Organisatorische Sicherheit
Informationssicherheitsprogramm
Wir haben ein Informationssicherheitsprogramm eingerichtet, das in der gesamten Organisation kommuniziert wird. Unser Informationssicherheitsprogramm folgt den Kriterien des ISO27001-Standards. ISO27001 ist ein weithin bekannter Standard für Informationssicherheit.
Kontrollen durch Dritte
Unsere Organisation unterzieht sich unabhängigen Bewertungen durch Dritte, um unsere Sicherheits- und Compliance-Kontrollen zu testen.
Penetrationstests von Drittanbietern
Wir führen mindestens einmal jährlich einen unabhängigen Penetrationstest durch Dritte durch, um sicherzustellen, dass die Sicherheit unserer Leistungen nicht beeinträchtigt wird.
Rollen und Verantwortlichkeiten
Die Rollen und Verantwortlichkeiten in Bezug auf unser Informationssicherheitsprogramm und den Schutz der Daten unserer Kunden sind klar definiert und dokumentiert. Unsere Teammitglieder sind verpflichtet, alle Sicherheitsrichtlinien durchzulesen und zu akzeptieren.
Sicherheitsschulung
Unsere Teammitglieder müssen eine Schulung zum Sicherheitsbewusstsein der Mitarbeiter absolvieren, die branchenübliche Praktiken und Informationssicherheitsthemen wie Phishing und Passwortverwaltung abdeckt.
Vertraulichkeit
Alle Teammitglieder müssen vor ihrem ersten Arbeitstag eine branchenübliche Vertraulichkeitsvereinbarung unterzeichnen und diese einhalten.
Hintergrundkontrollen
Wir führen bei allen neuen Teammitgliedern gemäß den örtlichen Gesetzen Hintergrundkontrollen durch.
Cloud-Sicherheit
Sicherheit der Cloud-Infrastruktur
All unsere Leistungen werden bei Amazon Web Services (AWS) gehostet. Sie verwenden ein umfassendes Sicherheitsprogramm mit mehreren Zertifizierungen. Weitere Informationen zu den Sicherheitsverfahren unseres Anbieters finden Sie unter AWS Security.
Datenhosting-Sicherheit
All unsere Daten werden in Datenbanken von Amazon Web Services (AWS) gehostet. Diese Datenbanken befinden sich alle in der EU. Weitere Informationen finden Sie in der oben verlinkten anbieterspezifischen Dokumentation.
Verschlüsselung im Ruhezustand
Alle Datenbanken werden im Ruhezustand verschlüsselt.
Verschlüsselung während der Übertragung
Unsere Anwendungen verschlüsseln während der Übertragung nur mit TLS/SSL.
Schwachstellen-Scans
Wir führen Schwachstellen-Scans durch und überwachen aktiv Sicherheitsrisiken.
Protokollierung und Überwachung
Wir überwachen und protokollieren aktiv verschiedene Cloud-Dienste.
Geschäftskontinuität und Notfallwiederherstellung
Wir nutzen die Sicherungsdienste unseres Datenhosting-Anbieters, um das Risiko eines Datenverlusts im Falle eines Hardwareausfalls zu verringern. Wir nutzen Überwachungsdienste, um das Team zu alarmieren, wenn es zu Ausfällen kommt, die die Benutzer betreffen.
Reaktion auf Vorfälle
Wir haben ein Verfahren für den Umgang mit Informationssicherheitsvorfällen, das Eskalationsverfahren, schnelle Maßnahmen und Kommunikation umfasst.
Zugriffssicherheit
Berechtigungen und Authentifizierung
Der Zugriff auf die Cloud-Infrastruktur und andere sensible Tools ist auf autorisierte Mitarbeiter beschränkt, die diese für ihre Rolle benötigen.
Wo dies möglich ist, nutzen wir Single Sign-on (SSO), 2-Faktor-Authentifizierung (2FA) und strenge Passwortrichtlinien, um den Zugang zu Cloud-Diensten zu schützen.
Zugangskontrolle bei Nutzern mit minimalen Berechtigungen
In Bezug auf das Identitäts- und Zugriffsmanagement folgen wir dem Prinzip der minimalen Berechtigung.
Vierteljährliche Zugriffsüberprüfungen
Wir führen vierteljährliche Zugriffsüberprüfungen aller Teammitglieder mit Zugriff auf sensible Systeme durch.
Passwortanforderungen
Alle Teammitglieder müssen ein Mindestmaß an Passwortanforderungen und -komplexität für den Zugriff einhalten.
Passwortmanager
Alle vom Unternehmen ausgegebenen Laptops verfügen über einen Passwortmanager, mit dem die Teammitglieder ihre Passwörter verwalten und die Komplexität der Passwörter gewährleisten können.
Lieferanten- und Risikomanagement
Jährliche Risikobewertungen
Wir unterziehen uns mindestens einmal im Jahr einer Risikobewertung, um potenzielle Bedrohungen zu ermitteln, einschließlich des Betrugsverdachts.
Anbieter-Risikomanagement
Das Anbieterrisiko wird bestimmt und die entsprechenden Anbieterprüfungen werden durchgeführt, bevor ein neuer Anbieter autorisiert wird.
Kontakt
Wenn Sie Fragen, Anmerkungen oder Bedenken haben oder ein potenzielles Sicherheitsproblem melden möchten, wenden Sie sich bitte an security@easytranslate.com.