Skip to Content

Corporate Anti‑Phishing and Communication Security Policy

Objective 

To establish the controls, processes, and responsibilities to preventdetect, and respond effectively to impersonation attempts (phishing, smishing, vishing, BEC) targeting Markdebrand LLC, including the Prisma Hexagon site and services, its employees, partners, and clients. This policy aligns with NIST SP 800‑61 Rev. 3 and cybersecurity best practices. 

Scope 

Applies to all staff, contractors, and third parties with access to Markdebrand LLC systems or information. Covers all corporate channels (email, messaging, social media, phone) and digital assets (including Prisma Hexagon). 

1. CORE PRINCIPLES 

  • ZERO TOLERANCE: Impersonation of the company or its contacts is strictly prohibited. 

  • ALWAYS VERIFY: Any atypical request (urgent payment changes, credential sharing, unexpected attachments) must be confirmed via a separate, verified channel. 

  • SHARED RESPONSIBILITY: Security is an obligation for everyone in the organization. 

 

2. MANDATORY TECHNICAL CONTROLS 

  • Email authentication: All corporate domains must implement SPF, DKIM (2048‑bit keys), and DMARC with p=reject/quarantine at 100%. Evaluate BIMI. 

  • Multi‑factor authentication (MFA): Phishing‑resistant MFA (e.g., FIDO2/WebAuthn) is mandatory for email, ERP/CRM (Odoo)e‑commerce admin, and payment gateway access. 

  • Web & content protection: Advanced URL and attachment filtering, clear [EXTERNAL] email tagging, and remote browser isolation for high‑risk links where applicable. 

  • E‑commerce security: Maintain a controlled inventory of third‑party scripts on websites, in compliance with PCI DSS 4.0 requirements 6.4.3 and 11.6.1. 

  • Access management: Least privilege enforced with quarterly access reviews across all platforms. 

 

3. AWARENESS & TRAINING 

Continuous program including onboarding, mandatory annual training, monthly nudges, and quarterly role‑based phishing simulations (e.g., supplier fraud for Finance). 

Learning metrics: click‑through rates, reporting rates, and average response time. 

 

4. INCIDENT RESPONSE (PLAYBOOK) 

  • Report: Use the “Report Phishing” button or forward as attachment to legal@markdebrand.com. For critical confirmations, use a verified alternate channel (known phone number). 

  • Contain: Security will isolate mailboxes/endpoints, revoke active sessions, and block malicious domains/URLs in email and DNS filters. 

  • Eradicate & recover: Reset compromised credentials, rotate DKIM keys if needed, purge malicious messages from mailboxes, and perform endpoint security hygiene. 

  • Learn: Conduct post‑mortems to tune technical rules, update training, and improve processes. 

 

5. METRICS & COMPLIANCE 

  • Key KPIs: % of authenticated email, MFA adoption, phishing report rate, and MTTR (mean time to contain). 

  • Review: Policy and effectiveness reviewed semi‑annually as part of the ISO 27001:2022‑based ISMS. 

Data Protection and Privacy Policy 

Compliance framework & roles 

Markdebrand LLC acts as the Data Controller for personal data of clients, prospects, and employees for Prisma Hexagon and related assets. Our providers are Data Processors. Relationships are governed by Data Processing Agreements (DPAs) per GDPR Article 28, ensuring confidentiality, security, and processing under instruction. 

Guiding principles 

We process personal data in line with lawfulness, fairness & transparency; purpose limitation; data minimization; accuracy; storage limitation; integrity & confidentiality; and accountability

Data security & retention 

  • Security: Data protection is embedded in our ISO 27001:2022‑aligned ISMS, with physical, technical, and organizational controls. 

  • Retention: Personal data is retained only as necessary, per a documented retention schedule by data category (e.g., customers, billing, support). 

  • Payments: Full compliance with PCI DSS 4.0. We do not store complete card numbers (PAN). The Cardholder Data Environment (CDE) is segmented and encrypted