« Pour les bases de Riverside : vue d'ensemble
Riverside doit mettre en œuvre et maintenir des contrôles de sécurité de l'information adéquats pour protéger contre l'accès non autorisé ou l'utilisation des données personnelles du client. Sans limiter la portée de ce qui précède, Riverside doit mettre en œuvre et maintenir les contrôles de sécurité de l'information suivants (collectivement, les « Contrôles de sécurité de l'information ») :
a. qui protègent la confidentialité, l'intégrité et l'authenticité des données personnelles de manière à ce qu'elles soient traitées, utilisées, maintenues et divulguées uniquement si nécessaire pour le but spécifique pour lequel cette information a été communiquée à Riverside et uniquement conformément à la DPA ;
b. un programme de sécurité de l'information écrit standard de l'industrie tel que ISO 27001:27002 en conjonction avec le rapport SSAE16 Type 2, qui répond aux normes réglementaires pertinentes actuelles et est conçu pour assurer et démontrer un programme de sécurité de l'information approprié, durable et auditables ;
c. contrôles d'accès sur les systèmes d'information, y compris les contrôles pour authentifier, permettre, retirer et auditer l'accès, qui garantissent que seuls les fonctionnaires, directeurs, employés, consultants, avocats, comptables, agents et sous-traitants indépendants autorisés (et leurs employés) ainsi que d'autres représentants ou autres tiers ayant besoin de connaître ont accès à ces données personnelles pour remplir les obligations de Riverside en vertu de la loi applicable ;
d. un chiffrement fort, standard de l'industrie et approprié des données électroniques personnelles telles que TLS 1,2 / 1,3 et un minimum de AES-256 bits ainsi qu'une « gestion des clés de chiffrement » appropriée, y compris lors de la transmission et au repos ;
e. systèmes de surveillance efficaces, personnel qualifié et procédures pour détecter et répondre aux attaques réelles et tentatives d'intrusion dans les systèmes d'information ;
f. programmes de réponse qui spécifient les actions à entreprendre lorsque Riverside détecte un accès non autorisé à des systèmes d'information ou à des lieux physiques contenant des données personnelles ;
g. contrôles et mesures de sauvegarde conformes aux normes de l'industrie pour protéger contre la destruction, la perte ou les dommages des données personnelles en raison de violations de l'intégrité, de l'authenticité, et/ou de risques environnementaux potentiels, tels que des incendies et des dégâts d'eau ; et
h. test régulier des contrôles clés, des systèmes et des procédures de ces Contrôles de sécurité de l'information.