Företaget kräver autentisering till produktionsdatalager för att använda auktoriserade säkra autentiseringsmekanismer, till exempel en unik SSH-nyckel.

Företaget begränsar privilegierad åtkomst till krypteringsnycklar till behöriga användare med ett affärsbehov.

Företaget kräver att autentisering av system och applikationer använder unikt användarnamn och lösenord eller auktoriserade SSH-nycklar (Secure Socket Shell).

Företaget begränsar privilegierad åtkomst till brandväggen till behöriga användare med ett affärsbehov.

Företaget kräver autentisering mot "produktionsnätverket" för att använda unika användarnamn och lösenord eller auktoriserade Secure Socket Shell (SSH)-nycklar.

Företagets produktionssystem kan endast nås på distans av behöriga anställda som har en giltig metod för flerfaktorsautentisering (MFA).

Företagets produktionssystem kan endast nås på distans av behöriga anställda via en godkänd krypterad anslutning.

Företaget granskar sina brandväggsregler minst en gång per år. Nödvändiga ändringar spåras tills de är slutförda.

Företagets standarder för nätverks- och systemhärdning är dokumenterade, baserade på bästa praxis i branschen och ses över minst en gång per år.

Systemåtkomst begränsad till endast behörig åtkomst

Företagets policy för åtkomstkontroll dokumenterar kraven för följande åtkomstkontrollfunktioner:

• lägga till nya användare;
• modifiera användare; och/eller
• ta bort en befintlig användares åtkomst.

Företaget begränsar privilegierad åtkomst till databaser till behöriga användare med ett affärsbehov.

Företaget begränsar privilegierad åtkomst till operativsystemet till behöriga användare med ett affärsbehov.

Företaget begränsar privilegierad åtkomst till produktionsnätverket till behöriga användare med ett affärsbehov.

Företaget använder ett intrångsdetekteringssystem för att kontinuerligt övervaka företagets nätverk och tidig upptäckt av potentiella säkerhetsintrång.

Företaget använder ett logghanteringsverktyg för att identifiera händelser som kan ha en potentiell inverkan på företagets förmåga att uppnå sina säkerhetsmål.

Ett verktyg för infrastrukturövervakning används för att övervaka system, infrastruktur och prestanda och genererar varningar när specifika fördefinierade tröskelvärden uppnås.

Företagets nätverk är segmenterat för att förhindra obehörig åtkomst till kunddata.

Företaget använder brandväggar och konfigurerar dem för att förhindra obehörig åtkomst.

Företaget har uppdaterat infrastrukturen som stöder tjänsten som en del av det rutinmässiga underhållet och som ett resultat av identifierade sårbarheter för att säkerställa att servrar som stöder tjänsten är skyddade mot säkerhetshot.

Företaget kräver att lösenord för systemkomponenter inom området konfigureras i enlighet med företagets policy.

Företaget har elektroniska medier som innehåller konfidentiell information rensade eller förstörda i enlighet med bästa praxis, och förstöringsintyg utfärdas för varje förstörd enhet.

Företaget upprätthåller en formell inventering av produktionssystemets tillgångar.

Företaget krypterar bärbara och flyttbara medieenheter när de används.

Företaget använder teknik mot skadlig kod i miljöer som ofta är mottagliga för skadliga attacker och konfigurerar denna så att den uppdateras rutinmässigt, loggas och installeras på alla relevanta system.

Företaget utför bakgrundskontroller på nya anställda

Företaget kräver att entreprenörsavtal innehåller en uppförandekod eller en hänvisning till företagets uppförandekod.

Företaget kräver att anställda bekräftar en uppförandekod vid anställningstillfället. Anställda som bryter mot uppförandekoden kan bli föremål för disciplinära åtgärder i enlighet med en disciplinpolicy.

Företaget kräver att entreprenörer skriver under ett sekretessavtal vid uppdragstillfället.

Företaget kräver att anställda skriver under ett sekretessavtal vid onboarding.

Företagscheferna är skyldiga att genomföra prestationsutvärderingar för direkt underställda minst en gång per år.

Företaget har ett system för hantering av mobila enheter (MDM) på plats för att centralt hantera mobila enheter som stöder tjänsten.

Företaget kräver att besökare loggar in, bär en besöksbricka och eskorteras av en behörig anställd när de får tillgång till datacentret eller säkra områden.

Företaget kräver att anställda genomför säkerhetsutbildning inom trettio dagar efter anställning och minst en gång per år därefter.

Företagets datalager som innehåller känslig kunddata är krypterade i vila.

Företaget utför självutvärderingar av kontroller minst en gång per år för att säkerställa att kontroller finns på plats och fungerar effektivt. Korrigerande åtgärder vidtas baserat på relevanta resultat. Om företaget har åtagit sig ett SLA för ett resultat, genomförs den korrigerande åtgärden inom det SLA:t.

Företagets penetrationstester utförs minst en gång per år. En åtgärdsplan utvecklas och förändringar implementeras för att åtgärda sårbarheter i enlighet med SLA:er.

Företaget använder säkra dataöverföringsprotokoll för att kryptera konfidentiell och känslig data när den överförs över offentliga nätverk.

Företagets formella policyer beskriver kraven för följande funktioner relaterade till IT/teknik:

• hantering av sårbarheter;
• systemövervakning.

Företaget genomför åtkomstgranskningar minst en gång per år för de systemkomponenter som ingår i systemet för att säkerställa att åtkomsten begränsas på lämpligt sätt. Nödvändiga ändringar spåras tills de är slutförda.

Företagets säkerhets- och integritetsincidenter loggas, spåras, löses och kommuniceras till berörda eller relevanta parter av ledningen i enlighet med företagets policy och rutiner för säkerhetsincidenthantering.

Värdbaserade sårbarhetsskanningar utförs minst en gång per år på alla externa system. Kritiska och höga sårbarheter spåras till åtgärd.

Företaget har planer för affärskontinuitet och katastrofåterställning som beskriver kommunikationsplaner för att upprätthålla kontinuitet i informationssäkerheten i händelse av att nyckelpersonal inte är tillgänglig.

Företaget har en dokumenterad plan för affärskontinuitet/katastrofåterställning (BC/DR) och testar den minst en gång per år.

Företaget har cybersäkerhetsförsäkring för att mildra de ekonomiska effekterna av störningar i verksamheten.

Företaget har en konfigurationshanteringsprocedur på plats för att säkerställa att systemkonfigurationer distribueras konsekvent i hela miljön.

Företaget begränsar åtkomsten att migrera ändringar i produktionen till behörig personal.

Företaget har en formell metod för systemutvecklingslivscykeln (SDLC) som styr utveckling, anskaffning, implementering, förändringar (inklusive akuta förändringar) och underhåll av informationssystem och relaterade teknikkrav.

Fyll i en beskrivning av ert system för avsnitt III i revisionsrapporten.

Företaget har etablerat en formell visselblåsarpolicy och en anonym kommunikationskanal finns på plats för användare att rapportera potentiella problem eller bedrägeriproblem.

Bolagets styrelse eller ett relevant underutskott informeras av den högsta ledningen minst en gång per år om läget för företagets cybersäkerhets- och integritetsrisker. Styrelsen ger feedback och vägledning till ledningen vid behov.

Bolagets styrelse har en dokumenterad arbetsordning som beskriver dess tillsynsansvar för intern kontroll.

Bolagets styrelseledamöter har tillräcklig expertis för att övervaka ledningens förmåga att utforma, implementera och driva informationssäkerhetskontroller. Styrelsen anlitar externa informationssäkerhetsexperter och konsulter vid behov.

Bolagets styrelse sammanträder minst en gång per år och för formella mötesprotokoll. Styrelsen består av ledamöter som är oberoende av bolaget.

Företagets policy för säkerhetskopiering av data dokumenterar krav för säkerhetskopiering och återställning av kunddata.

Företaget meddelar kunder om kritiska systemändringar som kan påverka deras behandling.

Företagsledningen har fastställt definierade roller och ansvarsområden för att övervaka utformningen och implementeringen av informationssäkerhetskontroller.

Företaget upprätthåller ett organisationsschema som beskriver organisationsstrukturen och rapporteringsvägarna.

Roller och ansvar för design, utveckling, implementering, drift, underhåll och övervakning av informationssäkerhetskontroller är formellt tilldelade i arbetsbeskrivningar och/eller policyn för roller och ansvar.

Företagets informationssäkerhetspolicyer och rutiner dokumenteras och ses över minst en gång per år.

Företaget har ett externt supportsystem på plats som gör det möjligt för användare att rapportera systeminformation om fel, incidenter, problem och andra klagomål till lämplig personal.

Företaget kommunicerar systemändringar till behöriga interna användare.

Företaget säkerställer att användaråtkomst till systemkomponenter som ingår baseras på arbetsroll och funktion eller kräver ett dokumenterat formulär för åtkomstförfrågan och chefens godkännande innan åtkomst tillhandahålls.

Företaget testar sin incidenthanteringsplan minst en gång per år.

Företaget har policyer och rutiner för säkerhets- och integritetshantering av incidenter som är dokumenterade och kommunicerade till behöriga användare.

Företaget granskar åtkomsten till datacentren minst en gång per år.

Företagets säkerhetsåtaganden kommuniceras till kunder i huvudavtal (MSA) eller användarvillkor (TOS).

Företaget tillhandahåller riktlinjer och tekniska supportresurser relaterade till systemdrift till kunder.

Företaget tillhandahåller en beskrivning av sina produkter och tjänster till interna och externa användare.

Företaget specificerar sina mål för att möjliggöra identifiering och bedömning av risker relaterade till målen.

Företagets riskbedömningar utförs minst en gång per år. Som en del av denna process identifieras hot och förändringar (miljömässiga, regulatoriska och tekniska) i tjänsteåtaganden och riskerna bedöms formellt. Riskbedömningen inkluderar en övervägning av risken för bedrägerier och hur bedrägerier kan påverka uppnåendet av målen.

Företaget har ett dokumenterat riskhanteringsprogram på plats som inkluderar vägledning för identifiering av potentiella hot, bedömning av betydelsen av riskerna i samband med de identifierade hoten och strategier för att minska dessa risker.

Företaget har skriftliga avtal med leverantörer och relaterade tredje parter. Dessa avtal inkluderar sekretess- och integritetsåtaganden som gäller för den enheten.

Företaget har ett program för leverantörshantering på plats. Programmet inkluderar följande komponenter:

• kritiskt lager från tredjepartsleverantörer;
• leverantörens säkerhets- och integritetskrav; och
• granskning av kritiska tredjepartsleverantörer minst en gång per år.

Företaget har formella rutiner för lagring och bortskaffande för att vägleda säker lagring och bortskaffande av företags- och kunddata.

Företaget rensar eller tar bort kunddata som innehåller konfidentiell information från applikationsmiljön, i enlighet med bästa praxis, när kunder lämnar tjänsten.

Företaget har en policy för dataklassificering för att säkerställa att konfidentiella uppgifter skyddas ordentligt och begränsas till behörig personal.

På Polestar Analytics är vårt uppdrag att ge organisationer möjlighet att utnyttja den fulla potentialen hos artificiell intelligens genom ansvarsfulla, innovativa AI-lösningar – byggda på grundval av transparens, ansvarsskyldighet och förtroende. Vi anser att den transformerande potentialen hos artificiell intelligens alltid bör tjäna människor, organisationer och samhället på ett etiskt och ansvarsfullt sätt.

Vår strategi för AI-utveckling och implementering är förankrad i etiskt ansvar och kontinuerlig tillsyn, vägledd av våra principer för ansvarsfull AI. Dessa principer är integrerade i hela vår AI-livscykel – från modelldesign och utbildning till implementering och övervakning – och sträcker sig över våra interna verksamheter och styrningsstrukturer.

Vi är engagerade i människocentrerad AI som håller användarna informerade, i kontroll och trygga i sina AI-assisterade beslut. Alla AI-lösningar är utformade med förklarbarhet och tolkningsbarhet i centrum, vilket säkerställer att intressenter förstår hur AI-drivna insikter genereras och kan validera rekommendationer innan de vidtar åtgärder.

Polestar Analytics upprätthåller de högsta standarderna för AI-integritet, integritetsskydd och respekt för intressenter – vilket levererar affärsvärde samtidigt som vi bibehåller engagemanget för ansvarsfull AI-innovation.

Rättvisa

• AI-system bör utvecklas och driftsättas rättvist, med säkerställande av att de är inkluderande och fria från olaglig partiskhet. Detta kräver användning av representativa datamängder, regelbundna partiskhetsbedömningar och implementering av skyddsåtgärder för att förhindra diskriminering under hela AI:s livscykel.

Genomskinlighet

• AI-system bör fungera tydligt och tydligt, vilket gör det tydligt när och hur AI påverkar beslutsprocesser. Detta inkluderar att ge tydliga förklaringar av varje systems syfte, underliggande logik, begränsningar och potentiella effekter på användare och intressenter.

Ansvarighet

• AI-system kräver ansvarsfull styrning med kontinuerlig mänsklig tillsyn under hela sin livscykel. Tydligt ägarskap och ansvarsskyldighet måste etableras i varje steg – från datainsamling och modellutveckling till driftsättning och löpande hantering.

Noggrannhet och tillförlitlighet

• AI-system måste konsekvent leverera enligt sitt avsedda syfte med tillförlitliga och korrekta resultat. Detta inkluderar att validera prestanda med högkvalitativa data, regelbundet testa utdata och åtgärda fel eller avvikelser för att upprätthålla förtroende och effektivitet över tid.

Privatliv

• AI-system måste hantera personuppgifter på ett lagligt sätt och i linje med användarnas förväntningar. De måste inkludera kontroller som säkerställer att dataanvändningen är auktoriserad, ändamålsspecifik och lämpligt skyddad under hela livscykeln.

Säkerhet

• AI-system bör vara motståndskraftiga, testade mot fiendens hot och utformade för att motstå modellmanipulation, dataförgiftning och andra nya attackvektorer. Starka säkerhetsåtgärder är avgörande för att upprätthålla systemintegritet och förhindra skadlig exploatering.

Anpassningsförmåga

• AI-system bör förbli motståndskraftiga trots förändrade datamönster, miljöförändringar och skiftande användarkrav. Modeller måste utformas för effektiv uppdatering, omskolning och finjustering för att upprätthålla prestanda och effektivt hantera nya risker.

Kontroll och val

• AI-system bör ge användarna kontroll över sina interaktioner och tydliga alternativ för att interagera med AI-drivna funktioner. Detta uppmuntrar till genomtänkt engagemang med det innehåll och de data de bidrar med.