Das Unternehmen ist nach ISO 27001:2022 zertifiziert.

Das Unternehmen hat einen Informationssicherheitsmanager ernannt, der direkt an einen leitenden Angestellten des Unternehmens berichtet.

Eine Reihe von Informationssicherheitsrichtlinien und -standards werden dokumentiert, genehmigt und regelmäßig gepflegt.

Das Unternehmen hat eine Cyber-Versicherung.

Ein Incident Response Tarif wird dokumentiert und routinemäßig getestet, um eine effektive Reaktion und kürzeste Wiederherstellung im Falle eines Sicherheitsvorfalls zu gewährleisten.

Alle Mitarbeiter des Unternehmens werden routinemäßig zum Sicherheitsbewusstsein geschult.

Hintergrundüberprüfungen für neue Mitarbeiter werden eingesetzt, wenn dies nach lokalem Recht zulässig ist.

Die Mitarbeiter des Unternehmens verpflichten sich zur Einhaltung der Grundsätze des Datenschutzes und der Informationssicherheit.

Mitarbeiter, die Zugang zu personenbezogenen Daten haben, unterliegen der Vertraulichkeit auf der Grundlage von Geheimhaltungsvereinbarungen (NDA) oder gleichwertigen Klauseln.

Bei Kündigung werden die Zugriffsrechte der Mitarbeiter widerrufen und an ihre Sicherheitspflichten erinnert.

Das Unternehmen setzt sicherheitsbezogene Ziele als Unternehmensziele und handelt, um das Bewusstsein für Fragen der Informationssicherheit und des Datenschutzes zu schärfen.

Für alle Mitarbeiter werden regelmäßig Sicherheits- und Datenschutzschulungen und Sensibilisierungssitzungen durchgeführt.

Die Cloud-Umgebung des Unternehmens wird von AWS gehostet und unterstützt. Weitere Informationen zur physischen Sicherheit finden Sie unter AWS-Sicherheitskontrollen.

Daten im Ruhezustand und während der Übertragung werden mit branchenüblichen Verschlüsselungsalgorithmen verschlüsselt.

Verwendung von Firewalls (sowohl Netzwerk als auch Anwendung) und Authentifizierungssystemen.

Der administrative Zugriff auf die Cloud-Infrastruktur ist mit starken Passwörtern + aktivierter 2FA und Fernzugriff über VPN und SSH-Tunneling gesichert.

Vollständige Trennung von Produktionsnetzwerk- und Cloud-Assets (VPC) von Test- und Entwicklungsumgebungen.

Die Verwendung von Intrusion Detection-Systemen, sowohl netzwerkbasiert (NIDS) als auch hostbasiert (HIDS).

Die gesamte ausgehende TCP-Kommunikation ist TLS-verschlüsselt.

Personenbezogene Daten, die vom Unternehmen stores und verarbeitet werden, werden gemäß den besten Geschäftspraktiken geeigneter Unternehmen in ähnlichen Branchen gesichert.

Der Zugriff auf personenbezogene Daten des Kunden ist auf das Need-to-know-Prinzip beschränkt.

Sichere Passwörter werden erzwungen, stores Passwörter vollständig gehasht und verschlüsselt werden.

Anonymisierung/Pseudonymisierung personenbezogener und/oder sensibler Daten, sofern dies in Übereinstimmung mit technischen oder geschäftlichen Erfordernissen zur Erbringung der Dienstleistung und/oder zur Einhaltung des Gesetzes erforderlich ist.

Das Unternehmen wird die personenbezogenen Daten und/oder Geschäftsdaten der Benutzer nicht zur Verfügung stellen, es sei denn, die Identität des Kontoinhabers wird ordnungsgemäß überprüft.

Kundendaten werden nur so lange stores , wie das Unternehmen und der Kunde eine aktive Vereinbarung getroffen haben und solange sie den Zwecken dienen, für die die Daten erhoben wurden.

Gesichertes Verfahren zur Löschung personenbezogener Daten bis zum Ende der Aufbewahrungsfrist und/oder auf Abruf.

Unterauftragsverarbeiter werden einer Überprüfung der Informationssicherheit und des Datenschutzes des Anbieters unterzogen, die auf der Sensibilität der Daten und/oder der personenbezogenen Daten, auf die sie zugreifen, basiert, und sind verpflichtet, die Sicherheitsanforderungen des Anbieters zu erfüllen.

Firmenlaptops sind mit Anti-Malware- und Antiviren-Software ausgestattet.

Firmenlaptops sind mit einer Verwaltungslösung ausgestattet, die die Sicherheitsrichtlinien des Unternehmens für Laptops durchsetzt.

Regelmäßige Schwachstellenscans von Open-Source-Paketen (SCA), Code (SAST), Webanwendungen (DAST) und Cloud-Infrastrukturen.

Software-Update-Prozess (d. h. Patch-Management), um identifizierte Schwachstellen zeitnah in Übereinstimmung mit der Risikobewertung zu beheben.

Die Verwendung von Protokollierungs-, Überwachungs- und Warnsystemen.

Fortschrittliche Systeme zur Abwehr von Denial-of-Service-Angriffen (DoS/DDoS).

Die Verwendung von Cloud-Computing-Zonen mit hoher Verfügbarkeit an mehreren geografischen Standorten.

Disaster Recovery-Verfahren (Disaster Recovery, DR) sind gut dokumentiert und werden regelmäßig überprüft und aktualisiert.

Regelmäßige Backups werden sicher in einer separaten Cloud-Umgebung stores und können bei Bedarf wiederhergestellt werden.

Regelmäßige und On-Demand-Penetrationstests.