NEWFOLD DIGITAL INFORMATION SECURITY PROGRAM OVERVIEW

Newfold Digital and our subsidiaries (“we,” “us” or “Newfold”) take the security of customer data seriously. We have implemented internal policies and controls to try to ensure that customer data is protected and only accessed by authorized Newfold employees in the performance of their duties. Where Newfold engages third parties to process customer data on its behalf, they do so in accordance with our written instructions under a duty of confidentiality, and they are required to implement appropriate technical and administrative measures to ensure the data is secure.

More specifically, Newfold maintains: confidentiality by ensuring that only people who are authorized to use the data can access it; integrity by ensuring that data is accurate and suitable for the purpose for which it is processed; and availability by ensuring that authorized users are able to access and use the data they need for authorized purposes in a timely and reliable manner.

Newfold takes a ‘defense in depth’ approach to secure data on multiple levels, including physical, network, host, software, and user account security, each as further discussed below.

Physical Security

• Physical access to Newfold’s hosting environment is restricted to specific individuals and uses multiple levels of security as follows:
• Newfold servers and infrastructure are located in secure data centers where access is limited to authorized personnel and badge access or biometric authentication (e.g., hand scanners and fingerprint IDs) are required to access the facilities.
• Newfold servers are isolated and secured within the data center in areas dedicated to Newfold equipment only; these areas are not shared with third parties.
• Access to data centers and hosting systems are regularly reviewed by Newfold’s data center operations team to assure that only authorized users have access.
• 7×24 security guards perform random checks of the data center to ensure physical security controls have not been compromised.

Network Security

• Newfold requires that network communications adhere to the principles of data confidentiality, integrity, and availability discussed above.
• Newfold’s hosting environment is protected from the public Internet and corporate Local Area Network (LAN) via multiple next-generation firewalls and is monitored by an intrusion prevention/detection system, including a strategically placed distributed denial of service mitigation system.
• Newfold requires that information is handled with appropriate levels of encryption in accordance with our policies and standards and to comply with applicable laws.

Customer Hosted Environment Security

• Newfold performs industry-standard security hardening efforts — more specifically, critical systems are hardened and configured per industry best practices as defined by the Center for Internet Security (CIS).
• Newfold regularly reviews information on current security vulnerabilities, including vendor announcements and other industry sources. If security updates are determined to be critical to the Newfold environment, they are tested and deployed in a timely manner.
• Customer hosting systems and services are routinely monitored for integrity and availability. Operations staff review alerts generated by monitoring systems and respond promptly.
• Customer hosting systems are monitored 24×7 for malicious activity.
• Administrative access to Newfold’s infrastructure is limited strictly to authorized users with multi-factor authentication. Individual usernames and passwords are required for machine and data access.
• Newfold adheres to strong password guidelines, including complexity and minimum length requirements. Passwords are expired and changed on a regular basis.

Software Security

• Internally developed code is subject to Newfold’s secure coding guidelines, which includes testing of functionality and business logic, and for security flaws. In addition, our Change Management Policy ensures that code deployed to the production environment has been appropriately tested, reviewed, and approved.
• We train our engineers in secure coding and architectural design patterns such as those outlined in the OWASP Top 10, CIS Critical Security Controls, and NIST frameworks.
• As part of Newfold’s ongoing PCI compliance, we regularly undergo security reviews, including external and internal scanning for vulnerabilities on an ongoing basis. All vulnerabilities discovered are reviewed by internal security and addressed in accordance with the level of severity.

Incident Management

• Newfold has a documented Cybersecurity Incident Response Plan, a 24×7 Command Monitoring Center, and an industry-leading incident response third party on retainer.
• The Cybersecurity Incident Response Plan undergoes annual tabletop testing and is updated as necessary.

Personnel Security

• Newfold employment offers are contingent upon successful completion of a criminal background and reference checks where allowed by law.
• Upon commencing employment, all Newfold employees receive information security training and are contractually obligated to confidentiality clauses to ensure that they adhere to Newfold’s commitment to security and confidentiality.
• Newfold’s information security awareness and training programs require employees to complete annual security refresher training.

Patch Management

• Where feasible, system components and software are protected from known vulnerabilities by applying the latest vendor-supplied security patches.
• Newfold systems are routinely updated per vendor recommendations and industry standards.

Virus/Malware Management

• Newfold uses up to date virus scanning software for detecting currently known malware.
• Malware definitions are updated daily and installed as required.
• Operations teams monitor the Newfold hosting environment 24×7 for malware infections.

Questions

Email [email protected] and we’ll get back to you as soon as we can.

VISÃO GERAL DO PROGRAMA DE SEGURANÇA DA INFORMAÇÃO DA NEWFOLD DIGITAL

A Newfold Digital e nossas subsidiárias (“nós”, “nos” ou “Newfold”) levam a segurança dos dados do cliente a sério. Implementamos políticas e controles internos para visar a garantía de que os dados do cliente sejam protegidos e acessados​​apenas por funcionários autorizados da Newfold no desempenho de suas funções. Quando a Newfold contrata terceiros para processar dados do cliente em seu nome, eles o fazem de acordo com nossas instruções por escrito sob o dever de confidencialidade e são obrigados a implementar medidas técnicas e administrativas adequadas para garantir a segurança dos dados.

Mais especificamente, a Newfold mantém: confidencialidade, garantindo que apenas pessoas autorizadas a usar os dados possam acessá-los; integridade, garantindo que os dados sejam precisos e adequados para a finalidade para a qual são processados; e disponibilidade, garantindo que os usuários autorizados possam acessar e usar os dados de que precisam para fins autorizados de maneira oportuna e confiável.

A Newfold adota uma abordagem de "defesa em profundidade" para proteger dados em vários níveis, incluindo segurança física, de rede, de host, de software e de conta de usuário, cada um conforme discutido abaixo.

Segurança física

O acesso físico ao ambiente de hospedagem Newfold é restrito a indivíduos específicos e usa vários níveis de segurança da seguinte forma:

• Os servidores e a infraestrutura da Newfold estão localizados em centros de dados seguros, onde o acesso é limitado ao pessoal autorizado e o acesso por crachá ou autenticação biométrica (por exemplo, leitores de mão e IDs de impressão digital) são necessários para acessar as instalações.
• Os servidores da Newfold são isolados e protegidos dentro do data center em áreas dedicadas apenas aos equipamentos Newfold; essas áreas não são compartilhadas com terceiros.
• O acesso aos data centers e sistemas de hospedagem são regularmente revisados​​pela equipe de operações do data center da Newfold para garantir que apenas usuários autorizados tenham acesso.
• Os guardas de segurança presentes em tempo integral (24 horas por dia, 7 dias por semana) realizam verificações aleatórias do data center para garantir que os controles de segurança física não tenham sido comprometidos.

Segurança de rede

• A Newfold exige que as comunicações de rede sigam os princípios de confidencialidade, integridade e disponibilidade de dados discutidos acima.
• O ambiente de hospedagem da Newfold é protegido da Internet pública e da rede local (LAN) corporativa por meio de vários firewalls de próxima geração e é monitorado por um sistema de prevenção / detecção de intrusão, incluindo um sistema distribuído de negação de serviço de mitigação estrategicamente localizado.
• A Newfold exige que as informações sejam tratadas com níveis apropriados de criptografia de acordo com nossas políticas e padrões e para cumprir as leis aplicáveis.

Segurança do ambiente hospedado pelo cliente

• A Newfold realiza esforços de proteção de segurança padrão do setor - mais especificamente, os sistemas críticos são reforçados e configurados de acordo com as práticas recomendadas do setor, conforme definido pelo Center for Internet Security (CIS).
• A Newfold analisa regularmente as informações sobre as vulnerabilidades de segurança atuais, incluindo anúncios de fornecedores e outras fontes da indústria. Se as atualizações de segurança forem consideradas críticas para o ambiente da Newfold, elas serão testadas e implantadas em tempo hábil.
• Os sistemas e serviços de hospedagem do cliente são monitorados rotineiramente quanto à integridade e disponibilidade. A equipe de operações analisa os alertas gerados pelos sistemas de monitoramento e responde prontamente.
• Os sistemas de hospedagem do cliente são monitorados 24 horas por dia, 7 dias por semana, em busca de atividades maliciosas.
• O acesso administrativo à infraestrutura da Newfold é limitado estritamente a usuários autorizados com autenticação multifator. Nomes de usuário e senhas individuais são necessários para o acesso à máquina e aos dados.
• A Newfold adere a diretrizes de senha fortes, incluindo complexidade e requisitos de comprimento mínimo. As senhas expiram e são alteradas regularmente.

Segurança de software

• Código desenvolvido internamente está sujeito às diretrizes de codificação segura da Newfold, que incluem teste de funcionalidade e lógica de negócios e para falhas de segurança. Além disso, nossa Política de Gerenciamento de Mudanças garante que o código implantado no ambiente de produção foi testado, revisado e aprovado de forma adequada.
• Treinamos nossos engenheiros em codificação segura e padrões de projeto arquitetônico, como aqueles descritos no OWASP Top 10, CIS Critical Security Controls e frameworks NIST.
• Como parte da conformidade contínua com o PCI da Newfold, passamos regularmente por análises de segurança, incluindo varredura externa e interna em busca de vulnerabilidades. Todas as vulnerabilidades descobertas são revisadas pela segurança interna e tratadas de acordo com o nível de gravidade.

Gestão de Incidentes

• A Newfold tem um Plano de Resposta a Incidentes de Segurança Cibernética documentado, um Centro de Monitoramento de Comando atuante 24 horas por día, 7 dias por semana e um terceiro líder de mercado em resposta a incidentes.
• O Plano de Resposta a Incidentes de Cibersegurança passa por testes anuais de mesa e sendo atualizado conforme necessário.

Segurança Pessoal

• As ofertas de emprego da Newfold dependem da conclusão bem-sucedida de uma verificação de antecedentes criminais e referências, quando permitido por lei.
• Ao começar a trabalhar, todos os funcionários da Newfold recebem treinamento de segurança da informação e são contratualmente obrigados a cláusulas de confidencialidade para garantir que cumpram o compromisso da Newfold com a segurança e a confidencialidade.
• Os programas de conscientização e treinamento de segurança da informação da Newfold exigem que os funcionários concluam o treinamento anual de atualização de segurança.

Gerenciamento de Patch

• Sempre que possível, os componentes do sistema e o software são protegidos contra vulnerabilidades conhecidas aplicando os patches de segurança mais recentes fornecidos pelo fornecedor.
• Os sistemas Newfold são atualizados rotineiramente de acordo com as recomendações do fornecedor e padrões da indústria.

Gerenciamento de vírus / malware

• A Newfold usa um software de varredura de vírus atualizado para detectar malware atualmente conhecido.
• As definições de malware são atualizadas diariamente e instaladas conforme necessário.
• As equipes de operações monitoram o ambiente de hospedagem Newfold 24 horas por dia, 7 dias por semana, em busca de infecções por malware.

Perguntas

Envie um e-mail para [email protected] e entraremos em contato com você assim que possível.

DESCRIPCIÓN GENERAL DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN DIGITAL NEWFOLD

Newfold Digital y nuestras subsidiarias ("nosotros", "nos" o "Newfold") se toman en serio la seguridad de los datos de los clientes. Implementamos políticas y controles internos para garantizar que los datos del cliente estén protegidos y solo los empleados autorizados de Newfold accedan a ellos en el desempeño de sus funciones. Cuando Newfold contrata a terceros para procesar los datos del cliente en su nombre, lo hacen de acuerdo con nuestras instrucciones escritas bajo el deber de confidencialidad y están obligados a implementar las medidas técnicas y administrativas adecuadas para garantizar la seguridad de los datos.

Más específicamente, Newfold mantiene: confidencialidad, asegurando que solo las personas autorizadas para usar los datos puedan acceder a ellos; integridad, asegurando que los datos sean precisos y adecuados para el propósito para el que se procesan; y disponibilidad, asegurando que los usuarios autorizados puedan acceder y utilizar los datos que necesitan para fines autorizados de manera oportuna y confiable.

Newfold adopta un enfoque de "defensa en profundidad" para proteger los datos en varios niveles, incluidos seguridad física, de red, de host, de software y de cuentas de usuario, cada uno de los cuales se describe a continuación.

Seguridad física

• El acceso físico al entorno de alojamiento de Newfold está restringido a personas específicas y utiliza varios niveles de seguridad de la siguiente manera:
• Los servidores y la infraestructura de Newfold están ubicados en centros de datos seguros, donde el acceso está limitado al personal autorizado y se requiere acceso mediante credencial o autenticación biométrica (por ejemplo, lectores de mano e identificaciones de huellas digitales) para acceder a las instalaciones.
• Los servidores Newfold están aislados y asegurados dentro del centro de datos en áreas dedicadas únicamente a equipos Newfold; estas áreas no se comparten con terceros.
• El equipo de operaciones del centro de datos de Newfold revisa periódicamente los sistemas de alojamiento y acceso al centro de datos para garantizar que solo los usuarios autorizados tengan acceso.
• Los guardias de seguridad presentes a tiempo completo (24 horas al día, 7 días a la semana) realizan verificaciones aleatorias del centro de datos para garantizar que los controles de seguridad física no se hayan visto comprometidos.  

Seguridad de la red

• Newfold requiere que las comunicaciones de la red se adhieran a los principios de confidencialidad, integridad y disponibilidad de datos discutidos anteriormente.
• El entorno de alojamiento de Newfold está protegido de la Internet pública y la red de área local corporativa (LAN) a través de múltiples firewalls de próxima generación y está monitoreado por un sistema de prevención / detección de intrusiones, que incluye un sistema de mitigación de denegación de servicio distribuido estratégicamente ubicado.
• Newfold requiere que la información sea tratada con niveles apropiados de encriptación de acuerdo con nuestras políticas y estándares y para cumplir con las leyes aplicables.

Seguridad del entorno alojado del cliente

• Newfold realiza esfuerzos de protección de seguridad estándar de la industria; más específicamente, los sistemas críticos se refuerzan y configuran de acuerdo con las mejores prácticas de la industria según lo define el Centro de Seguridad de Internet (CIS).
• Newfold revisa periódicamente la información sobre las vulnerabilidades de seguridad actuales, incluidos los anuncios de proveedores y otras fuentes de la industria. Si las actualizaciones de seguridad se consideran críticas para su entorno, se probarán e implementarán oportunamente.
• Los sistemas y servicios de hospedaje del cliente se monitorean de manera rutinaria para verificar su integridad y disponibilidad. El equipo de operaciones analiza las alertas generadas por los sistemas de monitoreo y responde con prontitud.
• Los sistemas de alojamiento de clientes se controlan las 24 horas del día, los 7 días de la semana para detectar actividades maliciosas.
• El acceso administrativo a la infraestructura de Newfold está estrictamente limitado a usuarios autorizados con autenticación multifactor. Se requieren nombres de usuario y contraseñas individuales para acceder a la máquina y a los datos.
• Newfold se adhiere a las pautas de contraseñas seguras, incluidos los requisitos de complejidad y longitud mínima. Las contraseñas caducan y se cambian con regularidad.

Seguridad del Software

• El código desarrollado internamente está sujeto a las pautas de codificación segura de Newfold, que incluyen pruebas de funcionalidad y lógica empresarial, y de agujeros de seguridad. Además, nuestra Política de gestión de cambios garantiza que el código implementado en el entorno de producción se haya probado, revisado y aprobado correctamente.
• Capacitamos a nuestros ingenieros en codificación segura y estándares de diseño arquitectónico, como los descritos en los marcos OWASP Top 10, CIS Critical Security Controls y NIST.
• Como parte del cumplimiento continuo de PCI de Newfold, regularmente nos sometemos a revisiones de seguridad, que incluyen análisis externos e internos en busca de vulnerabilidades. Todas las vulnerabilidades descubiertas son revisadas por seguridad interna y tratadas de acuerdo con el nivel de gravedad.

Administracion de incidentes

• Newfold tiene un plan documentado de respuesta a incidentes de ciberseguridad, un centro de control de comandos 24 horas al día, 7 días a la semana y un líder del mercado de respuesta a incidentes de terceros.
• El Plan de respuesta a incidentes de ciberseguridad se somete a pruebas de escritorio anuales y se actualiza según sea necesario.

Seguridad personal

• Las ofertas de trabajo de Newfold dependen de la finalización satisfactoria de una verificación de antecedentes penales y referencias, cuando lo permita la ley.
• Al ingresar al trabajo, todos los empleados de Newfold reciben capacitación en seguridad de la información y están obligados contractualmente por cláusulas de confidencialidad para garantizar que cumplan con el compromiso de Newfold con la seguridad y la confidencialidad.
• Los programas de capacitación y concientización sobre seguridad de la información de Newfold requieren que los empleados completen una capacitación anual de actualización de seguridad.

Gestión de parches

• Siempre que sea posible, los componentes del sistema y el software se protegen de las vulnerabilidades conocidas mediante la aplicación de los últimos parches de seguridad proporcionados por los proveedores.
• Los sistemas Newfold se actualizan periódicamente de acuerdo con las recomendaciones de los proveedores y los estándares de la industria.

Gestión de virus / malware

• Newfold utiliza un software de escaneo de virus actualizado para detectar malware actualmente conocido.
• Las definiciones de malware se actualizan a diario y se instalan según sea necesario.
• Los equipos de operaciones supervisan el entorno de alojamiento de Newfold las 24 horas del día, los 7 días de la semana para detectar infecciones de malware.

Preguntas

Envíe un correo electrónico a [email protected] y nos comunicaremos con usted lo antes posible.