Technische und organisatorische Maßnahmen

 

Datum: 15. April 2025

Zweck

Der Zweck dieses Dokuments ist, die aktuellen technischen und organisatorischen Maßnahmen der Therefore Corporation zu definieren. Dieses Dokument kann jederzeit nach alleinigem Ermessen der Therefore Corporation geändert werden.

 

Physische Kontrolle des Zugriffs auf Informationsressourcen

Die Therefore Corporation verwendet verschiedene Ebenen physischer Sicherheitskontrollen, die den Risiken im Zusammenhang mit den Informationen und IT-Assets entsprechen, die in den betreffenden Bereichen gespeichert und abgerufen werden.

Therefore™ Online ist ein SaaS-Angebot, das in Microsoft Azure-Rechenzentren gehostet wird. Die Sicherheit und Kontrolle dieser Rechenzentren wird von Microsoft verwaltet und stützt sich auf branchenführende Maßnahmen für Datensicherheit, Ausfallsicherheit, Redundanz und Compliance. Nähere Informationen finden Sie unter Azure Infrastructure Security | Microsoft Docs (https://docs.microsoft.com/bs-latn-ba/azure/security/fundamentals/infrastructure) und eine vollständige Compliance-Liste unter Microsoft Compliance in der vertrauenswürdigen Cloud | Microsoft Azure (https://docs.microsoft.com/en-us/azure/compliance/).

 

Maßnahmen

Der Zugang zu den Räumlichkeiten der Therefore Corporation wird physisch kontrolliert und Mitarbeitern (Teammitgliedern) bedarfsabhängig gewährt. In der Unternehmenszentrale der Therefore Corporation sind Sicherheits- und Einbruchmeldesysteme mit Überwachung rund um die Uhr implementiert.

Der Zugriff auf Informationsressourcen wird im Rahmen der Zugriffskontrollrichtlinie und der Zugriffsprüfungsverfahren der Therefore Corporation verwaltet. In Kombination mit anderen Richtlinien und Verfahren des Informationssicherheitssystems gewährleisten diese klar definierten Dokumente Folgendes:

  • Die Autorisierung für den Zugriff auf kritisch wichtige Systeme oder vertrauliche Informationen wird streng gemäß den Sicherheitsrichtlinien der Therefore Corporation verwaltet.
  • Alle Mitarbeiter greifen über eine eindeutige Kennung auf die Systeme von Therefore Corporation zu.
  • Jegliche Zugriffsanfragen auf kritische Systeme werden streng überwacht. Wenn Mitarbeiter das Unternehmen verlassen, werden ihnen ihre Zugriffsrechte entzogen.
  • Die Therefore Corporation hat eine Kennwortrichtlinie eingerichtet, welche die minimale Komplexität definiert, die gemeinsame Nutzung von Kennwörtern untersagt und verlangt, dass Passwörter regelmäßig geändert werden müssen. Außerdem wird MFA für die Authentifizierung verwendet.
  • Das Unternehmensnetzwerk ist durch Firewalls vor dem öffentlichen Netzwerk geschützt.
  • Die Therefore Corporation verwendet aktuelle Unternehmens-Virenschutzsoftware an den Zugriffspunkten auf das Unternehmensnetzwerk sowie auf allen Dateiservern und Workstations.
  • Sicherheitspatches gewährleisten die regelmäßige Bereitstellung relevanter Sicherheitsupdates.
  • Der Remotezugriff auf das Netzwerk und die kritische Infrastruktur der Therefore Corporation wird durch eine starke mehrstufige Authentifizierung (MFA) geschützt.

 

Kontrolle des Zugriffs auf persönlich identifizierbare Informationen

Mitarbeiter, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, können nur auf personenbezogene Daten zugreifen, für die sie Zugriffsrechte haben, und personenbezogene Daten dürfen im Zuge der Verarbeitung, Nutzung und Speicherung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden.

Maßnahmen

  • Personenbezogene Daten werden in den Systemen der Therefore Corporation als „privilegierte“ Informationen eingestuft.
  • Der Zugriff auf personenbezogene Daten wird ausschließlich nach dem Need-to-know-Prinzip gewährt und umfasst stets eine schriftliche Zustimmung zur Verarbeitung der Daten.
  • Alle Produktionsserver werden in den Rechenzentren betrieben. Sicherheitsmaßnahmen zum Schutz der Anwendungen, die Daten verarbeiten, werden regelmäßig überprüft. Zu diesem Zweck führt die Therefore Corporation interne und externe Sicherheitsprüfungen sowie Penetrationstests an ihren IT-Systemen durch.
  • Die Therefore Corporation gestattet keine Installation von Software auf der Serverinfrastruktur, die nicht von der IT-Abteilung der Therefore Corporation autorisiert wurde.

 

Kontrolle der Datenübermittlung

Wenn Kundendaten zwischen der Therefore Corporation und ihren Kunden übermittelt werden, übernimmt der Kunde in allen derartigen Szenarien die Verantwortung für die Datenübermittlung.

 

 

Kontrolle der Dateneingabe

Mitarbeiter der Therefore Corporation werden personenbezogene Daten nie in Datenverarbeitungssysteme eingeben, sie darin ändern oder sie aus ihnen entfernen.

 

Kontrolle von Aufträgen

Die Kontrolle von Aufträgen ist erforderlich, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Namen anderer streng gemäß den Anweisungen des Kunden erfolgt.

Maßnahmen

  • Im Rahmen der Sicherheitsrichtlinien der Therefore Corporation werden personenbezogene Daten gemäß der Richtlinie zur Informationsklassifizierung der Therefore Corporation als „vertrauliche“ Informationen klassifiziert.
  • Alle Mitarbeiter, Unterverarbeiter und anderen Dienstleister der Therefore Corporation sind vertraglich verpflichtet, die Vertraulichkeit aller sensiblen Informationen zu wahren, einschließlich der Geschäftsgeheimnisse von Kunden und Partnern der Therefore Corporation.

 

Kontrolle der Verfügbarkeit

Alle Kundendaten werden vor versehentlicher oder unbefugter Zerstörung und vor Verlust geschützt.

Maßnahmen

  • Die Therefore Corporation verwendet regelmäßige Backup-Prozesse, um geschäftskritische Systeme bei Bedarf wiederherstellen zu können.
  • Die Therefore Corporation hat Geschäftskontinuitätspläne für geschäftskritische Prozesse definiert.
  • Notfallprozesse und -systeme werden regelmäßig überprüft.

 

Kontrolle der Datentrennung

Personenbezogene Daten, die für unterschiedliche Zwecke erfasst wurden, werden getrennt verarbeitet.

Maßnahmen

  • Die Therefore Corporation verwendet geeignete technische Steuermaßnahmen, um die Trennung von Kundendaten zu allen Zeiten aufrechtzuerhalten.
  • Kunden (einschließlich ihrer genehmigten Datenverantwortlichen) erhalten nur Zugriff auf ihre eigenen Daten, basierend auf einer sicheren Authentifizierung und Autorisierung.
  • Wenn personenbezogene Daten zur Bearbeitung eines Supportfalls für einen Kunden erforderlich sind, werden diese Daten in dafür vorgesehenen Supportsystemen gespeichert.
  • Der Austausch von Daten im Rahmen einer Supportsitzung kann über einen vom Kunden verwalteten sicheren Dateiaustausch erfolgen. In Übereinstimmung mit europäischen Datenschutzvorschriften und der DSGVO werden alle Informationen im Zusammenhang mit einem Supportfall, der personenbezogene Daten enthält, soweit dies praktisch möglich ist am Ende eines Support-Tickets gelöscht.

 

Kontrolle der Datenintegrität

Personenbezogene Daten bleiben während der Verarbeitung intakt, vollständig und aktuell.

Maßnahmen

Die Therefore Corporation ergreift angemessene Schritte, um sicherzustellen, dass personenbezogene Daten korrekt sind, und schützt sie über die folgenden Maßnahmen vor unbefugten Änderungen:

  • Firewalls
  • Sicherheitsüberwachungs-Tools
  • Virenschutzsoftware
  • Sicherungs- und Wiederherstellungs-Tools
  • Interne und externe Penetrationstests und Schwachstellenbeurteilungen