)

Aktuell lista över aktiva certifieringar
  • SOC 2 Type 2-intygande

Content Marketing Platform (CMP)

Aktuell lista över aktiva certifieringar
  • SOC 2 Type 2-intygande

Analytics (tidigare Netspring)

Aktuell lista över aktiva certifieringar
  • SOC 2 Type 2-intygande

HIPAA

Health Information Portability and Accountability Act (HIPAA) är en av de viktigaste sektorsspecifika regleringarna relaterade till integritetsskydd i USA. Sekreteraren för Health and Human Services (HHS) utvecklade en uppsättning obligatoriska nationella standarder utformade för att skydda konfidentialiteten, integriteten och tillgängligheten för hälsodata. Vissa verksamheter, så kallade covered entities och business associates, är skyldiga att följa dessa regler för att säkerställa att hälsodata överförs utan att säkerheten äventyras.

Optimizely stöder HIPAA-regelefterlevnad som business associate genom att åta sig följande:

  • Implementera och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder utformade för att skydda kundens Protected Health Information (PHI)
  • Meddela kunder om eventuella dataintrång utan onödigt dröjsmål
  • Teckna Business Associate Agreements (BAA) med företagskunder

Optimizely erbjuder nu HIPAA-redo Optimizely-programvarutjänster:

  • Content Management System (CMS) (PaaS & SaaS)
  • Webb- & Feature Experimentation-tjänster

För att se vårt Optimizely Business Associate Agreement kan befintliga kunder kontakta sin Customer Success Manager. Potentiella kunder ombeds kontakta sin säljrepresentant.

Cyberriskbedömningar

Cloud Security Alliance (CSA)

Cloud Security Alliance är världens ledande organisation med fokus på medvetenhet, praktisk implementering och certifiering för framtidens moln- och cybersäkerhet. CSA:s initiativ hjälper organisationer att utvärdera molnleverantörer och förbättra standarder för molnsäkerhet världen över.

Optimizely tillhandahåller Level 1 Self-Assessment, vilket visar vårt engagemang för att erbjuda säkra PaaS- och SaaS-molntjänster.

Optimizely har uppdaterat våra CAIQ Self-Assessments till CAIQ 4.0.

STAR Registry | CSA (cloudsecurityalliance.org)

HECVAT

Higher Education Information Security Council (HEISC) skapade, i samarbete med Shared Assessments Working Group, EDUCAUSEInternet2 och Research & Education Networks Information Sharing & Analysis Center (REN-ISAC), Higher Education Cloud Vendor Assessment Toolkit (HECVAT), en självutvärdering för krav på informationssäkerhet och dataskydd inom högre utbildning i USA för molntjänstleverantörer. Bedömningens detaljer hjälper lärosäten (universitet och högskolor) att verifiera att molntjänster utvärderas avseende säkerhets- och integritetskrav, och möjliggör en konsekvent metodik för lärosäten som vill använda molntjänster.

Optimizely har genomfört HECVAT- och HECVAT-Lite-självutvärderingar för våra centrala molnprodukter. Självutvärderingen beskriver vår anpassning till branschstandarder samt den säkerhet som är inbyggd i våra produkter och vår infrastruktur.

CyberGRX

Optimizelys CyberGRX-rapport är tillgänglig för alla potentiella kunder/befintliga kunder utan kostnad.

Potentiella kunder/befintliga kunder kan begära åtkomst till den Tier 2-validerade CyberGRX-cyberriskbedömningen via CyberGRX Global Risk Exchange.

FSQS/Hellios

FSQS-UK&I täcker de viktigaste områdena för tredjepartsrisk inom finanssektorn, med över 30 dedikerade riskdomäner inbyggda i leverantörsregistreringsprocessen.

Optimizely har genomgått en FSQS Stage 3-bedömning.

FSQS/Hellios-bedömningsrapporten är tillgänglig på begäran.

Säkerhet och regelefterlevnad

För hjälp med att begära åtkomst till säkerhets- och regelefterlevnadsdokument kan befintliga kunder kontakta sin Customer Success Manager. Potentiella kunder ombeds kontakta sin säljrepresentant för åtkomst.

Telecommunications and Telemedia Data Protection Act (TTDSG/TKG)

Den tyska förbundslagen om integritetsskydd inom telekommunikation och telemedier, eller Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), reglerar integritetsaspekterna av elektronisk kommunikation och telemedier i Tyskland. Lagen behandlar specifikt konfidentialitet och sekretess för digital kommunikation, inklusive aspekter som cookieanvändning och datalagring.

Optimizely har en Security Concept-rapport som beskriver vår regelefterlevnad med den tyska telekommunikationslagen som ICT-leverantör. Denna är tillgänglig på begäran.

Penetrationstestrapporter

Optimizely genomför regelbundna penetrationstester genom CREST-ackrediterade tredjepartsleverantörer av penetrationstestning.

En kopia av rapporten, tillsammans med åtgärdsstatus, är tillgänglig på begäran.

Företagets kontinuitet och katastrofberedskap (BCDR)

Optimizelys program för företagets kontinuitet och katastrofberedskap (BCDR) upprätthåller globalt tillgänglig affärsverksamhet och underlättar effektiv återställning av verksamheten vid storskaliga störningar. Optimizelys BCDR-program bidrar till att säkerställa att affärskritiska och kundorienterade tjänster fungerar kontinuerligt och utan avbrott.

Våra BCDR-program omfattar kontinuitetsplaner, verksamhetskonsekvensanalyser och katastrofberedskapsplaner som testas regelbundet.

Kundorienterade DR-rapporter är tillgängliga på begäran.

Infrastrukturens regelefterlevnad

Efter att plattformarna genomgått rigorös tredjepartsbekräftelse av process- och tekniska kontroller ärver vi deras kontroller och implementerar vårt eget ramverk för regelefterlevnad ovanpå deras verktyg.

Riskhantering

Periodiska riskbedömningar genomförs där de högsta riskerna identifieras och behandlingsplaner tas fram. Riskbedömningen, urvalet av topprisker och riskbehandlingsplanerna granskas och framstegen följs upp av Security Governance Board.

Robust säkerhetsramverk

Optimizely implementerar branschledande säkerhetsåtgärder, inklusive avancerad kryptering, multifaktorautentisering, regelbundna sårbarhetsbedömningar och intrångsdetekteringssystem för att skydda kunddata mot obehörig åtkomst, intrång och cyberhot.

Regelefterlevnad med globala standarder

Optimizely följer ett brett spektrum av standarder för efterlevnad som säkerställer att vi uppfyller de högsta förväntningarna på dataintegritet, säkerhet och styrning. 

Kontinuerlig övervakning och revision

Optimizely genomför kontinuerlig övervakning av våra system och processer för att upptäcka, bedöma och minska potentiella risker. Regelbundna interna och externa revisioner genomförs för att säkerställa regelefterlevnad med tillämpliga lagar och standarder samt för att verifiera effektiviteten i våra säkerhetsprotokoll.

Övriga resurser

Cyberförsäkring
  • Ansvarsförsäkringsintyg med limiter och täckningar avseende allmän- och mer specifikt cyberförsäkring. 
Servicenivåavtal  
Tjänstebeskrivningar