Schnelle Links
Gibt es einen formalen Onboarding-Prozess für Mitarbeitende, der Sicherheits- und Datenschutzaspekte abdeckt? Erhalten alle Mitarbeitenden nach dem Onboarding regelmäßig Sicherheitstrainings?
Alle Mitarbeitenden erhalten beim Onboarding eine Schulung zu Sicherheit und Datenschutz und müssen jährlich ein Auffrischungstraining absolvieren. Darüber hinaus führen wir kontinuierliche Phishing-Simulationen durch und bieten Selbstlernmaterialien an. Weiterführende rollenspezifische Schulungen werden risikoorientiert angeboten.
Gibt es schriftliche Richtlinien, Pläne und Verfahren zur Informationssicherheit und zum Datenschutz? Können Kopien davon bereitgestellt werden?
Ja, wir verfügen über einen Satz von Richtlinien, die im Rahmen der ISO 27001- und ISO 27701-Zertifizierungsaudits von unabhängigen Dritten geprüft werden. Du kannst hier auf unser Sicherheitspaket zugreifen, das die Zertifikatsdateien und unsere Informationssicherheitsrichtlinie enthält, die Verweise auf unsere weiteren bestehenden Richtlinien beinhaltet.
Müssen Mitarbeitende eine Geheimhaltungsvereinbarung (NDA) unterzeichnen?
Ja, dies ist Teil unseres Arbeitsvertragsabschlussprozesses.
Gibt es eine Richtlinie zur Verwaltung des Zugriffs auf den Programmquellcode?
Ja, wir haben eine Access Management Policy, die das gesamte Zugriffsmanagement einschließlich des Programmquellcodes regelt.
Gibt es eine formale Verschlüsselungsrichtlinie?
Ja, wir haben eine Verschlüsselungsrichtlinie. Alle Festplatten von Endbenutzergeräten und Servern müssen verschlüsselt sein, der gesamte Datenverkehr muss verschlüsselt werden, einschließlich der Kommunikation mit externen Systemen.
Welche Netzwerksicherheitspraktiken gelten für eure Bürostandorte?
Unsere Büronetzwerke haben keinen erhöhten Zugang zu Produktionssystemen; der Zugriff erfordert eine separate VPN-Verbindung, die im Produktionsrechenzentrum (AWS) terminiert wird. Wir setzen Firewalls ein und haben WPA2 auf dem in den Büros bereitgestellten WLAN.
Welche Netzwerksicherheitspraktiken gelten für eure Rechenzentrumsstandorte?
AWS VPC, Firewalls (Security Groups) mit minimalem Zugriff zwischen Instanzen. Operator-Zugriff nur über VPN.
Gibt es einen formalen Software Development Life Cycle (SDLC) und eine Secure Development Policy?
Ja, beide werden im Rahmen der ISO 27001- und ISO 27701-Zertifizierungsaudits von unabhängigen Dritten geprüft.
Welche sicheren Coding-Richtlinien werden bei der Anwendungsentwicklung befolgt?
Zusätzlich zur Software Development Life Cycle (SDLC) Policy und der Secure Development Policy befolgen wir OWASP TOP 10 sowie framework-spezifische Best Practices.
Welche Richtlinien werden beim Aufbau und der Wartung der AWS-Infrastruktur befolgt?
Neben der ausschließlichen Einstellung von AWS-Experten auf ihrem Gebiet befolgen wir die AWS Well-Architected-Richtlinien.
Werden Teile des Sicherheits- oder Datenschutzprogramms ausgelagert?
Ja, das Bug-Bounty-Programm und Penetrationstests werden über HackerOne durchgeführt.
Gibt es Richtlinien zur Gewährleistung eines sicheren Arbeitsumfelds?
Ja, wir haben Arbeitsschutzrichtlinien gemäß den lokalen Gesetzen.
Haben Mitarbeitende die Möglichkeit, Fehlverhalten anonym zu melden?
Ja, wir setzen eine Whistleblowing-Lösung ein, über die Fehlverhalten anonym gemeldet werden kann.
Gibt es eine formale Richtlinie und einen Prozess zur Lieferantenbewertung?
Ja, wir haben eine Vendor Management Policy, die im Rahmen der ISO-Zertifizierungsaudits von unabhängigen Dritten geprüft wird. Darüber hinaus überprüfen wir Anwendungen und Browser-Erweiterungen, die auf unseren Endgeräten installiert werden.
Gibt es eine Datenklassifizierungsrichtlinie?
Ja, wir klassifizieren Daten auf zwei Arten:
Wir klassifizieren personenbezogene und nicht-personenbezogene Daten gemäß den geltenden Gesetzen und Vorschriften.
Informationen wie Dokumente werden je nach Sensibilität als öffentlich, intern, vertraulich oder eingeschränkt eingestuft.
--
Fragen, Kommentare, Feedback? Bitte lasse es uns wissen, indem du unser Support-Team über den Chat kontaktierst oder uns eine E-Mail an support@leadfeeder.com schickst.