תוכנת ניהול כנסים בענן- תשתית ואבטחת מידע
Eventact EMS תוכננה להתאים לדרישות האבטחה של ארגונים שונים ולתקני אבטחה ופרטיות, כגון – GDPR, PCI, חוק העוגיות האירופאי ודיני הגנת הפרטיות בישראל.
המערכת פועלת על תשתית ענן פרטי, שרתים וירטואליים המופעלים על מספר שרתים פיזיים פרטיים בבעלות איוונט אקט. ענן איוונט אקט כולל גם פיירוול פרטי בבעלות ובשליטה מלאה של איוונט אקט וכן הפרדת שרתים בתוך ענן איוונטאקט על ידי פיירוול. תשתית זו מבטיחה שליטה מלאה וגמישות ביחס להרשאות גישה לשרתים.
Eventact EMS כוללת פיצ'רים אשר נועדו לאפשר למנהלי המערכת לעמוד בתקני אבטחה ופרטיות וכן כוללת הגדרת הרשאות גישה שונות למשתמשים שונים, נעילה אוטומטית של משתמשים, אימות כניסה דו-שלבי Two Factor Authentication וכן התראות למנהלי אבטחת מידע ואפשרות למחיקת מידע.
אבטחת ממשק ניהול
| מאפיין Eventact EMS | תקן PCI 3.2.1 | GDPR | NIST | תקנות הגנת הפרטיות(אבטחת מידע) 2017 |
|---|---|---|---|---|
| ניהול הרשאות משתמשיניהול הרשאות מנהלים | 7.1: Limit Access to System Components | סעיף 32-4: ensure that any person who has access to personal data does not process them except on instructions, | PC.AC- 4: Access permissions are managed | 9 - א: בעל המאגר יוודא כי הגישה למאגר ונעשית לפי רשימת ההרשאות התקפות. 8 -א: בעל מאגר יקבע הרשות גישה של בעלי הרשאות בהתאם להגדרות תפקיד. 8- ב: בעל מאגר ינהל רישום מועדכן של הרשאות גישה. |
| אכיפת חוזק סיסמא | 8.2.3: passwords must have complexity and strength | PC.AC | 9-ב-א: אופן הזיהוי מבוסס על סיסמאות, יתייחס גם לחוזק הסיסמה | |
| אכיפת החלפת סיסמא | 8.2.4: Change user password once every 90 days | 9-ב-א:תדירות החלפת הסיסמאות אחת לתקופה שלא תעלה על שישה חודשים. | ||
| ממשק ניהול מוצפן SSL | PR.DS-2 | 14- ב: העברת מידע באינטרנט תיעשה תוך שימוש בשיטות הצפנה מקובלות | ||
| אימות דו-שלבי | 8.2.5, 8.3.1: Secure administrative access using multi-factor authentication | 14- ג : ייעשה שימוש נוסף על אמצעי אבטחה...באמצעים שמטרתם לזהות את המתקשר והרשאתו | ||
| נעילה אטומטית של משתמשים לא פעילים | 8.1.4: Remove/disable inactive users | 9-ג: בעל מאגר מידע ידאג לביטול ההרשאות של בעל הרשאה שסיים את תפקידו | ||
| נעילה אוטומטית לאחר נסיון כניסה שנכשל | 8.16: Limit repeated access attempts | 9-ב- 2- א: אופן הזיהוי מבוסס על סיסמאות יתייחס גם למספר הניסיונות השגויים. 9 -ב-2- ג: אופן הטיפול בתקלות באימות זהות. |
||
| מניעת מחזור סיסמאות | 8.2.5: Do not allow new password that is the same as any of the last | |||
| תעוד כניסות מנהלים | 10.3: Record audit trails for all system components | סעיף 30 | 10-א: ינוהל מנגנון תיעוד אוטומטי שיאפשר ביקורת על הגישה למערכות המאגר | |
| תעוד פעולות מנהלים | 10.3: Record audit trails for all system components | סעיף 30 |
תשתית
| מאפיין Eventact EMS | תקן PCI 3.2.1 | GDPR | NIST | תקנות הגנת הפרטיות (אבטחת מידע) 2017 |
|---|---|---|---|---|
| SSL Grade: A | סעיף 32 | |||
| פיירוול פרטי | 1.2.3: Install perimeter firewalls 9.1.2: Implement physical and/or logical controls to restrict access to publicly accessible network jacks 1.1.7, 1.2, |
סעיף 32 | PR.DS-1 | 2-14- א: בעל המאגר לא יחבר את מערכות המאגר לרשת האינטרנט, בלא התקנת אמצעי הגנה מתאימים |
| הפרדה שרתים באמצעות פיירוול | 1.1.4: Requirements for a firewall at each Internet connection and between any demilitarized zone |
סעיף 32 | PR.DS-1 | 2- 13- ב: בעל מאגר מידע יפריד בין מערכות המאגר לבין מערכות מחשוב אחרות |
| שרתי פייזים בבעלות איוונט אקט
(במקום שרתים משתופים) |
2.6: Additional requirments for hosted environments | סעיף 32 | PR.AC-2 : Physical access to asset is protected | 6- א: בעל המאגר יבטיח כי המערכות יישמרו במקום מוגן המונע חדירה וכניסה אליו בלא הרשאה. 6 -ב : בעל המאגר ינקוט אמצעים לבקרה ותעוד של כניסה מאתרים בהם מצוית מערכות ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהן. |
| גישה פיזית לאיוונט גישה פיזית לאיוונט אקט בלבד | 9.1: Use appropriate facility entry controls to limit and monitor physical access to systems 9.5: Physically secure all media |
סעיף 32 | PR.AC-2 : Physical access to asset is protected | |
| חוות שרתים בישראל | סעיף 44: Data transfer to Isrrael as third country is expressly permitted. | 2-א-4: בעל מאגר יגדיר פרטים על העברת מאגר על מחוץ לגבולות המדינה, מטרת העברה, ארץ יעד וזהות הנעבר. | ||
| עדכוני אבטחה שוטפים | 6.2 : install applicable vendor-supplied patches. | סעיף 32 | 13-ג: בעל המאגר ידאג לכך שיערכו עדכונים שוטפים של מערכות המאגר. |
שמירה על פרטיות מידע של משתתפים
| מאפיין Eventact EMS | תקן PCI 3.2.1 | GDPR | NIST | תקנות הגנת הפרטיות (אבטחת מידע) 2017 |
|---|---|---|---|---|
| גישה למידע של המשתתף | לא רלוונטי | סעיף 15: Right of access by the data subject סעיף 16: Right to rectification |
||
| אפשרות למחיקת נתונים | לא רלוונטי | סעיף 17: Right to be forgotten | ||
| אפשרות לשליטה על שימוש בנתונים | לא רלוונטי | סעיף 7, סעיף 21-Right to object, | ||
| מנגנון הסרה מרשימת תפוצה | לא רלוונטי | סעיף 6, סעיף 7, סעיף 21, סעיף 95 | ||
| פרסום מדניות פרטיות | לא רלוונטי | סעיף 12 | ||
| אסמכתא לאישור הסכמה לתקנון | לא רלוונטי | סעיף 7 | ||
| בקשת אישור לשימוש בעוגיות | לא רלוונטי | סעיף 12, חוק העוגיות האירופאי |