Informationssicherheitsrichtlinie

Letzte Aktualisierung: Januar 14, 2025

Diese Richtlinie ist Bestandteil der Vereinbarung zwischen Encryption Consulting LLC oder ihren Tochtergesellschaften und verbundenen Unternehmen (zusammen „Encryption Consulting“) und dem Kunden, der die Dienste von Encryption Consulting nutzt („Vereinbarung“). Sie dient als verbindliche Richtlinie zur Erfüllung der Sicherheitsverpflichtungen von Encryption Consulting. Diese Sicherheitsrichtlinie ist integraler Bestandteil der Vereinbarung zur Nutzung der Dienste von Encryption Consulting.

Die hier verwendeten, aber nicht definierten Definitionen haben die Bedeutung, die ihnen in der jeweiligen Vereinbarung zugewiesen wird oder wie in der Endbenutzer-Lizenzvereinbarung von Encryption Consulting angegeben.

Diese Richtlinie beschreibt die von Encryption Consulting ergriffenen Sicherheits-, technischen und organisatorischen Maßnahmen.

Zertifizierungen und Compliance-Programme

Die Abläufe, Richtlinien und Verfahren von Encryption Consulting werden regelmäßig geprüft, um die Einhaltung der erforderlichen Standards als vertrauenswürdiger Anbieter von Cybersicherheitsdiensten sicherzustellen. Konformitätszertifizierungen und -bescheinigungen werden von unabhängigen externen Prüfern bewertet, was zu Zertifizierungen, Prüfberichten oder Konformitätsbescheinigungen führt.

Encryption Consulting bietet Zertifizierungen und Bewertungen für die Einhaltung von ISO 27001, ISO 27701, SOC und PCI DSS an. Für Zertifizierungsberichte oder Anfragen wenden Sie sich bitte an: info@encryptionconsulting.com.

Einbindung des Managements und allgemeines Sicherheitsmanagement

Die Datensicherheitspraktiken von Encryption Consulting basieren auf einem ausgereiften Kontrollumfeld, das durch proaktive Management- und Vorstandsaufsicht vorangetrieben wird. Verantwortlichkeiten sind klar definiert und unternehmensweit kommuniziert.

Das Management, einschließlich des Datenschutzbeauftragten und des CISO, bewertet regelmäßig die Risiko- und Compliance-Lage und legt dabei den Schwerpunkt auf Sicherheit und Datenvertraulichkeit. Personalrichtlinien zielen darauf ab, qualifizierte Mitarbeiter einzustellen, kontinuierliche Schulungen anzubieten und Sicherheitsverantwortung durch die Unternehmensrichtlinien durchzusetzen.

HR-Sicherheitsmaßnahmen

Vorbehaltlich der örtlichen Gesetze und Verfügbarkeit werden Hintergrundüberprüfungen und Screening-Prozesse für Mitarbeiter und Auftragnehmer durchgeführt, bevor ihnen Zugriff auf vertrauliche Systeme oder Daten gewährt wird.

Alle Mitarbeiter müssen vor dem Zugriff auf Kunden- oder firmeneigene Daten Standardvereinbarungen zum Datenschutz und zur Vertraulichkeit unterzeichnen. Diese Vereinbarungen untersagen die unbefugte Weitergabe oder den Missbrauch vertraulicher Informationen.

Mitarbeiter unterliegen den internen Richtlinien von Encryption Consulting, einschließlich der Acceptable Use Policy (AUP) und des Verhaltenskodex.

Encryption Consulting stärkt das Sicherheitsbewusstsein durch regelmäßige Schulungsprogramme, darunter jährliche obligatorische Sicherheitsschulungen zu Risiken, Datenschutz, Phishing und bewährten Sicherheitspraktiken.

Arbeitsstationen werden durch Standardtechnologien wie Firewalls, vollständige Festplattenverschlüsselung, Antivirensoftware, Sperrbildschirme und MFA für den Fernzugriff gesichert.

Die Nichteinhaltung von Sicherheitsrichtlinien führt zu Disziplinarmaßnahmen, um die Rechenschaftspflicht und Einhaltung der Richtlinien sicherzustellen.

Change Control

Encryption Consulting unterhält ein umfassendes Änderungsmanagementprogramm, das Änderungsarten, Dokumentation, Peer-Reviews, Genehmigungen und Notfalländerungen regelt.

Es werden ausschließlich autorisierte Versionskontrollsysteme verwendet. Alle Änderungen werden dokumentiert, von unabhängigen Prüfern geprüft und vor der Bereitstellung in isolierten Umgebungen getestet.

Produktions- und Nicht-Produktionsumgebungen sind strikt getrennt. Für jede Haupt- und Nebenversion werden Versionshinweise veröffentlicht.

Zugriffskontrolle, Benutzer- und Berechtigungsverwaltung

Encryption Consulting setzt strenge Zugriffskontrollen ein, die auf rollenbasierten Zugriffsprinzipien basieren. Der Zugriff ist auf das für die jeweilige Funktion erforderliche Maß beschränkt, und die Berechtigungen werden regelmäßig überprüft und genehmigt.

Kennwortrichtlinien erfordern Komplexität und Verlaufsanforderungen, insbesondere auf Systemen, die auf Kundendaten zugreifen.

Zu den zusätzlichen Schutzmaßnahmen gehören Laptop-Verschlüsselung, eingeschränkte Administratorrechte und erzwungene MFA für Systeme, die vertrauliche Daten verarbeiten.

Zugriff auf das Produktionssystem

Produktionsumgebungen werden durch strenge Kontrollen geschützt, darunter erzwungene MFA und eingeschränkter Zugriff auf autorisiertes Personal.

Administrative Vorgänge zur Quellcodeverwaltung, zu Sicherungen und Datenbanken werden streng kontrolliert und geprüft.

Physischer Zugang und Besucher

Der Zugang zum Büro ist ausschließlich autorisiertem Personal mit gesicherten Zugangssystemen gestattet. Zu den Sicherheitsmaßnahmen gehören Alarmsysteme und besetzte Zugänge.

Besucher werden jederzeit begleitet und dürfen nicht auf interne Netzwerke oder Geräte zugreifen.

Encryption Consulting nutzt die Hosting-Infrastruktur führender Cloud-Anbieter (AWS, GCP, Azure) und verlässt sich dabei auf deren zertifizierte physische und betriebliche Kontrollen (z. B. ISO 27001, SOC2 usw.). Rechenzentren verfügen über Redundanz, Überwachung und Zugangskontrollen, einschließlich Biometrie und Protokollierung.

Netzwerk- und Infrastruktursicherheit

Encryption Consulting verwaltet sichere Basiskonfigurationen und gewährleistet deren Durchsetzung durch automatisierte Tools. Alle Daten werden während der Übertragung und im Ruhezustand verschlüsselt.

Kundendaten werden niemals in Testumgebungen verwendet. Endpunkte werden mit EDR, Patch-Management und gehärteten Systemkonfigurationen geschützt.

Für die Kommunikation wird HTTPS mit TLS 1.2 oder höher verwendet. Alle Kundendaten werden durch mehrschichtige Verschlüsselungsmechanismen geschützt.

Weitere Einzelheiten finden Sie in der Dokumentation zur Verschlüsselungsmethodik von Encryption Consulting.

Risikobewertung und Schwachstellenmanagement

Encryption Consulting implementiert ein formelles Risikomanagementprogramm, das interne und externe Bedrohungen identifiziert und eindämmt.

Die Behandlung von Sicherheitsrisiken wird im Rahmen der Bemühungen zur Einhaltung der ISO 27001-Norm jährlich überprüft und genehmigt.

Die Anwendungssicherheit wird durch regelmäßige externe Penetrationstests, interne Scans und sichere SDLC-Praktiken gewährleistet. Schwere und kritische Schwachstellen werden gemäß den Richtlinien umgehend behoben, und die Behebung wird durch erneute Tests bestätigt.

Zeitrahmen für die Reaktion auf Sicherheitslücken:

• Kritische: So schnell wie möglich, nicht länger als 1 Woche
• Hoch: ≤ 1 Monat
• Medium: ≤ 3 Monate
• Niedrig: ≤ 3 Monate

Kunden werden gemäß der Vereinbarung auf elektronischem Wege über Sicherheitslücken informiert, die Dienste oder Daten betreffen.

Penetrationstests

Encryption Consulting führt regelmäßig externe Penetrationstests für Webanwendungen durch.

Zusammenfassungen oder Testergebnisse können auf schriftliche Anfrage und unter Einhaltung einer Geheimhaltungsvereinbarung weitergegeben werden.

Sofern gesetzlich vorgeschrieben (z. B. DORA für Finanzinstitute), nimmt Encryption Consulting an vom Kunden initiierten Penetrationstests teil, wenn dies von den Aufsichtsbehörden vorgeschrieben wird.

Protokollierung und Überwachung

Encryption Consulting protokolliert kritische Systemaktivitäten sowohl manuell als auch automatisiert. Die Protokolle umfassen Benutzeraktivitäten, Zeitstempel, Ergebnisse und Systeminteraktionen.

Protokolldaten sind vor Manipulation geschützt, werden mindestens 12 Monate (oder bei Bedarf länger) aufbewahrt und mithilfe zentralisierter SIEM- und Intrusion-Detection/Prevention-Systeme überwacht.

Der Protokollzugriff wird streng kontrolliert und die Aktionen des Administrators sind eingeschränkt, um Löschungen oder Änderungen zu verhindern.

Reaktion auf Vorfälle und Benachrichtigung bei Verstößen

Encryption Consulting verfügt über einen umfassenden Notfallplan, der Erkennung, Untersuchung, Eindämmung, Benachrichtigung und Überprüfung nach dem Vorfall umfasst. (Hinweis: Fahren Sie hier mit dem restlichen Abschnitt fort.)