VERTRAUEN UND SICHERHEIT

Im diesem Whitepaper erläutern wir unseren Ansatz hinsichtlich Datenschutz, Sicherheit und Compliance für das Produktportfolio von Sourcepoint. Behandelt werden Einzelheiten zu unseren Datenschutz- und Sicherheitspraktiken, einschließlich unserer organisatorischen und technischen Kontrollmöglichkeiten zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Unternehmens- und Kundendaten.

Ein engagiertes Team

Der Chief Privacy Counsel und der Information Security Director von Sourcepoint verfügen über mehr als 35 Jahre Berufserfahrung und setzen sich dafür ein, dass bei Sourcepoint eine Kultur des Datenschutzes und der Sicherheit gepflegt wird, die über die bloße Einhaltung von Vorschriften hinausgeht.

Schulung und Sensibilisierung

Das Bewusstsein für Sicherheit und Datenschutz wird mindestens einmal pro Kalenderjahr im Rahmen einer Schulung geschärft. Die Mitarbeiter von Sourcepoint nehmen während der Einarbeitung und anschließend vierteljährlich an entsprechenden Schulungen teil. Darüber hinaus werden spezielle, rollenbasierte Schulungen für zentrale Beteiligte angeboten, insbesondere für Softwareentwickler und leitende Angestellte.

Schwachstellen- und Patch-Management

Das Schwachstellen- und Patch-Management-Programm von Sourcepoint besteht aus jährlichen Penetrationstests, die von unabhängigen Dritten durchgeführt werden, einer Überprüfung auf Netzwerk- und Anwendungsschwachstellen sowie monatlichen Patches für Schwachstellen mit hohem und kritischem Schweregrad.

Malware-Prävention

Die Endgeräte der Benutzer sind so konfiguriert, dass sie vom Unternehmen genehmigte Anti-Malware-Lösungen nutzen, die regelmäßig aktualisiert werden.

Protokollierung und Überwachung

Sofern die Einhaltung gesetzlicher Vorschriften nichts anderes vorsieht, werden Protokolle von Produktionssystemen mindestens 90 Tage lang aufbewahrt. Die Protokolle sind vor unbefugtem Zugriff, Veränderung oder Zerstörung geschützt. Die Protokolle werden regelmäßig überprüft und so konfiguriert, dass sie Warnmeldungen generieren, wenn sofortige Maßnahmen erforderlich sind.

Umgang mit Vorfällen

Sourcepoint verfügt über ein schriftlich festgehaltenes Programm zur Reaktion auf Zwischenfälle, das mindestens eine jährliche Schulung aller Mitarbeiter zu ihren Pflichten hinsichtlich der Meldung von Sicherheitsmängeln und Schwachstellen umfasst. Der Prozess umfasst einen Leitfaden zu den Benachrichtigungsanforderungen von Kunden, der alle gesetzlichen Anforderungen erfüllt oder übertrifft.

Zugriffskontrolle

Die Prinzipien der minimal erforderlichen Zugriffsrechte und des „Need to know“-Zugriffs bilden die Grundlage der Zugriffskontrollverfahren bei Sourcepoint. Durch eine strenge Authentifizierung, einschließlich Multi-Faktor-Authentifizierung, Erkennung kompromittierter Kennwörter und vierteljährlichen Zugriffsüberprüfungen, wird die Wahrscheinlichkeit eines unbefugten Zugriffs auf geschützte Ressourcen minimiert.

Risikomanagement bezüglich Dritter

Vertriebs- und Zulieferungspartner von Sourcepoint werden gemäß den Sicherheits- und Datenschutzstandards von Sourcepoint bewertet, wobei stets die Anwendungsfälle und die Daten berücksichtigt werden, auf die zugegriffen wird bzw. die verarbeitet werden. Sourcepoint arbeitet nur mit Vertriebs- und Zulieferungspartnern zusammen, die diese Standards erfüllen können.

Softwareentwicklung

Sourcepoint arbeitet mit einer agilen Softwareentwicklungsmethodik, die die Phasen Design, Entwicklung, Qualitätssicherung und Bereitstellung umfasst. Der gesamte Anwendungscode wird von Fachkollegen auf Qualität und Sicherheit geprüft. Web-Anwendungen werden nach bewährten Verfahren zur sicheren Programmierung entwickelt, u. a. zur Vermeidung der laut OWASP zehn größten Risiken für die Anwendungssicherheit. Produktions- und Nichtproduktionsumgebungen sind logisch und/oder physisch voneinander getrennt.

Änderungsmanagement

Sämtliche System-, Anwendungs- und Netzwerkänderungen bei Sourcepoint unterliegen der Überprüfung und Genehmigung durch das Änderungsmanagement. Alle Änderungen werden auf ihren Nutzen bzw. ihre Auswirkung auf das Unternehmen und ihr potenzielles Risiko hin bewertet.

Backups und Geschäftskontinuität

Mindestens einmal pro Tag wird ein vollständiges Backup der Datenbanken durchgeführt. Die Backups werden verschlüsselt gespeichert und nicht länger als dreizehn Monate aufbewahrt.  Die Geschäftskontinuitätspläne werden mindestens einmal jährlich überprüft und auf die Probe gestellt. Produktionsumgebungen werden oft in mehreren Verfügbarkeitszonen gehostet, um die Kontinuität der Dienste zu gewährleisten, falls eine Zone oder ein Rechenzentrum nicht mehr verfügbar ist.

Testate durch Dritte

Als Teil der kontinuierlichen Verpflichtung, Kunden mit einem Höchstmaß an Informationssicherheit und Datenschutzmanagement zu unterstützen, unterhält Sourcepoint Zertifizierungen nach den Standards ISO/IEC 27001 und 27701, auf die das Unternehmen jährlich geprüft wird.

Datenminimierung/-aufbewahrung

Sourcepoint ist bestrebt, die Erfassung und Aufbewahrung personenbezogener Daten auf das erforderliche Minimum zu beschränken. Bei Sourcepoint werden Anonymisierungs- und De-Identifizierungsverfahren eingesetzt, um das Risiko einer unbefugten oder unbeabsichtigten Offenlegung zu verringern. Personenbezogene Daten werden nur so lange aufbewahrt, wie es erforderlich ist und wie es die geltenden Vorschriften vorsehen.

Die Rolle von Sourcepoint als Datenverarbeiter

Sourcepoint verarbeitet in seiner Rolle als Datenimporteur und -verarbeiter IP-Adressen, um den Standort der Website-Nutzer unserer Kunden zu bestimmen. Die Verarbeitung der Standortinformationen von Nutzern der Kunden-Website dient ausschließlich dem Zweck, geografisch spezifische Nachrichten anzeigen zu können. Nutzern von Kunden-Websites wird eine zufällig generierte UUID zugewiesen, die nur zum Zweck der Zuordnung von Einwilligungsentscheidungen verwendet wird.

Kontakt

Anfragen bezüglich der Sicherheit richten Sie bitte an informationsecurity@sourcepoint.com. Anfragen zum Datenschutz richten Sie bitte an privacy@sourcepoint.com.