ÃÛÌÒTV

Technische und organisatorische maßnahmen seitens ÃÛÌÒTV zur wahrung des datenschutzes und der sicherheit von daten

Ìý

Zum Schutz der von uns gespeicherten Daten hat ÃÛÌÒTVÌý(und alle verbundenen Konzerngesellschaften, nachfolgend unter „ÃÛÌÒTV“ zusammengefasst) bestimmte Kontrollmaßnahmen (darunter Richtlinien, Praktiken, Prozesse und Verfahren) eingerichtet, mit denen potenzielle Schwachstellen für Bedrohungen wie eine nicht genehmigte oder unbeabsichtigte Beobachtung, Offenlegung, Verwendung, Änderung, Gefährdung oder Vernichtung von Daten minimiert werden. Mit diesen Maßnahmen und deren Umsetzung wird sichergestellt, dass wir Sicherheits- und Datenschutzrisiken angemessen entgegenwirken.

Die technischen und organisatorischen Kontrollmaßnahmen von ÃÛÌÒTV entsprechen den Branchenstandards und den geschäftlichen Anforderungen von Unternehmen, um ein angemessenes Datenschutz- und Sicherheitsniveau zu bieten. Die folgende Liste mit Kontrollmaßnahmen stellt das Mindestmaß an von ÃÛÌÒTV durchgeführten Standardpraktiken für den Schutz von Daten dar.

  1. Richtlinien- und Dokumentmanagement: ÃÛÌÒTV unterhält, testet und überprüft mindestens jährlich eine Informationssicherheitsrichtlinie, einen Business-Continuity-Plan, einen Disaster-Recovery-Plan und Incident-Response-Prozesse. ÃÛÌÒTV pflegt und aktualisiert bei Bedarf eine gruppeninterne Vereinbarung zur gemeinsamen Datennutzung sowie erforderliche Datenverarbeitungsvereinbarungen mit Partnern und Distributoren. Zusätzlich zu öffentlich bereitgestellten Datenschutzhinweisen für ÃÛÌÒTV-Produkte und -Services pflegt und prüft/aktualisiert ÃÛÌÒTV jährlich eine interne übergeordnete Datenschutzrichtlinie, die die auf ÃÛÌÒTV zutreffenden Datenschutzstandards und -prozesse regelt.
  2. ±·±ð³Ù³ú·É±ð°ù°ì²õ¾±³¦³ó±ð°ù³ó±ð¾±³Ù²õ³¾²¹ÃŸ²Ô²¹³ó³¾±ð²Ô: Die Systemadministratoren von ÃÛÌÒTV stellen sicher, dass öffentlich zugängliche Komponenten der Informationssysteme (z.ÌýB. öffentliche Webserver) auf getrennten Unternetzwerken mit separaten physischen Netzwerkschnittstellen untergebracht sind. Die Systemadministratoren von ÃÛÌÒTV stellen ebenfalls sicher, dass gesteuerte Schnittstellen, die die Netzwerkumgebung schützen, bestimmte Datenpakettypen herausfiltern, um Geräte im internen ÃÛÌÒTV-Netzwerk zu schützen. Firewalls und Geräte zur Kontrolle der Netzwerkgrenzen sind so konfiguriert, dass sie den Zugriff nur für jene Komponenten erlauben, die für die Durchführung der ÃÛÌÒTV-Operationen notwendig sind.
  3. ¶Ù²¹³Ù±ð²Ô²ú²¹²Ô°ì²õ¾±³¦³ó±ð°ù³ó±ð¾±³Ù²õ³¾²¹ÃŸ²Ô²¹³ó³¾±ð²Ô: Jeder Zugriff (über ein System oder direkt durch Mitarbeitende) auf ÃÛÌÒTV-Datenbanken wird protokolliert und im Hinblick auf unautorisierte Änderungen überwacht. Daten werden in den Datenbanken mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt und der direkte Zugriff wird über die Rollen beschränkt, die in ÃÛÌÒTVs Informationssicherheitsrichtlinie und der Zertifizierungspraxiserklärung festgelegt sind.
  4. Zugriffskontrollen und Authentifizierung: Alle Nutzerinteraktionen mit den Systemen von ÃÛÌÒTV können bis zu der Person zurückverfolgt werden, die die Aktion ausgeführt hat. Die Identität jedes Benutzers muss vor der Interaktion mit den ÃÛÌÒTV-Systemen bestätigt sein. Bevor Mitarbeitende von ÃÛÌÒTV an Komponenten des Systems arbeiten können, um die ihnen anvertrauten Aufgaben zu erfüllen, müssen sie sich zunächst für die Systeme von ÃÛÌÒTV authentifizieren. Die Rollen sind in der Zertifizierungspraxiserklärung und der Informationssicherheitsrichtlinie von ÃÛÌÒTV festgelegt. Nutzerkonten und sonstige Arten des Zugangs zu den Computersystemen von ÃÛÌÒTV müssen gemäß der Richtlinie für Benutzerzugriff genehmigt werden. Gemäß den anwendbaren Richtlinien definierte physische und logische Kontrollmaßnahmen für autorisierte Personen werden regelmäßig, und zwar mindestens einmal pro Jahr, geprüft.
  5. Personenkontrollen: Alle Mitarbeiter von ÃÛÌÒTV und andere Personen mit Zugang zu ÃÛÌÒTV-Daten und/oder -Systemen unterliegen Vertraulichkeitsvereinbarungen. Zudem müssen sie eine Hintergrundprüfung bestehen und bestimmte, für ihre Rolle relevante Schulungen absolvieren. ÃÛÌÒTV verpflichtet sich zur Festlegung und Durchsetzung von Richtlinien und Verfahren für sicherheitsrelevante Rollen, die Identifizierung und Authentifizierung der einzelnen Rollen, Sanktionen bei nicht autorisierten Handlungen, die Aufgabentrennung, Mitarbeiterausweise und den sofortigen Entzug des Systemzugriffs für ausscheidende Mitarbeiter.
  6. Physische Sicherheitsmaßnahmen: Der Zugang zu jedem Büro, Computerraum und Arbeitsbereich, in dem sich sensible Daten befinden, ist physisch eingeschränkt. Alle Bürotüren haben Schlösser und alle Eingangstüren zu den Einrichtungen und Gebäuden von ÃÛÌÒTV sind jederzeit verschlossen. Diese Türen können nur mit Zutrittskarten oder anderen Zugangskontrollgeräten geöffnet werden, die nach Bestätigung einer makellosen Hintergrundprüfung ausgegeben werden. Die ÃÛÌÒTV-Rechenzentren, -Sicherheitsräume und -Büros werden mit Video überwacht. Die Sicherheitsräume können nur mit biometrischer Kennung von zwei zuständigen Mitarbeitenden betreten werden. Jeder Zugang wird protokolliert.
  7. Schwachstellenmanagement/Patches: Alle ÃÛÌÒTV-Anlagen werden monatlich mit Hilfe von Tools zur Erkennung von Schwachstellen gescannt. Systeme, die eine Behebung erfordern, müssen innerhalb der von Global Security Operations festgelegten Fristen gepatcht werden. Die Zeitvorgaben basieren auf dem zugewiesenen CVSS-Score (Common Vulnerability Scoring System). Kritische und hochgradige Schwachstellen werden innerhalb von 72 Stunden gepatcht oder es wird ein Aktionsplan erstellt, mittelschwere Schwachstellen werden innerhalb von 30 Tagen gepatcht oder es wird ein Aktionsplan erstellt, und niedrige bzw. informationsbedingte Schwachstellen werden nach Ermessen von ÃÛÌÒTV gepatcht.
  8. Umfassende interne Bewertung: ÃÛÌÒTV führt jährlich eine umfassende Risikobewertung durch, mit der alle vernünftigerweise vorhersehbaren internen und externen Bedrohungen für die Sicherheit, den Datenschutz, die Vertraulichkeit und die Integrität identifiziert werden.
  9. Penetrationsbewertung/Externe Bewertung: Es wird mindestens eine Penetrationsbewertung pro Jahr durch Dritte durchgeführt. In der Regel führt ÃÛÌÒTV jedes Jahr mehrere Penetrationstests am Code, an der Infrastruktur und an Systemen sowie Red-Team-Assessments durch.
  10. Schulungen und Sensibilisierung: Alle Mitarbeiter und anderen Beschäftigten sind verpflichtet, jährliche Datenschutz-, Sicherheits- und Compliance-Schulungen zu absolvieren. Mitarbeiter und andere Beschäftigte, die persönlich identifizierbare und vertrauliche Informationen verarbeiten, erhalten zusätzliche Schulungen. Alle Personen mit Zugriff auf ÃÛÌÒTV-Systeme und/oder -Daten sind verpflichtet, die Richtlinien und Verfahren für den ordnungsgemäßen Umgang mit Daten anzuwenden, darunter die Informationssicherheitsrichtlinie, die Verhaltensrichtlinie und die Richtlinie zur zulässigen Nutzung.
  11. Zugriffskontrollen für Dritte: Die Verträge zwischen ÃÛÌÒTV und Dritten, die möglicherweise Zugang zu ÃÛÌÒTV-Systemen oder -Daten haben, tragen den Sicherheits- und Datenschutzanforderungen auf angemessene Weise Rechnung. Diese Dritten werden zudem einer Folgenabschätzung hinsichtlich Datenschutz und Sicherheit unterzogen und Risiken werden reduziert, bevor der Zugriff gewährt wird.
  12. Datensicherheit bei der Speicherung und Ãœbertragung: Alle in ÃÛÌÒTV-Systemen gespeicherten Daten werden mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt. Ebenso werden alle innerhalb der ÃÛÌÒTV-Systeme weltweit übertragenen Daten mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt.
  13. Speicherung, Aufbewahrung und Löschung/Vernichtung: Physisch archivierte oder elektronisch gespeicherte Informationen werden durch angemessene technische, ihrer Klassifizierungsstufe entsprechende Maßnahmen geschützt. Informationen werden im Einklang mit unserer Zertifikatsrichtlinie/Zertifizierungspraxiserklärung und den anwendbaren Datenschutzhinweisen gelöscht bzw. vernichtet.