我们的数据安全实践符合萨班斯-奥克斯利法案， 欧盟通用数据保护条例（GDPR） 以及 Greif 的内部政策，包括 记录管理和保留政策, 数据隐私政策、信息安全政策以及 IT 采购和支出政策。安全是整个组织的共同责任，由首席技术官 (CTO) 领导，尤其是网络安全，由首席信息和数字官负责。Greif 的 CTO 定期向董事会和审计委员会提供与安全相关的更新。Greif 高管还通过与 Greif 企业风险管理团队和董事会每季度共享的网络安全仪表板接收更新。仪表板使用 国家标准与技术研究所网络安全框架 作为参考。Greif 的信息技术团队还在整体数据安全方面发挥着作用，每年对 IT 控制流程进行审计，每月进行网络钓鱼模拟和意识文章，从 2021 年的每季度开始增加。

如果 Greif 成为网络安全漏洞的受害者，我们会制定网络事件和响应计划以及 IT 服务全球业务连续性计划，该计划概述了我们快速响应和减轻事件影响的步骤。Greif 的道德热线可供所有同事处理可疑数据泄露，并且所有可以访问电子邮件的同事都可以使用自动网络钓鱼报告选项。我们与行业和地区协会和财团合作，支持事件响应、业务连续性和网络安全最佳实践的知识共享。

培训是 Greif 网络安全计划的重要组成部分。网络安全和意识培训有助于提高同事识别和应对潜在威胁的能力，并最大限度地降低数字和物理空间的风险。我们为同事提供网络钓鱼攻击、网络安全卫生和一般互联网安全等主题的培训。完成培训后，所有同事必须进行季度检查，确保保留和实践知识。所有可以使用计算机的同事（包括我们的执行领导团队）都必须参加此培训。我们的同事还会收到每季度的新闻通讯，以促进网络安全意识，每周收到安全提示，主题包括从密码安全到避免网络钓鱼诈骗，以及通过 Greif 大学与外部安全演讲者的联系。他们还参加我们每年 10 月的年度网络安全月宣传活动。Greif 与第三方合作伙伴合作实施这些培训计划，Greif 的整体网络钓鱼倾向得分比我们行业大型制造商的平均水平高出 11%。

网络安全、人力资源和法律部门的成员每月都会开会讨论如何遵守当前和新兴的数据安全和隐私法规。我们会监控监管变化以及确保合规所需的行动。为了保护客户数据，我们遵循“需要知道”的模型来限制有权访问安全信息的人数，无论是内部还是外部。此外，为了确保机密数据的妥善管理，我们通过协议和合同条款获得同意，并遵守所有相关法规。我们实施软件解决方案来保护和加密我们的端点，以限制我们暴露于潜在数据泄露的风险，并继续教育同事了解我们的记录管理和保留以及数据隐私政策。为了进一步遵守 GDPR，我们为欧洲、中东和非洲的同事进行了 GDPR 培训。此外，我们会定期与经过验证的服务提供商一起安全地销毁包含机密信息的硬件和硬拷贝。

我们通过安装标签阅读器和 PIN 码锁来保障设施的物理访问，并且我们要求从设施提货的每批货物都提供提货单。此外，整个供应链都使用防篡改外壳，让客户确信他们的产品受到保护且安全。