Wir haben ein Informations-Sicherheitsprogramm implementiert, das in der gesamten Organisation kommuniziert wird. Unser Informations-Sicherheitsprogramm folgt den Kriterien des SOC 2 Frameworks. SOC 2 ist ein weit verbreitetes Verfahren zur Prüfung der Informationssicherheit, das vom American Institute of Certified Public Accountants erstellt wurde.

Unsere Organisation unterzieht sich unabhängigen Drittbewertungen, um unsere Sicherheits- und Compliance-Steuerungen zu testen.

Wir führen mindestens einmal im Jahr einen unabhängigen Drittanbieter-Penetrationstest durch, um sicherzustellen, dass die Sicherheitslage unserer Dienste nicht kompromittiert ist.

Rollen und Verantwortlichkeiten im Zusammenhang mit unserem Informations-Sicherheitsprogramm und dem Schutz der Daten unserer Kunden sind klar definiert und dokumentiert. Unsere Teammitglieder müssen alle Sicherheitsrichtlinien überprüfen und akzeptieren.

Unsere Teammitglieder müssen Sicherheitsschulungen für Mitarbeiter durchlaufen, die branchenübliche Praktiken und Themen zur Informationssicherheit wie Phishing und Passwortverwaltung abdecken.

Alle Teammitglieder müssen vor ihrem ersten Arbeitstag eine branchenübliche Vertraulichkeitsvereinbarung unterzeichnen und einhalten.

Wir führen Hintergrundüberprüfungen bei allen neuen Teammitgliedern gemäß den örtlichen Gesetzen durch.

Alle unsere Dienste und Datenspeicher werden über Google Cloud Platform (GCP) und MUX gehostet. Beide verfügen über ein robustes Sicherheitsprogramm mit mehreren Zertifizierungen. Für weitere Informationen zu den Sicherheitsprozessen unserer Anbieter besuchen Sie bitte GCP Security und MUX

Alle unsere Daten werden in GCP- und MUX-Datenbanken gehostet. Diese Datenbanken befinden sich alle in den Vereinigten Staaten. Bitte beachten Sie die oben verlinkte spezifische Dokumentation der Anbieter für weitere Informationen.

Alle Datenbanken sind im Ruhezustand verschlüsselt.

Unsere Anwendungen verschlüsseln nur während der Übertragung mit TLS/SSL.

Wir überwachen und protokollieren aktiv verschiedene Cloud-Dienste.

Wir nutzen die Backup-Services unseres Datenspeicheranbieters, um das Risiko eines Datenverlusts im Falle eines Hardwareausfalls zu minimieren. Wir nutzen Überwachungsdienste, um das Team bei Ausfällen zu alarmieren, die Benutzer beeinträchtigen.

Wir haben einen Prozess zur Behandlung von Informationssicherheitsvorfällen, der Eskalationsverfahren, schnelle Minderungsmaßnahmen und Kommunikation umfasst.

Wir verwenden KI-Systeme, die Daten für die Analyse benötigen, aber alle Daten-Trainingsberechtigungen für diese Daten deaktivieren. Wir konfigurieren alle Datenschutzeinstellungen zum Schutz der Kundendaten. Für weitere Details siehe bitte die folgenden Anbieter-Richtlinien: OpenAI Enterprise, OpenAI Trust und VertexAI

Wir nutzen ein Virtual Private Cloud (VPC) für alle von uns verwalteten Dienste und Daten und isolieren sie von anderen Benutzern unseres Cloud-Anbieters und vom Internet als Ganzes.

Innerhalb unseres VPC sind wir als gemeinsame Multi-Tenant-Umgebung konzipiert. Die Daten mehrerer Kunden können in einer einzigen Datenbank oder einem Cloud-Speicherkonto kombiniert und auf einem gemeinsamen Rechenressourcen verarbeitet werden.

Für den Zugriff der Kunden über unsere Anwendung stellt die Datenzugriffsarchitektur unseres Dienstes sicher, dass Daten, die außerhalb unseres VPC übertragen werden, nur auf diejenigen beschränkt sind, auf die der authentifizierte Benutzer basierend auf den vom Kunden gewährten RBAC-Rollen zugreifen darf.

Der Zugriff auf Cloud-Infrastrukturen und andere sensible Tools ist auf autorisierte Mitarbeiter beschränkt, die ihn für ihre Rolle benötigen.

Wo verfügbar, verwenden wir die Zwei-Faktor-Authentifizierung (2FA) und strenge Passwortrichtlinien, um sicherzustellen, dass der Zugriff auf Cloud-Dienste geschützt ist.

Wir folgen dem Prinzip des minimalen Rechtszugriffs in Bezug auf Identitäts- und Zugriffsverwaltung.

Wir führen quartalsweise Zugriffsüberprüfungen aller Teammitglieder mit Zugriff auf sensible Systeme durch.

Alle Teammitglieder müssen eine Mindestanzahl von Passwortanforderungen und Komplexität für den Zugriff einhalten.

Alle firmenintern ausgegebenen Laptops verwenden einen Passwort-Manager, damit Teammitglieder Passwörter verwalten und die Passwortkomplexität aufrechterhalten können.

Wir unterziehen uns mindestens jährlichen Risikobewertungen, um potenzielle Bedrohungen zu identifizieren, einschließlich Überlegungen zu Betrug.

Das Anbieter-Risiko wird festgelegt und die entsprechenden Anbieterüberprüfungen werden durchgeführt, bevor einem neuen Anbieter die Autorisierung erteilt wird.