Unser Engagement für Informationssicherheit

Unser Engagement für Informationssicherheit

Bei Salesupply sind wir bestrebt, Ihre Daten durch robuste Sicherheits- und Datenschutzmaßnahmen zu schützen. Dieser interaktive Leitfaden beschreibt unseren umfassenden Ansatz zum Schutz der uns anvertrauten Informationen. Entdecken Sie unten unsere Sicherheitssäulen.

Unser Sicherheits-Framework

Dieser Abschnitt beschreibt die grundlegenden Richtlinien, Governance und Zertifizierungen, die das Rückgrat unseres Informationssicherheits-Managementsystems (ISMS) bilden. Klicken Sie auf jedes Thema, um mehr zu erfahren.

Formelle Richtlinien

Wir haben eine klar dokumentierte Informationssicherheitsrichtlinie, die am 8. Januar 2021 von unserem Vorstand genehmigt wurde. Diese Richtlinie wird über ein Online-System verbreitet und ist für alle Salesupply-Mitarbeiter obligatorisch. Sie wird jährlich überprüft. Unsere Datenverarbeitungsvereinbarungen (DPAs) mit Kunden und Unterauftragnehmern definieren unsere Verpflichtungen zum Datenschutz und zur Privatsphäre weiter.

Risikomanagement

Unsere Informationssicherheitsrichtlinie besagt, dass identifizierte Risiken einer Risikobewertung unterzogen werden und der Risikobewertungs- und Behandlungsplan auf der Grundlage der ISO 27005-Richtlinien entwickelt wird.

Dedizierte Verantwortung

Der Vorstand ist verantwortlich für die Informationssicherheitsrichtlinie. Der Informationssicherheitsmanager (CTO) ist verantwortlich für die Aufrechterhaltung und Koordination des Informationssicherheits-Managementsystems (ISMS).

Zertifizierungen

Unsere Server werden in ISO 27001-zertifizierten Rechenzentren gehostet, was die höchsten Standards für physische und umweltbezogene Sicherheit gewährleistet.

Datenschutz: Organisatorische Maßnahmen

Unsere Mitarbeiter und Prozesse sind grundlegend für unsere Sicherheit. Hier beschreiben wir die organisatorischen Kontrollen, die wir zum Schutz Ihrer Daten während ihres gesamten Lebenszyklus eingerichtet haben.

Mitarbeiterüberprüfung & Vertraulichkeit

Hintergrundüberprüfungen werden bei neuen Mitarbeitern durchgeführt, einschließlich der Einholung professioneller Referenzen. Alle Mitarbeiter unterzeichnen Arbeitsverträge, die Vertraulichkeitsklauseln und eine Bestätigung der Informationssicherheitsrichtlinie enthalten. Alle Mitarbeiter sind für den Schutz von Informationen und die Meldung von Sicherheitsvorfällen verantwortlich. Mit unseren Partnern werden Geheimhaltungsvereinbarungen (NDAs) verwendet.

Recht auf Prüfung

Unsere Datenverarbeitungsvereinbarungen umfassen Audit-Rechte für den Controller (unseren Kunden) um die Einhaltung mit angemessener Ankündigung und ohne zusätzliche Kosten gemäß der Vereinbarung zu überprüfen.

Asset Management & sichere Entsorgung

Alle Informations-Assets sind registriert und haben zugewiesene Eigentümer. Die sichere Entsorgung von Medien erfolgt gemäß den dokumentierten Verfahren, um Datenlecks von stillgelegten Assets zu verhindern.

Vorfallsmanagement

Unsere Informationssicherheitsrichtlinie beschreibt das Vorfallsmanagement, einschließlich Meldekanälen, Untersuchung und Kommunikation an betroffene Parteien. Unsere Datenverarbeitungsvereinbarungen verpflichten Salesupply, den Controller unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.

Sorgfaltspflicht der Lieferanten

Unsere Datenverarbeitungsvereinbarungen betonen die Anforderung an Salesupply, sicherzustellen, dass Unterauftragnehmer die Datenschutzbestimmungen einhalten und den Controller über beabsichtigte Änderungen bezüglich der Unterauftragnehmer zu informieren. Die Informationssicherheitsrichtlinie besagt, dass „Lieferanten, die Informations-Assets von Salesupply oder seinen Kunden verarbeiten, die Anforderungen dieser Richtlinie einhalten müssen“.

Geschäftskontinuität

Ein Business Continuity Plan (BCP) ist vorhanden, um die Unterbrechung von Diensten im Falle unerwarteter Ereignisse zu minimieren und die Widerstandsfähigkeit und Verfügbarkeit unserer Dienste sicherzustellen.

Robuste technische Sicherheitsmaßnahmen

Wir setzen einen mehrschichtigen technischen Ansatz ein, um unsere Systeme und Ihre Daten vor Bedrohungen zu schützen. Nachfolgend sind die wichtigsten technischen Kontrollen aufgeführt, die wir implementiert haben.

Endgerätesicherheit

Vollständige Festplattenverschlüsselung (BitLocker) wird auf allen Laptops mit mindestens AES-256 implementiert. Alle Wechselmedien sind deaktiviert. Die Verwendung privater mobiler Geräte für Unternehmenszwecke ist nicht gestattet. Normale Benutzer haben keine lokalen Administratorrechte auf ihren Computern.

Physische Sicherheit

Die Büros von Salesupply verfügen über Sicherheitssysteme, Alarmanlagen, Videoüberwachung und Zugangskontrolle durch Schlüsselkarten. Unsere ISO 27001-zertifizierten Rechenzentren verfügen über physische Zugangskontrollen, Überwachung und Alarme.

Netzwerksicherheit

Firewalls steuern den Netzwerkverkehr und blockieren unbefugten Zugriff. Trennung von Entwicklungs-, Test- und Produktionsumgebungen. Drahtlose Netzwerke sind mit WPA2-Enterprise gesichert, und Network Access Control (NAC) wird zur Überprüfung der Geräteautorisierung und zur Beschränkung des Zugriffs auf autorisierte Geräte verwendet.

Malware-Schutz

Erweiterter Malware-Schutz (Antivirus, Anti-Spyware) ist auf allen Servern und Endpunkten installiert und wird kontinuierlich auf dem neuesten Stand gehalten.

Sichere Kommunikation

Sichere Fernzugriffslösungen (z.B. VPN) mit Multi-Faktor-Authentifizierung (MFA) werden für den Fernzugriff auf das Unternehmensnetzwerk verwendet. Der Zugriff auf Verwaltungsoberflächen und geprivilegierte Konten ist eingeschränkt und wird überwacht. Sichere Datenübertragungsmethoden, einschließlich verschlüsselter Verbindungen (VPN, SSL/TLS) und SFTP, werden für den Datenaustausch mit Dritten verwendet.

Einbrucherkennung

Einbrucherkennungs- und Präventionssysteme (IDS/IPS) sind implementiert, um den Netzwerkverkehr auf bösartige Aktivitäten und Richtlinienverletzungen zu überwachen.

Systemhärtung

Systeme werden gemäß den Best Practices der Branche und den Sicherheits-Baselines (z. B. CIS Benchmarks, NIST) konfiguriert, um ihre Angriffsfläche zu reduzieren.

Protokollierung & Überwachung

Systemprotokolle und Audit-Trails werden für kritische Systeme und Anwendungen geführt, um Sicherheitsvorfälle und ungewöhnliche Aktivitäten zu erkennen. Die Protokollierung personenbezogener Daten wird minimiert und in Übereinstimmung mit den Datenschutzrichtlinien gehandhabt. Die Protokolle werden regelmäßig überprüft.

Datensicherung & Verfügbarkeit

Es werden regelmäßige Backups von kritischen Daten und Systemen durchgeführt. Die Integrität und Wiederherstellbarkeit von Backups wird regelmäßig getestet. Redundanz für kritische Systeme und Infrastrukturkomponenten ist implementiert, um eine hohe Verfügbarkeit zu gewährleisten.