1. Informationssicherheitsprogramm
Constructor Technology implementiert und pflegt derzeit ein Informationssicherheits- und Compliance-Programm („Informationssicherheitsprogramm“), das administrative, physische und technische Kontrollen umfasst, um Kundendaten zu schützen. Constructor Technology wird das Informationssicherheitsprogramm so pflegen, wie es für die Einhaltung geltender Gesetze, vertraglicher Anforderungen und branchenüblicher Datensicherheitsstandards erforderlich ist.
Constructor Technology führt regelmäßige Risikobewertungen und Überprüfungen durch und überarbeitet, falls erforderlich, sein Informationssicherheitsprogramm mindestens jährlich oder wann immer eine wesentliche Änderung der Geschäftspraktiken von Constructor Technology die Sicherheit, Vertraulichkeit oder Integrität von Kundendaten beeinträchtigt. Constructor Technology wird seine Informationssicherheitspraktiken nicht in einer Weise ändern, die die Vertraulichkeit, Verfügbarkeit oder Integrität von Kundendaten schwächt oder gefährdet.
Als Teil des Informationssicherheitsprogramms hat Constructor Technology einen Prozess, um mindestens jährlich diese technischen und organisatorischen Maßnahmen zu bewerten, um festzustellen, dass sie mit geltendem Recht und der relevanten Vereinbarung übereinstimmen, und sie basierend auf der Bewertung entsprechend anzupassen.
2. Constructor Technology Personal
Constructor Technology definiert klar Rollen und Verantwortlichkeiten für das Personal von Constructor Technology. Constructor Technology führt eine Überprüfung und Hintergrundüberprüfung für alle Mitarbeiter von Constructor Technology vor der Anstellung oder Beauftragung durch.
Constructor Technology hat und pflegt ein Sicherheits- und Datenschutzbewusstseins-Trainingsprogramm, um das Personal von Constructor Technology mindestens jährlich über ihre Datenschutzverpflichtungen zu schulen. Dieses Trainingsprogramm umfasst Schulungen über Datenklassifikationsverpflichtungen, Sicherheitskontrollen und -praktiken sowie Sicherheitsvorfälle und Datenverletzungen. Vor der Gewährung des Zugriffs auf Kundendaten verlangt Constructor Technology, dass das Personal von Constructor Technology ihre Verpflichtung zur Einhaltung des Informationssicherheitsprogramms versteht und dokumentiert dies.
Constructor Technology hat einen Disziplinarprozess für das Personal von Constructor Technology, das es versäumt, das Informationssicherheitsprogramm oder andere etablierte Sicherheitsrichtlinien oder -verfahren strikt einzuhalten. Constructor Technology hat einen Prozess eingerichtet, um sicherzustellen, dass die Vertraulichkeits- und Geheimhaltungsverpflichtungen, die vom Personal von Constructor Technology vereinbart und anerkannt wurden, auch nach Beendigung der Beziehung des Personals von Constructor Technology mit dem Kunden in Kraft bleiben.
3. Physische Sicherheit
Constructor Technology stellt sicher, dass alle Kundendaten in sicheren, cloudbasierten Rechenzentren verarbeitet werden, die branchenführende Sicherheitsstandards einhalten. Während Constructor Technology keine physischen Standorte verwaltet, an denen Kundendaten verarbeitet werden, behalten wir die Aufsicht und Zusammenarbeit mit unseren Cloud-Anbietern bei, um umfassende physische Sicherheitsmaßnahmen sicherzustellen.
Constructor Technology setzt in Zusammenarbeit mit seinen Cloud-Dienstleistern die folgenden physischen Zugangskontrollmaßnahmen in Cloud-Rechenzentren ein, in denen Kundendaten verarbeitet werden. Der Zugriff auf Kundendaten außerhalb dieser sicheren Cloud-Umgebungen ist strengstens untersagt:
a) Dokumentierte Prozesse zur Bestimmung, Änderung und Widerrufung von Zugriffsberechtigungen auf die Cloud-Infrastruktur.
b) Der physische Zugang zu Cloud-Rechenzentren ist nur autorisiertem Personal gestattet.
c) Umfassende Maßnahmen zur Verhinderung und Erkennung von unbefugtem Zugriff und Zugriffsversuchen werden von Cloud-Anbietern eingesetzt, einschließlich, aber nicht beschränkt auf: Multi-Faktor-Authentifizierung, Videoüberwachung, Einbruchserkennungssysteme und strenge Sicherheitsprotokolle.
d) Regelmäßige und dokumentierte Überprüfungen der Zugriffsberechtigungen, durchgeführt sowohl von Constructor Technology als auch von seinen Cloud-Dienstleistern, stellen sicher, dass nur autorisiertes Personal Zugriff auf kritische Systeme hat.
4. Logische Zugangskontrolle zu Systemen
Constructor Technology stellt sicher, dass unbefugte Personen keinen Zugriff auf Datenverarbeitungssysteme für Kundendaten haben. Constructor Technology setzt die folgenden Maßnahmen ein, um den Zugriff auf Systeme und Netzwerke zu kontrollieren, in denen Kundendaten verarbeitet werden:
a) Dokumentierte Prozesse zur Autorisierung, Änderung und Widerrufung des Zugriffs auf die Datenverarbeitungssysteme und nicht-öffentlichen Netzwerke für Kundendaten sind vorhanden.
b) Zugriffsrechte werden auf Basis von „Need to Know“ und „Least Privilege“ gewährt.
c) Effektive Kontrolle der Authentifizierung, Autorisierung und Abrechnung durch personalisierte und eindeutige Benutzeridentifikationen und sichere Authentifizierungsprozesse werden implementiert.
d) Dokumentierte Überprüfung der logischen Zugriffsberechtigungen wird regelmäßig durchgeführt.
e) Dokumentierte Überprüfung der Systemzugriffsberechtigungen und Rollenverteilung wird regelmäßig durchgeführt.
f) Geeignete Maßnahmen zur Sicherung der Netzwerkinfrastruktur sind dokumentiert und werden überwacht.
5. Zugangskontrolle zu Kundendaten
Nur Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, dürfen auf Kundendaten zugreifen, vorbehaltlich ihrer Zugriffsberechtigung. Kundendaten dürfen während der Verarbeitung, Nutzung und nach der Speicherung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden.
Constructor Technology wird die folgenden Maßnahmen zur Zugangskontrolle ergreifen, soweit sie selbst für die Zugriffsberechtigung zu Auftragsdaten verantwortlich sind:
a) Ein dokumentierter Prozess zur Autorisierung des Zugriffs, Änderung, Kopieren und Widerrufung von Daten ist vorhanden.
b) Effektive Kontrollen der Zugriffsberechtigung durch ein angemessenes Rechte- und Rollenkonzept sind vorhanden.
c) Regelmäßige und dokumentierte Überprüfung der Datenzugriffsberechtigungen und Rollenverteilung wird regelmäßig durchgeführt.
d) Angemessene Maßnahmen zum Schutz von Endgeräten, Servern und anderen Infrastrukturelementen gegen unbefugten Zugriff sind vorhanden.
e) Datenmedienverschlüsselung - abgestimmt auf den aktuellen Stand der Technik - Algorithmen werden zum Schutz mobiler Geräte (Laptops, Tablet-PCs, Smartphones usw.) und Datenmedien (externe Festplatten, USB-Sticks, Speicherkarten usw.) durchgesetzt.
f) Datenzugriff und Datenoperationen unterliegen der Protokollierung.
g) Protokolle werden regelmäßig überprüft.
6. Daten- und Verarbeitungskontrolle
Constructor Technology hat Kontrollen, um zu überprüfen, ob, wann und von wem Kundendaten auf Datenverarbeitungssystemen zugegriffen, geändert oder entfernt werden. Constructor Technology stellt sicher, dass Kundendaten gemäß den Anweisungen des Kunden behandelt werden.
Constructor Technology wird die folgenden Maßnahmen zur Daten- und Verarbeitungskontrolle ergreifen:
a) Sicherheitsrichtlinien und -verfahren klassifizieren Kundendaten und Klassifikationen werden überprüft und auf dem neuesten Stand gehalten.
b) Der Umgang mit Kundendaten wird dokumentiert und enthält geeignete Anweisungen, wie Kundendaten eingegeben, zugegriffen, geändert und entfernt werden.
c) Personen, die mit der Verarbeitung von Kundendaten betraut sind, erhalten rechtzeitig Ratschläge zu relevanten Bestimmungen zum Datenschutz, Datenschutzvorschriften, damit verbundenen internen Verfahren und spezifischen Anweisungen des Datenverantwortlichen.
d) Daten- und Verarbeitungsvorgänge werden in prüfbaren Protokollen protokolliert.
e) Wenn zutreffend, hat Constructor Technology Maßnahmen zur Anonymisierung oder Pseudonymisierung von Kundendaten.
7. Datenübertragungskontrolle
Constructor Technology wird die folgenden Maßnahmen zur Übertragungskontrolle ergreifen:
a) Geeignete Maßnahmen zur Sicherung der Netzwerkinfrastruktur (z. B. Einbruchserkennungssysteme, Verwendung von Zwei-Faktor-Authentifizierung für Fern- und privilegierten Zugriff, Trennung von Netzwerken, Verschlüsselung von Netzwerkprotokollen usw.) werden angewendet.
b) Datenmedienverschlüsselung mit - gemäß dem aktuellen Stand der Technik - als sicher eingestuften Algorithmen zum Schutz mobiler Geräte (Laptops, Tablet-PCs, Smartphones usw.) und Datenmedien (externe Festplatten, USB-Sticks, Speicherkarten usw.)
c) Kundendaten werden über sichere Kanäle übertragen.
d) Verschlüsselte Kommunikationsprotokolle (wie TLS-basierte Protokolle, SSH, IPsec oder Ähnliches) werden für Kundendaten verwendet.
8. Verfügbarkeitskontrolle
Constructor Technology stellt sicher, dass alle Kundendaten gegen zufällige oder unbefugte Nichtverfügbarkeit, Zerstörung oder Verlust geschützt sind.
Constructor Technology implementiert die folgenden Maßnahmen, um die Verfügbarkeit von Kundendaten sicherzustellen:
a) Constructor Technology hat und pflegt ein dokumentiertes, formell implementiertes und getestetes Business Continuity (BCP) und Disaster Recovery (DRP) Programm für Systeme mit Kundendaten.
b) Prozesse für Backups und Wiederherstellung von Systemen und Daten sind dokumentiert.
c) Constructor Technology führt regelmäßige (mindestens jährliche) Überprüfungen und Tests der Backup-Integrität für Systeme durch, die Kundendaten enthalten.
d) Constructor Technology hat ein System zur Sicherstellung der notwendigen Installation kritischer Sicherheitsupdates und Patches.
e) Constructor Technology setzt eine Antivirensoftware auf Systemen ein, die häufig von Malware betroffen sind, um Systeme vor aktuellen und sich entwickelnden bösartigen Softwarebedrohungen zu schützen.
Constructor Technology implementiert einen Sicherheitsvorfallreaktionsplan (SIRP). Der SIRP skizziert die Verfahren, Protokolle und Verantwortlichkeiten, um Sicherheitsvorfälle, die die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten des Kunden beeinträchtigen könnten, effektiv zu erkennen, darauf zu reagieren und zu mindern.
Der SIRP umfasst, ist aber nicht beschränkt auf:
- Klare Eskalations- und Benachrichtigungsverfahren zur Meldung von Sicherheitsvorfällen, wie es die geltenden Gesetze und Vorschriften erfordern.
- Verfahren zur Bewertung der Schwere und des Umfangs eines Sicherheitsvorfalls.
- Schritte zur Eindämmung und Minderung von Sicherheitsvorfällen, einschließlich der Koordination mit Drittanbietern.
- Verfahren zur Beweissicherung, Durchführung forensischer Untersuchungen und Zusammenarbeit mit Strafverfolgungsbehörden, falls zutreffend.
- Kommunikationsprotokolle zur Benachrichtigung betroffener Parteien, einschließlich der Kunden oder Mitarbeiter des Kunden, im Falle eines Sicherheitsvorfalls.
Umsetzbare Schritte zur Wiederherstellung von Diensten, Systemen oder Daten, die von Sicherheitsvorfällen betroffen sind, und zur Verhinderung weiterer Verstöße.
9. Trennungskontrolle
Constructor Technology wird die folgenden Maßnahmen zur Trennung von Daten ergreifen:
a) Constructor Technology hat und pflegt eine logische, physische oder verschlüsselungsbasierte Trennung von Kundendaten, die für unterschiedliche Zwecke gesammelt wurden.
b) Constructor Technology pflegt eine logische und/oder physische Trennung von Test-, Entwicklungs- und Produktionssystemumgebungen.
10. Website- und Anwendungssicherheit (Penetrationstests, Schwachstellenscans)
Das Design der Netzwerke, Systeme und Anwendungen von Constructor Technology steht im Einklang mit dem Informationssicherheitsprogramm von Constructor Technology. Anwendbare Sicherheitsstandards und -richtlinien werden im Systementwicklungslebenszyklus und während des laufenden Betriebs berücksichtigt.
Constructor Technology ergreift die folgenden Maßnahmen, um die Sicherheit von Anwendungen und Websites zu gewährleisten:
a) Constructor Technology überprüft die Sicherheit von Anwendungen und Websites, einschließlich Tests auf häufige Schwachstellen wie die von OWASP identifizierten, und diese Sicherheitsanforderungen unter Verwendung sowohl automatisierter als auch manueller Tests.
b) Constructor Technology führt regelmäßige Scans von Betriebssystemen, Datenbanken, Serveranwendungen und Netzwerkgeräten auf Schwachstellen und Konformität durch.
c) Constructor Technology führt mindestens jährliche Penetrationstests an Anwendungen und Netzwerken durch.
d) Constructor Technology entwickelt Anwendungen, die personenbezogene Informationen verarbeiten, unter Verwendung des standardmäßigen SDLC-Prozesses, einschließlich Webbewertung, und unter Verwendung genehmigter Tools, um die Prinzipien „Security by Design“ und „Privacy by Default“ umzusetzen.
e) Wenn zutreffend, verwendet Constructor Technology genehmigte Maßnahmen zur Anonymisierung oder Pseudonymisierung personenbezogener Daten.
11. Maßnahmen zur Sicherstellung der Verantwortlichkeit
a) Constructor Technology pflegt und verlangt von Prozessoren und Subprozessoren, Aufzeichnungen über alle Verarbeitungstätigkeiten von Kundendaten zu führen.
b) Jede anwendbare Vereinbarung zwischen Constructor Technology und (Sub-)Prozessor enthält eine Bestimmung, die (Sub-)Prozessoren verpflichtet, den Kunden und Constructor Technology bei der Demonstration der Einhaltung der geltenden Datenschutzgesetze zu unterstützen.
c) Constructor Technology pflegt und verlangt von Prozessoren und Subprozessoren, einen Prozess zur Analyse der Rechtmäßigkeit von Anforderungen oder Anordnungen zu unterhalten, die von Regierungsbehörden oder Strafverfolgungsbehörden in Bezug auf Kundendaten erhalten werden, und ob die Freigabe von Kundendaten gesetzlich autorisiert oder erforderlich ist.
