Beveiligingsverklaring
van SentinelOne
We maken ’s werelds meest geavanceerde oplossingen voor endpointbeveiliging. Daarnaast beschermen we alle gegevens die we verzamelen van de abonnees op onze oplossingen. Dit doen we in overeenstemming met de beste normen en praktijken in de sector. Onze klanten eisen het hoogst mogelijke niveau van gegevensbeveiliging. Veel klanten hebben onze oplossingen dan ook getest om te zien of ze aan hun normen voldoen. We hebben hun verwachtingen overtroffen en veel lof ontvangen van enkele van de meest geavanceerde en veiligheidsbewuste organisaties ter wereld.
We zijn ons er terdege van bewust dat de gegevens van onze klanten goed beheerd, gecontroleerd en beschermd moeten worden. Daarom hebben we een speciaal beveiligingsteam dat zich bezighoudt met het informatiebeveiligingsprogramma van SentinelOne. Dit programma omvat hoogwaardige netwerkbeveiliging, applicatiebeveiliging, identiteits- en toegangscontroles, verandermanagement, kwetsbaarhedenbeheer en pentesting van derden, logboek-/gebeurtenissenbeheer, beheer van leveranciersrisico’s, fysieke beveiliging, endpointbeveiliging, governance en compliance, HR-beveiliging, noodherstel en nog een heleboel extra controles. Onze servers worden onder andere beschermd door geavanceerde firewallsystemen. Er worden regelmatig scans uitgevoerd om ervoor te zorgen dat zwakke plekken snel worden gevonden en hersteld. Jaarlijks worden er complete penetratietests uitgevoerd. Gegevens van klanten worden verwerkt en opgeslagen op een specifieke locatie die bekend is bij de klant in een specifieke regio, zoals Noord-Amerika, Europa of Azië. Alleen specifieke personen hebben toegang tot systemen. Dit gebeurt op een ‘need-to-know’-basis en wordt bewaakt en gecontroleerd voor compliance. Voor de overdracht van alle klantgegevens gebruiken we TLS-encryptie (Transport Layer Security), dat ook wel HTTPS wordt genoemd. Klanten kunnen ervoor kiezen om al hun gegevens ook in rust te versleutelen. Onze oplossingen worden gehost door AWS, dat onafhankelijk wordt gecontroleerd volgens de normen ISO 27001 en SOC 3 Type II, zoals hieronder beschreven. Om het hoogst mogelijke niveau van informatiebeveiliging te waarborgen, maakt SentinelOne gebruik van de auditingdiensten van gerenommeerde externe auditors. De activiteiten voor informatiebeveiliging worden jaarlijks gecontroleerd aan de hand van de ISO27001-norm. Verder werkt SentinelOne aan een programma voor compliance met FedRAMP. Naar verwachting wordt de FedRamp Moderate ATO in het derde kwartaal van 2020 opgeleverd.
Ten slotte vragen we van u, als u een klant bent, om ervoor te zorgen dat de medewerkers die de oplossingen beheren goede beveiligingspraktijken toepassen voor het beheer van de inloggegevens voor uw exemplaar van de oplossingen, zoals sterke wachtwoorden afdwingen en de toegang tot uw accounts beperken tot geautoriseerde personen. Klanten die ontdekken dat inloggegevens voor hun accounts zijn gecompromitteerd, vragen we om ons hiervan onmiddellijk op de hoogte te stellen door contact op te nemen met ons ondersteuningsteam.
Compliance van SentinelOne
Compliance met GLBA
SentinelOne biedt oplossingen voor endpointbeveiliging waarmee uiteenlopende datasets op dezelfde manier worden verzameld en verwerkt, ongeacht hoe klanten hun data classificeren. Verwerking van specifieke datatypen is geheel incidenteel en is niet vereist om de oplossingen te gebruiken. SentinelOne verzamelt geen niet-openbare informatie (Non-Public Information, NPI) zoals gedefinieerd in de GLBA (Gramm-Leach-Bliley Act).
SentinelOne heeft een uitgebreid programma voor informatiebeveiliging ontworpen en geïmplementeerd om de gegevens van zijn klanten te beschermen in overeenstemming met de Safeguard Rule van de GLBA en is nu GLB-compliant met deze regel.
Hoe SentinelOne kan helpen bij de compliancebehoeften van uw organisatie
PCI-compliance
De SentinelOne-malwareoplossing kan uw organisatie helpen PCI DSS-compliant te worden met Vereiste nr. 5 van PCI DSS, waarin wordt bepaald dat organisaties regelmatig antivirussoftware of -programma’s moeten gebruiken en updaten op alle systemen die vaak het doelwit zijn van schadelijke software.
Lees de whitepaper van Tevora over PCI en HIPAA voor meer informatie over hoe SentinelOne uw organisatie kan helpen bij de PCI-compliance.
GLBA-compliance
De SentinelOne-malwareoplossing kan uw organisatie helpen GLB-compliant te worden met de Safeguard Rule, waarin wordt bepaald dat financiële instellingen onder de jurisdictie van de FTC maatregelen moeten nemen om de gegevens van klanten veilig te houden, in overeenstemming met de FTC-compliance-instructies, die vereisen dat financiële instellingen antivirus- en antispywareoplossingen moeten gebruiken die automatisch worden bijgewerkt.