NORTHAMPTON, MA / ACCESSWIRE / June 25, 2024 / GoDaddy
Originally published in GoDaddy's 2023 Sustainability Report
Cybersecurity and Data Privacy
Cybersecurity and data privacy are a top priority for GoDaddy as an operator of large internet infrastructure. We take our commitment to cybersecurity and data privacy seriously. We maintain enterprise-wide cybersecurity and data privacy programs designed to manage the risks to GoDaddy's information systems, customer data, and personal information of our customers and employees from cyber threats, and to comply with our regulatory obligations.
Our approach to management of cybersecurity risk and data privacy obligations includes:
- Board Oversight: Our Board oversees the company's cybersecurity risk management program through its Audit and Finance Committee. The Audit and Finance Committee receives regular reports from GoDaddy's Chief Information Security Officer (CISO) regarding the state of the company's cybersecurity program. These reports are shared, at least quarterly, with the Board of Directors. In addition, our Corporate Audit Services team audits our privacy practices, and the results of those audits are presented to senior leadership and discussed with the Audit and Finance Committee. Updates on privacy and cybersecurity matters are also included as part of the Audit and Finance Committee's review of the Company's enterprise risk management efforts.
- Cybersecurity Risk Management: Our management is responsible for identifying, assessing, and managing the company's material cybersecurity risks on an ongoing basis; establishing processes designed to help ensure that potential cybersecurity risk exposures are monitored; putting in place appropriate mitigation and remediation measures; and maintaining the company's cybersecurity programs. GoDaddy's CISO has primary responsibility for the company's programs for identifying, assessing, and managing the company's cybersecurity risks. The CISO reports directly to the company's Chief Technology Officer and regularly provides reports and updates to the company's Chief Executive Officer on significant cybersecurity-related matters relevant to the company's cybersecurity risk.
- Privacy Program Management: Our Privacy Officer manages our Data Privacy Office and global privacy program. Our Data Privacy Office is responsible for day-to-day operations of our privacy program, including but not limited to conducting privacy impact assessments, providing training to employees, responding to data subject requests, and responding to inquiries from data protection authorities. Other personnel and departments at GoDaddy also assist the Data Privacy Office, including but not limited to the company's Legal and Information Security teams.
Cybersecurity
We're committed to protecting customer information from cybersecurity threats. Our information security team uses a variety of controls to protect our systems and customer information from cybersecurity threats. Some of their efforts include:
- Proactive Monitoring and Assessment: We use monitoring and detection tools designed to identify and mitigate threats before they impact GoDaddy or our customers. We also regularly scan our environment to identify potential vulnerabilities.
- Security by Design: Our developers are encouraged to consider cybersecurity from the initial design phase of our products to completion. We also have designed and implemented risk-based processes and procedures to conduct security reviews on new or updated applications prior to launch.
- Security Frameworks: Some parts of our business are required to align with specialized frameworks, such as the Payment Card Industry Data Security Standards (PCI-DSS) for handling payment card data. Where required by our customer or other agreements, we align our practices and controls with other recognized standards such as International Organization for Standardization (ISO) 27001.
- Incident Response: We have a dedicated incident response team that works with our business units and other internal and external subject matter experts to respond to potential cybersecurity incidents. In 2023, we updated our policies and procedures for reporting cybersecurity threats internally to strengthen our overall response capabilities.
Employee Training and Education
GoDaddy employees receive annual data security and privacy training through our Do The Right Thing (DTRT) compliance training. We also send alerts to employees to keep them updated on the latest security threats and host regular workshops for specific teams on privacy topics.
Data Privacy
We take a proactive approach to managing our data privacy obligations. Some of our efforts include:
Establishing Core Data Privacy Practices: We empower our customers, employees, and individual data subjects to manage their privacy preferences and exercise their privacy rights when visiting our websites, using our services, communicating with us, or working with us. Our core privacy practices are set forth in our Global Privacy Notice and related privacy policies. We apply our core practices to all individuals with whom we interact.
Global Regulatory Compliance: While we maintain a global privacy program where we apply a core set of common principles to how we handle personal data, we are mindful of local requirements and restrictions in many of the jurisdictions where we do business and have developed jurisdiction specific data privacy notices for the United States, the United Kingdom, and the European Union. From time to time, we have also adjusted our privacy practices to meet local requirements in other jurisdictions where we do business. We also follow jurisdiction-specific privacy practices relating to handling of personal data relating to our employees and job applicants.
International Data Transfers: In 2023, the U.S. and E.U. reached agreement on a new framework to allow lawful transfers of personal data from Europe to the United States (the "U.S.-E.U. Data Privacy Framework"). GoDaddy certified its compliance with this framework, as well as its compliance with the U.S. and U.K. extension to the U.S.- E.U. Data Privacy Framework. Where the Data Privacy Framework does not apply to transfers from the U.K. and E.U., we use other recognized transfer mechanisms, including standard contractual clauses.
- Data Processing Agreements: In addition to our responsibilities for handling the personal data of our customers, employees, and other data subjects with whom we interact directly, we also handle personal data on behalf of our customers. In this capacity, we act as a data processor, and our customers retain primary responsibility for safely and lawfully processing personal data. Where required by our agreements or applicable laws, we enter into data processing addendums that regulate our rights and responsibilities for processing personal data on behalf of our customers.
- Service Providers: Whether acting as a data controller or processor, we use service providers to process personal data when necessary or appropriate to provide our services or conduct our business. When we provide personal data to a service provider or other third-party acting on our behalf, those service providers and third parties are required to comply with our instructions and contractual restrictions in processing personal information on our behalf.
- GDPR Independent Assessment: In 2023, TRUSTe independently assessed GoDaddy's compliance with the EU General Data Protection Regulation (GDPR) and validated that GoDaddy provided evidence and other support showing that it implemented program-level measures that are designed to meet TRUSTe's 40 GDPR Privacy Program Validation Requirements.
- Privacy by Design: Our Data Privacy Office also consults with our business teams on day-to-day privacy issues, ranging from conducting privacy impact assessments (PIAs) on new business practices to participating in the earliest phases of new product designs to ensure that privacy concerns are addressed during product development. In 2023, we rolled out a new technical solution to streamline the PIA review and more closely integrate privacy reviews with engineering reviews.
Ambitions for 2024
We saw significant changes in the global privacy and cybersecurity landscape in 2023, as many jurisdictions rolled out new rules and regulations that may affect our business in the coming year. We also have seen rapid technological change as new AI and ML tools have been deployed that allow processing of personal information in new ways. In 2024, we aim to continue to adapt our privacy program and cybersecurity practices to meet evolving legal requirements and business needs in this rapidly changing environment.
To learn more, read our 2023 Sustainability Report.
###
About this Report
The GoDaddy 2023 Sustainability Report details our progress toward our corporate sustainability goals, strategies, and initiatives in support of our overarching corporate mission and values. Unless otherwise noted, this report reflects our corporate sustainability performance across our global operations covering the fiscal year period from January 1 to December 31, 2023. To demonstrate our commitment to transparent communication regarding our sustainability progress, we routinely share updates through our website and our annual Sustainability Report. We welcome your questions, comments, and feedback on this report by contacting ESG@GoDaddy.com.
This report references the Global Reporting Initiative (GRI) Standards and includes select Sustainability Accounting Standards Board (SASB) metrics for the Internet Media and Services sector. We also disclose our contributions and progress toward priority UN SDGs. For additional information on how we align with these frameworks and key indicators demonstrating our sustainability performance, please review the Frameworks and Metrics section.
View additional multimedia and more ESG storytelling from GoDaddy on 3blmedia.com.
Contact Info:
Spokesperson: GoDaddy
SOURCE: GoDaddy
ゴーダディー
ゴーダディの2023年度サステナビリティレポートで公開されたものです
サイバーセキュリティおよびデータプライバシー
サイバーセキュリティおよびデータプライバシーは、大規模なインターネットインフラのオペレータとしてのゴーダディにとって最優先事項です。私たちはサイバーセキュリティおよびデータプライバシーに対する取り組みを真剣に行っています。当社は、サイバー脅威からのリスクを管理し、規制上の義務を遵守するために、エンタープライズ全体にわたるサイバーセキュリティおよびデータプライバシープログラムを維持しています。当社のお客様および従業員の個人情報、カスタマーデータ、および社外からのサイバー脅威からのリスクを管理し、規制上の義務を遵守するためのプログラムです。
当社がサイバーセキュリティリスクおよびデータプライバシーの義務の管理に取り組むアプローチには、以下が含まれます:
- 取締役会の監督: 取締役会は、監査および財務委員会を通じて、企業のサイバーセキュリティリスク管理プログラムを監督しています。監査および財務委員会は、ゴーダディの最高情報セキュリティ責任者(CISO)から、企業のサイバーセキュリティプログラムの状態に関する定期的な報告を受け取ります。これらの報告は、少なくとも四半期ごとに取締役会と共有されます。さらに、当社の法務部門と情報セキュリティチームによるプライバシーの実施の監査も行っており、その結果は経営陣に提示され、監査および財務委員会で議論されます。プライバシーやサイバーセキュリティに関する最新情報は、企業のエンタープライズリスク管理の一環として監査および財務委員会の審査の一部にも含まれます。
- サイバーセキュリティリスク管理: 当社の経営陣は、継続的に企業の重要なサイバーセキュリティリスクを識別、評価、管理する責任があります。潜在的なサイバーセキュリティリスクの露出が監視されるようにするためのプロセスを確立し、適切な緩和および是正措置を講じ、当社のサイバーセキュリティプログラムを維持することが求められます。ゴーダディのCISOは、当社のサイバーセキュリティリスクを識別、評価、管理するプログラムの主たる責任者です。CISOは、当社の最高技術責任者に直接報告し、企業のサイバーセキュリティリスクに関連する重要な問題について、定期的に最高経営責任者に報告書や更新情報を提供しています。
- プライバシープログラムの管理: 当社のプライバシーオフィサーがデータプライバシーオフィスとグローバルプライバシープログラムを管理しています。データプライバシーオフィスは、プライバシープログラムの日々の運営、プライバシー影響評価の実施、従業員へのトレーニングの提供、データプロテクション局からの問い合わせへの対応を担当しています。また、当社の法務および情報セキュリティチームをはじめ、その他の人員および部署も、データプライバシーオフィスを支援しています。
サイバーセキュリティ
私たちは、お客様の情報をサイバーセキュリティの脅威から保護することに取り組んでいます。情報セキュリティチームは、サイバーセキュリティの脅威から当社のシステムおよびお客様の情報を保護するために、さまざまなコントロールを使用しています。その取り組みの一部には、以下が含まれます:
- 積極的なモニタリングおよび評価: 当社は、GoDaddyやお客様に影響を及ぼす前に、脅威を特定し、緩和するためのモニタリングおよび検出ツールを使用しています。また、潜在的な脆弱性を特定するため、定期的に環境をスキャンしています。
- 設計段階からセキュリティを考慮: 私たちの開発者は、製品の初期設計段階からセキュリティを考慮するように奨励されています。また、新しいまたは更新されたアプリケーションをローンチする前に、リスクに基づいたプロセスと手順を設計および実装することで、セキュリティレビューを実施するためのリスクに基づいたプロセスと手順を設計および実装しました。
- セキュリティフレームワーク: 当社の一部のビジネスは、ペイメントカード業界のデータセキュリティ基準(PCI-DSS)のような専門フレームワークに準拠する必要があります。お客様またはその他の契約で必要な場合、当社は国際標準化機構(ISO)27001のような他の認定された標準とその実践とコントロールを合わせています。
- インシデント対応: 当社には、ビジネスユニットと他の内部および外部の専門家と協力して、潜在的なサイバーセキュリティインシデントに対応する専門チームがあります。2023年には、サイバーセキュリティの脅威を内部で報告するためのポリシーおよび手順を更新し、私たちの全体的な対応能力を強化しました。
従業員トレーニングと教育
ゴーダディの従業員は、Do The Right Thing(DTRT)コンプライアンストレーニングを通じて、年次データセキュリティおよびプライバシートレーニングを受けます。私たちはまた、従業員に最新のセキュリティ脅威を更新するためのアラートを送信し、特定チームに向けたプライバシートピックの定期的なワークショップを開催しています。
データのプライバシー
私たちはデータプライバシーの義務の管理に前向きなアプローチを取っています。私たちの取り組みの一部には、以下が含まれます:
コアデータプライバシーの実践の確立: 私たちは、当社のウェブサイトを訪問したり、当社のサービスを利用したり、当社とコミュニケーションを取ったり、当社で働く際に、お客様、従業員、および個人データ主体に、プライバシーの好みを管理し、プライバシーの権利を行使することができるようにしています。当社のコアプライバシー実践は、グローバルプライバシー通知および関連するプライバシーポリシーに示されています。私たちは、当社が関わるすべての個人にコアプラクティスを適用しています。
グローバルな規制の遵守: 私たちは、個人データを取り扱う際に一貫性のある原則セットを適用するグローバルプライバシープログラムを維持していますが、ビジネスを行う多くの管轄区域のローカルな要件と制限に注意を払っており、米国、英国、および欧州連合の管轄区域向けの管轄固有のデータプライバシー通知を作成しています。時折、当社はビジネスを行うその他の管轄区域においても、ローカルな要件を満たすためにプライバシー実践を調整しています。また、当社は、当社の従業員および求職者に関する個人データの取り扱いに関連する管轄オプションのプライバシー実践に従っています。
国際データ転送: 2023年、米国とEUは、欧州から米国への個人データの合法的な転送を可能にする新しい枠組みに合意しました(「米国-EUデータプライバシー枠組み」)。ゴーダディは、この枠組みに準拠した認証を取得し、米国と英国の拡張範囲における米国-EUデータプライバシー枠組みに準拠しています。データプライバシー枠組みが英国とEUからの移転に適用されない場合、当社は、標準契約条項を含む認識された他の転送メカニズムを使用しています。
- データ処理契約: 当社は、当社の顧客、従業員、およびその他のデータ主体の個人データを直接取り扱う責任があると同時に、当社の顧客の代理人としても個人データを取り扱っています。この場合、当社はデータプロセッサとして行動し、顧客が個人データを安全にかつ合法的に処理することが最優先の責任です。契約または適用法により必要な場合、当社は、顧客のために個人データを処理する場合の自社の権利と義務を規定するデータ処理付加条項を締結します。
- サービスプロバイダ: 当社がデータコントローラまたはプロセッサとして行動する場合、サービスプロバイダを使用して、サービスを提供したり、ビジネスを行ったりする場合があります。当社がサービスプロバイダまたはその他の代理人に個人情報を提供する場合、これらのサービスプロバイダおよび第三者は、当社の指示および契約上の制限に従って、当社の代理で個人情報を処理する義務があります。
- GDPR独立評価:2023年、TRUSTeは、GoDaddyがEU一般データ保護規則(GDPR)に準拠しているかどうかを独自に評価し、GoDaddyがTRUSTeの40のGDPRプライバシープログラム検証要件を満たすように設計されたプログラムレベルの措置を実施したことを示す証拠やその他のサポートを提供したことを確認しました。
- プライバシーによる設計:私たちのデータプライバシーオフィスは、新しいビジネスプラクティスのプライバシー影響評価(PIA)の実施から、製品開発の最初の段階に参加してプライバシー上の懸念が製品開発中に対処されるようにするまで、日々のプライバシー問題に関してビジネスチームと協働しています。2023年、私たちは、PIAレビューを効率化し、プライバシーレビューをエンジニアリングレビューとより密接に統合するための新しい技術的なソリューションを導入しました。
2024年に向けた抱負
2023年、多くの管轄区域が新しい規則や規制を導入したため、グローバルなプライバシーとサイバーセキュリティの景色には大きな変化があり、来年以降にビジネスに影響を与える可能性があります。新しい人工知能(AI)や機械学習(ML)ツールが導入され、個人情報の処理が新しい方法で行われるようになったことも急速な技術的な変化として見られます。2024年には、私たちは本質的に変化する環境に対応するために、プライバシープログラムとサイバーセキュリティの実践を今後も改善し続けることを目指しています。
詳細については、2023年のサステナビリティレポートをお読みください。
###
このレポートについて
GoDaddy 2023サステナビリティレポートでは、当社の企業サステナビリティ目標、戦略、およびイニシアチブの進捗状況を、我々の企業ミッションとバリューを支援するために、当社のグローバルオペレーション全体でのサステナビリティパフォーマンスに関するものが含まれています。特に明記されていない限り、このレポートは、2023年1月1日から12月31日の会計年度期間をカバーしています。当社のサステナビリティの進捗状況に関する透明性のあるコミュニケーションを示すために、ウェブサイトと年次サステナビリティレポートを通じて定期的にアップデートを共有しています。このレポートに関するご質問、コメント、フィードバックは、ESG@GoDaddy.comまでお問い合わせください。
このレポートは、グローバルレポーティングイニシアティブ(GRI)のスタンダードを参照し、インターネットメディアおよびサービス業セクターの一部のサステナビリティ会計基準ボード(SASB)メトリックスを含みます。また、当社がこれらのフレームワークとどのように一致しているか、および当社のサステナビリティのパフォーマンスを示す主要な指標についての詳細については、フレームワークとメトリックスのセクションをご確認ください。
GoDaddyからの多様なESGストーリーテリングやその他のマルチメディアを3blmedia.comで閲覧する
お問い合わせ先情報:
出典:GoDaddy
出典:GoDaddy