A S&C considera a segurança e a privacidade dos dados dos nossos clientes como sendo básicos para nossos valores. A segurança é integrada nos produtos, sistemas, serviços e suportes da &C’, e entre eles. Nós temos uma variedade de programas, políticas e procedimentos implantados que foram construídos para as principais estruturas e práticas recomendadas de cibersegurança da indústria. O programa de segurança de informações da S&C inclui, entre outros, procedimentos de manipulação de dados e padrões de classificação. Os padrões incluem controles apropriados em torno do uso, armazenamento, retenção, monitoramento, destruição segura e segmentação de dados em registros eletrônicos e em papel.

As atividades de desenvolvimento de produtos da S&C seguem o Security Development Lifecycle (SDL) da S&C, que codifica as melhores práticas aceitas pelo setor. Os principais componentes do SDL são análise de risco de segurança, modelagem de ameaças, análise e revisão de código e gerenciamento de vulnerabilidades. A S&C aplica o SDL a seus novos produtos, sistemas, serviços, software e soluções em nuvem.

Em conformidade com o SDL, a S&C toma as seguintes ações durante o projeto, desenvolvimento e teste de nossos produtos:

• Uma análise de risco de segurança, com base nos requisitos de segurança da S&C, é realizada para cada novo projeto e para cada alteração significativa em um projeto existente.
• São realizadas regularmente análise automatizada de código e revisões manuais de código durante o desenvolvimento com base em estruturas, como o Open Web Application Security Project (OWASP) Top 10.
• Código de terceiros, incluindo código-fonte aberto, é analisado automaticamente para identificar e mitigar vulnerabilidades.
• O hardening de sistemas operacionais é executado para dispositivos integrados e soluções baseadas na nuvem.
• Regras de segurança da rede e de firewall são implementadas e revistas com regularidade.
• O teste por grupos internos independentes é executado antes do lançamento de cada produto.

A S&C tem uma política e um procedimento documentado para identificação e comunicação, aos nossos clientes, de vulnerabilidades em nossos produtos. Esse processo envolve a revisão de dados da indústria, tais como Common Vulnerability Scoring System (CVSS) e National Vulnerability Database (NVD), para informações relativas a vulnerabilidades conhecidas. A S&C conduz também testes internos para identificar vulnerabiidades.

Neste mundo hiperconectado, a cibersegurança é uma responsabilidade coletiva, porque pode haver ameaças internas e externas aceleradas por um cenário digital em rápida evolução. Com crescente exposição a riscos acontecendo todos os dias, nós trabalhamos ativamente com clientes e fornecedores para criar soluções de segurança de ponta a ponta. A S&C vê como essenciais a avaliação apropriada dos riscos e os cuidados apropriados na instalação, manutenção e operações. Nós trabalhamos com nossos clientes para garantir que atualizações e correções aprovadas pela S&C sejam fornecidas e autenticadas. Nós fornecemos instruções em nossos manuais de produtos com relação à configuração segura dos nossos produtos. Finalmente, nós trabalhamos com os clientes para remediar qualquer vulnerabilidade ou violação de dados suspeita.