质量、安全、隐私与合规

EcoVadis 的宗旨是“引领所有公司迈向可持续的世界”，其四个核心目标如下：

1. 通过卓越的方法来提供独立、可信、可操作的企业社会责任评级和见解。
2. 尽可能帮助更多的公司不断改进其商业实践，促进可再生和公平经济的创造。
3. 为员工营造一个包容的学习环境，提供有意义的工作，并使其子孙后代能够成为可持续发展的实践者。
4. 增加生态系统内的集体行动，加速向可持续的世界过渡。

EcoVadis现已开发一套质量管理体系(QMS)，并通过ISO 9001认证。我们借助流程管理系统精益求精、提升质量，确保每位员工在安全健康、积极向上的工作环境中顺利完成工作。流程管理系统由我们自主开发的定制 IT平台提供支持，指导员工完成整个工作流程。我们根据EcoVadis方法委员会等专门机构的意见，不断改进流程。

• 员工培训计划
  • Q&IS培训计划面向入职期间的所有新员工，通过测验和设定及格分数验证培训效果。此外，所有员工必须参加年度进修培训，并进行测验。
• 纠正和预防措施
  • 确定改进事项，持续改进，以消除不合格事项，或防止其再次发生。例如在评估流程中使用质量工具来检测不合格事项和提供反馈。
• 突发事件管理流程
  • 客户和供应商投诉以及内部问题均通过突发事件管理平台报告、记录和管理。所有突发事件均由相关各方定期审查，并在规定期限内解决。
• 内部审计
  • 内部审计计划为期三年，其中每年进行两次信息安全审计，并对每个内部流程进行至少一次质量审计。我们每年会进行两次管理评审，以审查和讨论审计结果。

EcoVadis 通过全球 SaaS 云平台为公司提供全面的企业社会责任评级服务，该平台由 Microsoft Azure 托管，Microsoft Azure 是最值得信赖的云托管服务提供商之一。

我们致力于提供最高等级的信息安全，并且将不断改进，以便在不断演变的信息安全威胁中保护好所有利益相关者的资料。为此，EcoVadis 建立了信息安全管理体系 (ISMS)，并且会定期接受独立第三方的 ISO/IEC 27001 合规性审核（请参阅证书和适用性声明）。

通过 ISMS，我们能够系统地进行操作，维护业务流程和服务中的信息安全，并根据风险评估来确定和应用必要的安全措施。

我们会定期审查和更新信息安全政策，以确保内容适时准确，并符合适用于我们的合规要求和行业最佳实践。

我们有专门的内部团队负责建立、维护和监控信息安全。我们的组织在全球范围内确定了优先事项，以在资产保护方面建立单一且一致的愿景。

在 EcoVadis，我们明白，提高信息安全威胁意识是一个持续的过程。我们的员工会定期接受相关内容的培训，包括 IT 和信息安全的最佳实践，与 EcoVadis IT 安全标准保持一致，以及以安全的方式操作 IT 系统。

我们会维护所提供服务相关资产清单的准确性和即时性，并根据法律要求、价值、重要性和对未经授权的披露或修改的敏感性，对信息进行分类。
Azure 是一项多租户服务，提供逻辑隔离，可隔离每个客户的数据。

我们遵循“需则知情”和最小特权原则，根据用户工作职责的具体要求来分配 EcoVadis 信息系统和网络域的访问权限和特权 (RBAC)。
我们的客户独立管理其访问权限：客户平台管理员可以根据需要创建和停用用户。用户可以使用用户名和密码来访问平台。我们还为有需求的公司提供单点登录 (SSO) 身份验证功能，您可以联系您的常用商务联系人，以获取更多信息。

我们使用行业批准的加密算法和方法来对数据进行加密（静态数据和传输中的数据）。我们遵循行业最佳实践，以在我们的环境中安全地存储和管理机密信息。

我们的平台托管在位于欧盟的 Microsoft Azure 数据中心。根据云中的共享责任模型，物理安全控制属于 Microsoft 的责任范围。点击此处查看有关控制措施的更多信息。

我们确保对影响信息安全的组织、业务流程、信息处理设施和系统的变更进行控制。我们已经实施了监控和检测技术和流程，以识别、预防和管理恶意软件漏洞，或我们基础设施中的其他安全相关事件。我们在安全加固方面遵循最佳实践，例如针对操作系统的 CIS（互联网安全中心），以及针对云服务的 Microsoft Azure 加固指南。

内部服务和服务器的网络访问均受到限制和保护。我们采用 Web 应用程序防火墙（请点击此处查看更多信息），并使用 Azure Front Door，这是一种新式云内容交付网络 (CDN) 服务，可提供高性能、可伸缩性和安全的用户体验。

我们使用行业标准来构建系统/软件开发生命周期 (SDLC) 的安全性。我们会确保新开发的系统在上线之前已经过适当的测试和验证流程。我们的开发、测试和操作环境是分开的。

对于可以访问、处理、存储、传播组织信息，或为组织信息提供 IT 基础设施组件的供应商，我们为其确定了信息安全要求。对于可以访问我们网络、数据或其他敏感信息的供应商，我们会对其进行网络安全和数据安全风险评估。

我们一直致力于为客户提供高度安全的服务，但事实是，事故不可避免，必须谨慎管理。在 EcoVadis，我们会采取适当的措施，确保以一致且有效的方法来管理信息安全事故。我们的安全事故管理流程包括但不限于：通知客户，维护在发生安全事故时应遵循的书面程序，并尽一切合理努力减轻其后果。

我们致力于确保信息处理设施具有足够的冗余，以满足可用性要求（请参阅我们平台的正常运行时间报告，其中的服务性能、可用性和真实用户体验受到持续监控）。
根据确定的备份策略定期进行和测试备份。

为了让员工更全面地了解我们信息安全的合规性，我们进行了几种类型的审计和技术审查：
– 基础设施审查
– 代码审查（SAST：静态应用程序安全测试，SCA：软件组成分析）
– Web 应用程序渗透测试（每年由外部公司执行至少一次）
– 外部态势管理
– 内部风险评估
– ISO 27001 认证审计

我们填写了几份标准问卷。结果可以按需共享
Cybervadis
CyberGRX
SecurityScorecard:

Whistic
Microsoft Azure 认证可在服务信任门户中获得。

与任何适用服务相关的任何开源库或组件的许可方要求的披露。EcoVadis 解决方案有时包括或依赖于开源库。为了遵循开源库的许可要求和被许可人的归属道德权利，下表中列出了用于构建我们产品的开源软件 — 请注意，以下所有信息均“按原样”提供，并且可能会由被许可人作出更改：

*应用程序动态链接到 LGPL 许可证，因此，专有代码可以保持专有。

EcoVadis 认为，GDPR 是加强和协调欧盟公民个人数据保护的重要一步。作为所提供评级服务的数据控制者，EcoVadis 承诺将在国际数据保护法规适用的范围内遵守 GDPR，并实施最佳实践。
EcoVadis 采用我们通过认证的 ISO 27001 标准作为框架，并将个人数据保护方面整合到其管理体系中。我们采用与 ISO 27701 互为补充的框架来满足 GDPR 要求。我们的数据保护实践和合规性由第三方审计确认。
在选择提供商（处理者）时，我们始终保持谨慎，并且会要求与处理者签订数据保护协议和标准合同条款 (SCC)，或者在欧洲经济区以外进行处理的情况下，与其签订约束性企业规则 (BCR)，以便其能够为我们工作。我们的目标始终是选择有提供商的订阅方案，以将数据托管在位于欧洲的服务器上。我们使用以下处理器来提供服务：

我们采用法国数据保护机构 CNIL 和欧洲数据保护委员会发布的根据 SCC（或 BCR）向美国传输数据的可能性的额外措施的建议。

EcoVadis承诺遵守适用于通用在线服务运营商的所有相关法律法规，包括根据服务所在运营地点适用美国或法国的出口法律。

目的地限制

鉴于整体商业风险，Ecovadis产品和服务无法在以下国家/地区出口、再出口、转让和/或使用（如有变化，恕不另行通知）：

• 克里米亚、顿涅茨克和卢甘斯克地区古巴
• 伊朗
• 朝鲜
• 苏丹
• 叙利亚

此外，目的地出口管制严格或制裁风险较高的交易或相关活动须符合增强尽职调查要求。

最终用户限制

列入任何相关受制裁方名单（如欧盟制裁名单、美国特别指定国民(SDN)名单、外国资产管制办公室 (OFAC)名单、联合国安全理事会制裁名单、EcoVadis所在地方名单）等相关出口管制和制裁法律禁止交易的实体和个人无法使用EcoVadis产品和服务。

最终使用限制

EcoVadis服务不得用于相关出口法律禁止的任何目的，包括但不限于开发、设计、制造或生产具有大规模杀伤性的核武器、化学武器或生物武器。

本网页仅用于提供一般信息，不构成法律建议。