Organisationssicherheit
Informations-Sicherheitsprogramm
Wir haben ein Informations-Sicherheitsprogramm implementiert, das in der gesamten Organisation kommuniziert wird. Unser Informations-Sicherheitsprogramm folgt den Kriterien des SOC 2 Frameworks. SOC 2 ist ein weit verbreitetes Verfahren zur Prüfung der Informationssicherheit, das vom American Institute of Certified Public Accountants erstellt wurde.
Dritte Audits
Unsere Organisation unterzieht sich unabhängigen Drittbewertungen, um unsere Sicherheits- und Compliance-Steuerungen zu testen.
Dritte Penetrationstests
Wir führen mindestens einmal im Jahr einen unabhängigen Drittanbieter-Penetrationstest durch, um sicherzustellen, dass die Sicherheitslage unserer Dienste nicht kompromittiert ist.
Rollen und Verantwortlichkeiten
Rollen und Verantwortlichkeiten im Zusammenhang mit unserem Informations-Sicherheitsprogramm und dem Schutz der Daten unserer Kunden sind klar definiert und dokumentiert. Unsere Teammitglieder müssen alle Sicherheitsrichtlinien überprüfen und akzeptieren.
Sicherheitsschulungen
Unsere Teammitglieder müssen Sicherheitsschulungen für Mitarbeiter durchlaufen, die branchenübliche Praktiken und Themen zur Informationssicherheit wie Phishing und Passwortverwaltung abdecken.
Vertraulichkeit
Alle Teammitglieder müssen vor ihrem ersten Arbeitstag eine branchenübliche Vertraulichkeitsvereinbarung unterzeichnen und einhalten.
Hintergrundüberprüfungen
Wir führen Hintergrundüberprüfungen bei allen neuen Teammitgliedern gemäß den örtlichen Gesetzen durch.
Cloud-Sicherheit
Cloud-Infrastruktursicherheit
Alle unsere Dienste und Datenspeicher werden über Google Cloud Platform (GCP) und MUX gehostet. Beide verfügen über ein robustes Sicherheitsprogramm mit mehreren Zertifizierungen. Für weitere Informationen zu den Sicherheitsprozessen unserer Anbieter besuchen Sie bitte GCP Security und MUX
Datenspeichersicherheit
Alle unsere Daten werden in GCP- und MUX-Datenbanken gehostet. Diese Datenbanken befinden sich alle in den Vereinigten Staaten. Bitte beachten Sie die oben verlinkte spezifische Dokumentation der Anbieter für weitere Informationen.
Verschlüsselung im Ruhezustand
Alle Datenbanken sind im Ruhezustand verschlüsselt.
Verschlüsselung während der Übertragung
Unsere Anwendungen verschlüsseln nur während der Übertragung mit TLS/SSL.
Protokollierung und Überwachung
Wir überwachen und protokollieren aktiv verschiedene Cloud-Dienste.
Geschäftskontinuität und Notfallwiederherstellung
Wir nutzen die Backup-Services unseres Datenspeicheranbieters, um das Risiko eines Datenverlusts im Falle eines Hardwareausfalls zu minimieren. Wir nutzen Überwachungsdienste, um das Team bei Ausfällen zu alarmieren, die Benutzer beeinträchtigen.
Vorfallreaktion
Wir haben einen Prozess zur Behandlung von Informationssicherheitsvorfällen, der Eskalationsverfahren, schnelle Minderungsmaßnahmen und Kommunikation umfasst.
KI
Wir verwenden KI-Systeme, die Daten für die Analyse benötigen, aber alle Daten-Trainingsberechtigungen für diese Daten deaktivieren. Wir konfigurieren alle Datenschutzeinstellungen zum Schutz der Kundendaten. Für weitere Details siehe bitte die folgenden Anbieter-Richtlinien: OpenAI Enterprise, OpenAI Trust und VertexAI
Datenisolierung
Wir nutzen ein Virtual Private Cloud (VPC) für alle von uns verwalteten Dienste und Daten und isolieren sie von anderen Benutzern unseres Cloud-Anbieters und vom Internet als Ganzes.
Innerhalb unseres VPC sind wir als gemeinsame Multi-Tenant-Umgebung konzipiert. Die Daten mehrerer Kunden können in einer einzigen Datenbank oder einem Cloud-Speicherkonto kombiniert und auf einem gemeinsamen Rechenressourcen verarbeitet werden.
Für den Zugriff der Kunden über unsere Anwendung stellt die Datenzugriffsarchitektur unseres Dienstes sicher, dass Daten, die außerhalb unseres VPC übertragen werden, nur auf diejenigen beschränkt sind, auf die der authentifizierte Benutzer basierend auf den vom Kunden gewährten RBAC-Rollen zugreifen darf.
Zugriffssicherheit
Berechtigungen und Authentifizierung
Der Zugriff auf Cloud-Infrastrukturen und andere sensible Tools ist auf autorisierte Mitarbeiter beschränkt, die ihn für ihre Rolle benötigen.
Wo verfügbar, verwenden wir die Zwei-Faktor-Authentifizierung (2FA) und strenge Passwortrichtlinien, um sicherzustellen, dass der Zugriff auf Cloud-Dienste geschützt ist.
Prinzip des minimalen Rechtszugriffs
Wir folgen dem Prinzip des minimalen Rechtszugriffs in Bezug auf Identitäts- und Zugriffsverwaltung.
Quartalsweise Zugriffsüberprüfungen
Wir führen quartalsweise Zugriffsüberprüfungen aller Teammitglieder mit Zugriff auf sensible Systeme durch.
Passwortanforderungen
Alle Teammitglieder müssen eine Mindestanzahl von Passwortanforderungen und Komplexität für den Zugriff einhalten.
Passwort-Manager
Alle firmenintern ausgegebenen Laptops verwenden einen Passwort-Manager, damit Teammitglieder Passwörter verwalten und die Passwortkomplexität aufrechterhalten können.
Anbieter- und Risikomanagement
Jährliche Risikobewertungen
Wir unterziehen uns mindestens jährlichen Risikobewertungen, um potenzielle Bedrohungen zu identifizieren, einschließlich Überlegungen zu Betrug.
Anbieter-Risikomanagement
Das Anbieter-Risiko wird festgelegt und die entsprechenden Anbieterüberprüfungen werden durchgeführt, bevor einem neuen Anbieter die Autorisierung erteilt wird.
Kontaktieren Sie uns
Wenn Sie Fragen, Kommentare oder Bedenken haben oder wenn Sie einen möglichen Sicherheitsvorfall melden möchten, wenden Sie sich bitte an [email protected]