건너뛰기:
- Vimeo는 외부 플랫폼 및 공급업체를 통한 PHI 공유 또는 액세스와 관련된 위험을 어떻게 평가하고 완화하나요?
- Vimeo에는 사고 대응 계획이 있나요? 얼마나 자주 테스트되며, 잠재적 침해 또는 데이터 유출에 대응하는 효율성에 대해 얼마나 확신하나요?
- Vimeo는 무단 액세스로부터 PHI를 보호하기 위해 사용자 액세스 제어, 인증, 최소 권한 원칙을 어떻게 관리하나요?
- Vimeo는 해당 주체가 PHI를 보호하도록 어떻게 돕나요?
- Vimeo는 사이버 보안 프로그램의 효율성을 평가하기 위해 어떤 주요 보안 측정 항목을 추적하며, 이러한 측정 항목은 개선과 책임을 추진하는 데 어떻게 활용되나요?
Vimeo는 외부 플랫폼 및 공급업체를 통한 PHI 공유 또는 액세스와 관련된 위험을 어떻게 평가하고 완화하나요?
Vimeo의 제3자 소프트웨어 공급업체는 공급업체의 중요성과 보안 상태를 평가하기 위해 보안 설문지 작성과 공식적인 위험 평가를 포함하는 검토 프로세스를 통과해야 합니다. 적절한 경우 Vimeo는 제3자 공급업체에게 Vimeo의 데이터 처리 부록, 비즈니스 협력 계약 및 공급업체 보안 정책에 서명하도록 요구합니다.
Vimeo에는 사고 대응 계획이 있나요? 얼마나 자주 테스트되며, 잠재적 침해 또는 데이터 유출에 대응하는 효율성에 대해 얼마나 확신하나요?
Vimeo는 Vimeo 서비스가 손상되는 사고가 발생한 경우 신속하고 효율적으로 대응할 수 있는 통제 수단을 마련했습니다. 이러한 통제 수단은 Vimeo 보안 정책 및 절차를 통해 성문화되었으며 각 유형의 사건에 대한 시스템별 대응팀과 절차를 제공합니다. 여기에는 사건 심각도를 평가하고, 사건을 개선하고, 필요한 경우 영향을 받는 고객에게 알리는 프로토콜이 포함됩니다.
Vimeo는 무단 액세스로부터 PHI를 보호하기 위해 사용자 액세스 제어, 인증, 최소 권한 원칙을 어떻게 관리하나요?
Vimeo는 고객 데이터가 포함될 수 있는 내부 시스템에 액세스하기 위해 MFA를 통한 싱글사인온을 시행합니다. Vimeo는 내부 Vimeo 시스템에 대한 액세스를 프로비저닝할 때 역할 기반 액세스 제어를 구현합니다. 직원과 계약자는 자신의 직무 역할과 책임을 이행하기 위해서만 데이터에 액세스할 수 있습니다. Vimeo는 중요한 시스템에 대한 액세스 검토를 정기적으로 실시합니다.
Vimeo는 해당 주체가 PHI를 보호하도록 어떻게 돕나요?
Vimeo는 PHI 관리를 위한 플랫폼 내 데이터 보존 제어 및 감사 로깅과 같은 엔터프라이즈 도구를 제공하여 해당 주체가 PHI를 보호하도록 돕습니다.
Vimeo는 사이버 보안 프로그램의 효율성을 평가하기 위해 어떤 주요 보안 측정 항목을 추적하며, 이러한 측정 항목은 개선과 책임을 추진하는 데 어떻게 활용되나요?
Vimeo는 NIST 사이버 보안 프레임워크(CSF)를 사용하고 규정 준수 비율을 측정하고 사이버 보안 역량 성숙도 모델을 기반으로 성숙도 순위를 매겨 사이버 보안 프로그램의 효율성을 측정하기 시작했습니다. 이를 측정하면 시간이 지남에 따라 Vimeo의 제어 성숙도 수준을 추적하고 지속적으로 높일 수 있습니다.