Si, Comscore mantiene y actualiza diversas políticas relacionadas con la seguridad en consonancia con las buenas prácticas ISO 27001, como se menciona más abajo.

Si, Comscore pone a disposición de todos los empleados/contratistas las políticas y realiza anualmente una capacitación en seguridad que incluye una evaluación de los empleados acerca del contenido de las políticas.

Comscore basa su programa de seguridad en el marco de control ISO 27001:2013. Nuestro programa de seguridad está auditado como parte de nuestro SOX, MRC, SOC3.

Si, en la medida de lo permitido por ley. En el caso de los contratistas, no realizamos verificaciones de antecedentes del personal contratado a través de agencias que ya realizaron su propia verificación de antecedentes. En el caso de empleados directos, realizamos nosotros la verificación de antecedentes.

Si, en la medida permitida por ley y generalmente antes de la contratación.

Si, Comscore desarrolló un Programa de capacitación sobre concientización en seguridad. La concientización en seguridad se da a los empleados con un enfoque múltiple. La capacitación básica se realiza por computadora. Los empleados completan la capacitación inicial durante el proceso de inducción. La capacitación se realiza a través del LMS (Sistema de gestión de aprendizaje) de Comscore. La concientización es reforzada con newsletters, posters y correos electrónicos. Las políticas son publicadas en un sitio de SharePoint interno.

Si.

Si, de acuerdo con la Política de disposición de activos y medios de IT, que es revisada por nuestros auditores externos.

Si, Comscore tiene políticas para determinar y defender la seguridad y la historia de las contraseñas, así como la prohibición de compartir contraseñas y accesos de usuario.

Utilizamos una arquitectura de firewall de varios niveles con el apoyo de un firewall de inspección de estado. Todo el acceso externo está mediado por una DMZ de Internet. El acceso a las redes internas está restringido en base a aplicaciones autorizadas.

Si.

Si, se utilizan VPN TLS o IPSSEC para proteger los datos en tránsito. Nuestra política requiere el cifrado de datos en tránsito a través de una red pública.

Si, se requiere el cifrado completo del disco para dispositivos de clientes. El cifrado del lado del servidor está limitado a información regulada, personal o sensible. Para cifrar datos en reposo se usa 256-bit AES.

Nuestras claves de cifrado son almacenadas en un depósito de claves conforme a la norma FIPS y son soportados por una arquitectura redundante y segura.

Comscore lleva adelante evaluaciones de seguridad de sus proveedores de centros de datos y también evalúa y confía en auditorías independientes de terceros, tales como SOC 1, 2 o 3, o ISO 27001.

Si, para los centros de datos a los que Comscore tiene acceso (es decir, AWS no permite el acceso in situ a sus centros de datos), Comscore restringe el acceso al personal clave y periódicamente lleva adelante revisiones de acceso. Comscore revisa periódicamente el acceso a sus centros de datos de terceros. Los controles de acceso físicos incluyen, entre otros: arquitectura de seguridad física multinivel; control de acceso con lector de tarjeta; mantraps; autenticación multifactor, lo que incluye PIN y datos biométricos; monitoreo 24x7/vigilancia con Sistema CCTV.

Hemos implementado y manejamos diversas tecnologías de protección de información:

• WAF (Firewall de aplicaciones web)
• Protección contra ataques de negación de servicio
• Cifrado de datos personales y confidenciales en reposo
• Antivirus, incluyendo aprendizaje automático
• Gestion de dispositivos móviles
• NIDS (Sistema de detección de instrusos en la red)
• Sistemas SIEM (Gestión de incidentes y eventos de seguridad) con información sobre amenazas
• MRTI (Información codificada sobre amenazas)
• Inspección de estado y firewalls de última generación
• Testeo de penetración de tercerosg
• Red Privada Virtual para acceso remoto de clientes, socios y corporativo
• Escaneo frecuente de aplicaciones y de vulnerabilidad del Sistema
• DCAP (Auditoría y protección centrada en los datos)
• DLP (Prevención de pérdida de datos).

Si, Comscore utiliza un Sistema SIEM para agrupar registros y detectar amenazas a la seguridad y anomalías en nuestro entorno.

Si, en la red corporativa inalámbrica LAN solamente están permitidos los dispositivos corporativos o administrados por la compañía. Todos los demás dispositivos están restringidos a una red separada para invitados donde solamente se puede acceder a Internet. Utilizamos el cifrado inalámbrico habitual de la industria (WPA2).

Si, nuestras puertas de enlace de correo electrónico potencian SMTP sobre TLS.

Comscore utiliza un proceso formal del Ciclo de vida de Desarrollo de seguridad para garantizar que la seguridad se tenga en cuenta en todo el proceso de Desarrollo. Los desarrolladores de Comscore también reciben una capacitación sobre seguridad del desarrollador.

Comscore realiza un monitoreo completo de seguridad y privacidad de todos sus proveedores. El monitoreo y la revisión está basado en el riesgo.

Si.

Si, la política y los procedimientos de Comscore de Respuesta al incidente garantizan la investigación, contención, reparación, el reporte interno y externo inmediato del incidente, según corresponda, lo que incluye las notificaciones reglamentarias requeridas, sujetas a las aprobaciones necesarias. Nuestro proceso define formalmente los roles y las responsabilidades, el criterio de gravedad del incidente, las notificaciones requeridas, el enfoque utilizado para usar diversas herramientas para detectar indicadores de compromiso. Un Coordinador de incidentes supervisa el proceso de respuesta al incidente. Un equipo de Incidentes y respuesta de seguridad informática formado por expertos de aplicaciones e infraestructura técnica se ocupa de investigar y reparar los incidentes.

Los datos son replicados en una zona de emergencia y/o grabados como copia de seguridad, dependiendo del tiempo de recuperación y de los objetivos del punto de recuperación. Los planes de recuperación ante siniestros son documentados y testeados periódicamente en ejercicios de simulación y tests anuales en paralelo. Las copias de seguridad pueden ser completa semanal o diaria incremental. Las grabaciones son almacenadas externamente.

Si. Dicho plan es revisado, actualizado y aprobado por la administración periódicamente.

Comscore certifica su programa de seguridad según las normas ISO 27001 (seguridad) e ISO 27701 (privacidad). Nuestro certificado ISO está disponible bajo demanda (se requiere MNDA para entregarlo).

Si, como se indica en nuestras páginas Privacidad y RGPD .

Comscore protege la información personal usando las siguientes técnicas, dependiendo de las necesidades de la aplicación: sanitización, masking, hashing, anonimización, seudonimización y cifrado (256 bit AES).