我们的数据安全实践符合萨班斯-奥克斯利法案， 欧盟通用数据保护条例 （GDPR）以及 Greif 的 记录管理和保留政策。 Greif 的信息技术团队由我们的全球 IT 安全经理领导，负责管理数据安全，包括 IT 控制流程的年度审计、数据权限的季度审查以及网络钓鱼模拟。我们安全运营的核心是培训。所有有权使用计算机的同事都必须完成季度网络安全培训，接收季度简报以提升网络安全意识，并每周接收安全提示，涵盖从密码安全到避免网络钓鱼诈骗等各种主题，并参加我们每年十月的年度网络安全月活动。Greif 高管通过网络安全仪表板接收最新信息，该仪表板每季度与 Greif 的企业风险管理团队和董事会共享。该仪表板目前使用以下方式跟踪我们的绩效： 美国国家标准与技术研究院 NSF 成熟度指数评分如果Greif遭遇网络安全漏洞，我们会制定IT服务网络事件及响应计划和IT服务全球业务连续性计划，其中概述了我们快速响应并减轻事件影响的步骤。Greif在2020年未收到任何关于侵犯客户隐私的经证实的投诉，也未发现任何客户数据泄露、盗窃或丢失的情况。

为了管理我们建筑物的物理安全，Greif 在我们的设施中安装了标签读取器和 PIN 码锁。我们要求从我们的设施提货的每批货物都提供提货单。Greif 通过提供防篡改封盖来支持整个供应链的产品安全。

自2018年以来，我们一直致力于落实与第三方合作伙伴合作开展的网络安全成熟度评估的结果。我们推出了年度在线网络安全意识培训，旨在帮助员工提高识别和应对潜在威胁的能力，并最大限度地降低数字和物理空间的风险。培训结束后，每位员工必须完成季度考核，确保知识得到保留并付诸实践。所有能够使用电脑的同事，包括我们的执行领导团队，都必须参加这项培训。为了进一步遵守GDPR，我们已为欧洲、中东和非洲地区的同事开展了GDPR培训，并开始建立正式的数据分类框架。该框架将帮助我们更好地理解并最终管理我们存储的个人信息。

格瑞夫的网络安全和法务部门成员每月都会开会讨论如何遵守现行和新兴的数据安全和数据隐私法规。我们会密切关注法规变化以及确保合规所需的行动。

2019年，我们制定了一项为期三年的网络安全战略，并于2020年开始实施。作为该战略的一部分，我们已对Greif暴露的应用程序实施了单点登录 (SSO) 和多因素身份验证 (MFA)。我们还部署了包含端点检测和响应服务的下一代防病毒解决方案。现在，我们的员工能够根据我们新的数据分类框架，自行标记其信息和电子邮件，并进行适当的数据分类。2021年，我们将继续发展网络安全战略，重点关注工业物联网、第三方风险管理以及提升我们的事件响应能力。