Digitsole-Compliance-Zentrum

Technische und organisatorische Massnahmen

Dieses Dokument beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen und Kontrollen, die von Digitsole implementiert wurden, um persönliche Daten zu schützen und die kontinuierliche Vertraulichkeit, Integrität und Verfügbarkeit der Produkte und Dienste von Digitsole zu gewährleisten.

Dieses Dokument gibt einen Überblick über die technischen und organisatorischen Sicherheitsmaßnahmen von Digitsole auf hohem Niveau. Weitere Einzelheiten zu den von uns implementierten Maßnahmen sind auf Anfrage erhältlich. Digitsole behält sich das Recht vor, diese technischen und organisatorischen Maßnahmen jederzeit und ohne Vorankündigung zu überarbeiten, solange diese Überarbeitungen den Schutz der persönlichen Daten, die Digitsole bei der Bereitstellung seiner verschiedenen Dienste verarbeitet, nicht wesentlich verringern oder abschwächen. In dem unwahrscheinlichen Fall, dass Digitsole seine Sicherheit wesentlich verringert, wird Digitsole seine Kunden davon in Kenntnis setzen.

Digitsole ergreift die folgenden technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz persönlicher Daten:

1. Organisatorisches Management und engagierte Mitarbeiter, die für die Entwicklung, Implementierung und Wartung des Informationssicherheitsprogramms von Digitsole verantwortlich sind.

2. Audit- und Risikobewertungsverfahren zum Zwecke der periodischen Überprüfung und Bewertung von Risiken für die Digitsole-Organisation, der Überwachung und Aufrechterhaltung der Einhaltung der Digitsole-Richtlinien und -Verfahren sowie der Berichterstattung über den Zustand der Informationssicherheit und der Einhaltung an die interne Geschäftsleitung.

3. Aufrechterhaltung der Informationssicherheitsrichtlinien und Gewährleistung, dass die Richtlinien und Maßnahmen regelmäßig überprüft und gegebenenfalls verbessert werden.

4. Bei der Kommunikation mit Digitsole-Anwendungen werden kryptografische Protokolle wie TLS zum Schutz von Informationen bei der Übertragung über öffentliche Netzwerke verwendet. Am Netzwerkrand werden Stateful-Firewalls, Webanwendungs-Firewalls und DDoS-Schutz zur Filterung von Angriffen verwendet. Innerhalb des internen Netzwerks folgen die Anwendungen einem mehrschichtigen Modell, das die Möglichkeit bietet, Sicherheitskontrollen zwischen den einzelnen Schichten anzuwenden.

5. Datensicherheitskontrollen, die eine logische Trennung der Daten, eingeschränkten (z.B. rollenbasierten) Zugriff und Überwachung sowie gegebenenfalls die Verwendung kommerziell verfügbarer und dem Industriestandard entsprechender Verschlüsselungstechnologien umfassen.

6. Logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen auf der Grundlage von Autoritätsebenen und Arbeitsfunktionen (z.B. Gewährung des Zugriffs auf der Grundlage des erforderlichen Wissens und der geringsten Privilegien, Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und sofortiger Widerruf/Änderung des Zugriffs bei Beendigung des Arbeitsverhältnisses oder bei Änderungen der Arbeitsfunktionen).

7. Passwortkontrollen zur Verwaltung und Kontrolle der Stärke und Verwendung von Passwörtern, einschließlich des Verbots der Weitergabe von Passwörtern durch Benutzer.

8. Systemaudit oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung von Benutzerzugriffen und Systemaktivitäten zur routinemäßigen Überprüfung.

9. Physische und umgebungsbedingte Sicherheit des Datenzentrums, der Serverraumeinrichtungen und anderer Bereiche, die vertrauliche Informationen des Kunden enthalten: (i) Informationswerte vor unberechtigtem physischen Zugriff zu schützen, (ii) die Bewegungen von Personen in und aus den Digitsole-Einrichtungen zu verwalten, zu überwachen und zu protokollieren und (iii) vor Umweltgefahren wie Hitze, Feuer und Wasserschäden zu schützen.

10. Betriebsverfahren und -kontrollen, um die Konfiguration, Überwachung und Wartung von Technologie und Informationssystemen gemäß den vorgeschriebenen internen und angenommenen Industriestandards zu gewährleisten, einschließlich der sicheren Entsorgung von Systemen und Medien, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder Freigabe aus dem Besitz von Digitsole als nicht entzifferbar oder nicht wiederherstellbar zu machen.

11. Änderungsmanagementverfahren und Nachverfolgungsmechanismen zur Prüfung, Genehmigung und Überwachung aller Änderungen an der Digitsole-Technologie und den Informationsbeständen.

12. Vorfall-/Problemmanagementverfahren, die so gestaltet sind, dass Digitsole Ereignisse im Zusammenhang mit der Digitsole-Technologie und den Informationsbeständen untersuchen, darauf reagieren, sie mildern und melden kann.

13. Netzwerksicherheitskontrollen, die den Einsatz von Unternehmensfirewalls und mehrschichtigen DMZ-Architekturen sowie Einbruchserkennungssysteme und andere Verfahren zur Verkehrs- und Ereigniskorrelation vorsehen, die Systeme vor Eindringlingen schützen und den Umfang eines erfolgreichen Angriffs begrenzen sollen.

14. Technologien zur Schwachstellenbewertung, zum Patch-Management und zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die dazu dienen, identifizierte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu identifizieren, zu bewerten, abzuschwächen und vor ihnen zu schützen.

15. Gegebenenfalls Verfahren zur Wiederherstellung der Betriebsfähigkeit/Kontinuität und zur Wiederherstellung im Katastrophenfall, um den Dienst und/oder die Wiederherstellung nach vorhersehbaren Notfallsituationen oder Katastrophen aufrechtzuerhalten.

Zuletzt aktualisiert am 8. Oktober 2020