Das von uns gegründete Geschäft ist mit der intensiven Nutzung personenbezogener Daten verbunden. Daher erkennen wir an, dass der Datenschutz für die Geschäftskontinuität von größter Bedeutung ist, und wenden die höchsten Standards an, um dies zu gewährleisten. Wir verpflichten uns zu einer sicheren Datenverwaltung während des gesamten Datenlebenszyklus.

Die meisten Informationen, die wir bei unserer Arbeit erstellen und verwenden, sind entweder nur für den internen Gebrauch oder werden nur zu bestimmten Zeiten und für einen bestimmten Zweck öffentlich bekannt gegeben. Vertrauliche Informationen können viele Formen annehmen, darunter Geschäftsgeheimnisse, Forschungs- und Finanzprognosen sowie Verbraucherdaten.

Das Vertrauen unserer Kunden und Partner spielt eine entscheidende Rolle für unser Geschäft. Der sorgfältige und respektvolle Umgang mit personenbezogenen Daten ist notwendig, um Vertrauen aufzubauen, den Ruf unseres Unternehmens zu schützen und unsere strategischen Ziele zu erreichen.

Cyber security

Cyber Security

Unser Informationssicherheits-Managementsystem ist eine Struktur, die auf drei Säulen basiert: Menschen, Prozesse und Technologie, gemäß der Norm ISO 27001.

Menschen

Die Aufmerksamkeit des Top-Managements des Unternehmens und kontinuierliche Mitarbeiterschulungen ermöglichen es dem Unternehmen, nicht nur komplexe und sich ändernde Datenschutzbestimmungen einzuhalten, sondern auch dazu beizutragen, das Bewusstsein interner und externer Stakeholder zu schärfen.

Alle Mitarbeiter unseres Unternehmens müssen:

  • Geschäfts- und Betriebsgeheimnisse sowie sonstige Informationen, die ihnen durch ein Arbeitsverhältnis bekannt geworden sind, auch in Bezug auf Familienangehörige oder Freunde, vertraulich behandeln. Dies gilt für Informationen über Handelspartner und Kunden, die nicht öffentlich zugänglich sind. Die Pflicht zur Wahrung des Geschäftsgeheimnisses bleibt auch nach Beendigung des Arbeitsverhältnisses bestehen.
  • vertrauliche Informationen des Unternehmens vor unbeabsichtigter Offenlegung schützen, indem sie unsere vertraulichen Informationen niemals in einer öffentlichen Umgebung erstellen, darauf zugreifen oder sie verwenden, wo sie belauscht oder eingesehen werden können.
  • vertrauliche Informationen vor Diebstahl schützen, indem sie nur vom Unternehmen bereitgestellte Tools und Software verwenden und Passwörter gemäß unseren Richtlinien und Standards erstellen und speichern.
  • unsere IT-Infrastruktur- und Informationssicherheitsrichtlinien und -standards sowie unsere Richtlinien zur Offenlegung gegenüber sozialen Medien oder anderen Kanälen einhalten.

Schulungen und Awareness-Kampagnen für alle Mitarbeiter stellen sicher, dass ein hohes Maß an Schutz personenbezogener Daten in allen Geschäftsprozessen eingehalten wird.

Gründliche Background-Checks potenzieller Mitarbeiter sind ein wesentlicher Bestandteil des Einstellungsprozesses unseres Unternehmens.

Prozesse

Jede Offenlegung vertraulicher Informationen außerhalb des Unternehmens und für einige Arten von Informationen innerhalb des Unternehmens wird streng kontrolliert, um die Interessen unseres Unternehmens, unserer Partner, Verbraucher und Mitarbeiter bestmöglich zu schützen. Es ist zwingend erforderlich, dass Best Practices für die Informationssicherheit befolgt werden, um sicherzustellen, dass diese Interessen angemessen geschützt werden. Es ist auch wichtig, wachsam gegenüber der unbeabsichtigten Offenlegung vertraulicher Informationen des Unternehmens zu bleiben, die für das Unternehmen genauso schädlich sein kann wie die vorsätzliche Offenlegung.

Die Verarbeitung personenbezogener Daten in unserem Unternehmen erfolgt automatisiert, angesichts der erheblichen Mengen personenbezogener Daten, die wir verarbeiten, und der Notwendigkeit der Sicherheit, Schnelligkeit und Zuverlässigkeit ihrer Pflege. Um das Risiko zu reduzieren, werden die personenbezogenen Daten der Kunden nach Abschluss der Dokumentenbearbeitung gelöscht.

Wir führen regelmäßige IT-Audits durch, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sowie die Übereinstimmung des Informationssicherheits-Managementsystems mit Gesetzen, Datenschutzstandards und Richtlinien in Bezug auf die Verarbeitung personenbezogener Daten sicherzustellen und Schwachstellen in Informationssystemen zu identifizieren.

Technologie

Alle von uns generierten Informationen werden digital in unserem DMS-System gespeichert. Informationssicherheit ist die Praxis des Schutzes von Informationen durch Einschränkung des unbefugten oder anderweitig unsachgemäß erlangten Zugriffs, der Offenlegung, Vernichtung, Änderung oder des Kopierens solcher Informationen.

Wir verwenden fortschrittliche Sicherheitspraktiken, um unseren Schutz vor Cyberangriffen zu stärken. Jede unserer Filialen verfügt über eine verschlüsselte VPN-Verbindung und ist durch Firewalls geschützt. Das Personal hat nur Zugriff auf die Anwendungen, für die es verantwortlich ist, und hat auch innerhalb der Anwendung eingeschränkten Zugriff. Jeder Server befindet sich in einem nach ISO 27001 zertifizierten Rechenzentrum und verfügt über eine eigene Firewall und Antivirus. Der gesamte Datenverkehr in und aus unserem Netzwerk wird verschlüsselt und ständig überwacht, und wenn ungewöhnliches Verhalten festgestellt wird, werden sofort Maßnahmen ergriffen.

Um die Informationssicherheit zu gewährleisten, haben wir eine Defense in Depth (DiD)-Strategie implementiert und nutzen diese, die einen Satz mehrschichtiger und redundanter Verfahren und Mittel zur physischen und administrativen Kontrolle sowie technischen Schutz vor verschiedenen Bedrohungen umfasst, wie zum Beispiel:

  • Firewall. Wir verwenden Firewalls, die darauf abzielen, bösartige Aktivitäten, die auf eine bestimmte Anwendung oder das gesamte Netzwerk abzielen, zu erkennen und zu blockieren.
  • Netzwerksegmentierung. Wir haben unsere Netzwerke aufgrund unserer Geschäftsprozesse in logische Teilnetze unterteilt. Diese Netzwerke können nicht direkt miteinander interagieren, was den Schutz von Informationen gewährleistet, selbst wenn ein Teil des Netzwerks angegriffen wird.
  • Patch-Management. Wir überwachen den Status und führen regelmäßige Updates von Software, Betriebssystemen und Netzwerkgeräten durch, um bekannte Schwachstellen zu beseitigen, die zu unbefugtem Zugriff auf Computersysteme oder Netzwerke führen können.
  • IDS/IPS-System. Wir haben ein Intrusion-Detection- und Intrusion-Prevention-System implementiert und angewendet, das alarmiert, wenn potenziell bösartiger Netzwerkverkehr erkannt wird, und bösartige Aktivitäten im Netzwerk oder auf Benutzerdesktops blockiert.
  • DLP-System. Unser Unternehmen setzt ein Data Loss Prevention-System ein, um die Übertragung von vertraulichen und sensiblen Informationen durch Endbenutzer an unbefugte Empfänger außerhalb des Unternehmens zu verhindern.
  • Antivirensoftware ist auf allen Benutzercomputern im Firmennetzwerk installiert, einschließlich Laptops und mobilen Geräten der Benutzer, und bietet Antivirenschutz.
  • Privileged Access Management (PAM). Passwörter werden sicher in einem Repository gespeichert und verteilt, regelmäßig überprüft. Wir verwenden, wo immer möglich, Multi-Faktor-Authentifizierung. Gemäß dem Grundsatz des minimalsten Privilegs (POLP) erhalten Benutzer, Systeme und Prozesse nur Zugang zu den Ressourcen, die zur Erfüllung ihres zugewiesenen Zwecks unbedingt erforderlich sind.
Datenschutz

Schutz personenbezogener Daten

Unsere Datenschutzgrundsätze entsprechen dem Goldstandard der EU-Datenschutz-Grundverordnung (DSGVO). Wir wenden diese Prinzipien weltweit konsequent als Mindeststandard für den Umgang mit den uns von unseren Kunden anvertrauten Informationen an, auch wenn dies in bestimmten Ländern nicht erforderlich ist.

Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizieren und beschreiben. Diese personenbezogenen Daten können sich auf Verbraucher, unsere Arbeitskollegen, unsere Geschäftspartner oder sonstige Dritte beziehen. Datenschutz ist das Recht des Einzelnen, zu erfahren und zu beeinflussen, wie und warum seine personenbezogenen Daten erfasst und verarbeitet werden. Darüber hinaus gibt es fast überall, wo wir Geschäfte machen, Datenschutzgesetze. Jede Nichteinhaltung dieser Gesetze kann zu Bußgeldern, Gerichtsverfahren oder strafrechtlicher Verfolgung sowohl gegen das Unternehmen als auch gegen unsere einzelnen Mitarbeiter führen.

Daher müssen alle Mitarbeiter:

  • geschützte personenbezogene Daten nur für autorisierte Zwecke und nur im Rahmen ihrer beruflichen Pflichten verarbeiten, offenlegen oder anderweitig nutzen. Die Verpflichtung zur Geheimhaltung personenbezogener Daten bleibt auch nach dem Ausscheiden aus dem Unternehmen bestehen.
  • sicherstellen, dass personenbezogene Daten nicht an unbefugte interne oder externe Parteien weitergegeben werden.
  • sich im Zweifelsfall bei ihrem Vorgesetzten erkundigen, wie mit personenbezogenen Daten umzugehen ist.
  • jede bekannte oder vermutete unbefugte Nutzung oder Offenlegung personenbezogener Daten unverzüglich melden.

Alle unsere Mitarbeiter verstehen ihre Verantwortung und sind dafür verantwortlich, dass ihre Aktivitäten den Grundsätzen und Gesetzen zum Schutz personenbezogener Daten entsprechen.

Unsere Datenschutzgrundsätze:

  1. Transparenz: Wir informieren Kunden darüber, wie wir ihre personenbezogenen Daten verwenden möchten.
  2. Angemessene und rechtmäßige Verwendung: Wir verwenden personenbezogene Daten von Kunden nur in Übereinstimmung mit geltendem Recht und nur, wenn wir einen berechtigten Grund dafür haben.
  3. Zweckbeschränkung: Wir verwenden Kundendaten nur für bestimmte Zwecke und auf keine andere Weise.
  4. Datenminimierung: Wir bewahren keine Kundendaten länger auf, als dies zur Erbringung der angeforderten Dienstleistung oder zur Verfolgung unserer berechtigten Interessen erforderlich ist. Es werden keine Kopien der Bewerberdaten angefertigt oder gespeichert, weder digital noch physisch.
  5. Privacy by design (Datenschutz durch Technikgestaltung): Wir stellen sicher, dass unsere Dienste und Technologien unter Berücksichtigung der Privatsphäre unserer Kunden entwickelt wurden.
  6. Data accuracy: Wir bemühen uns, angemessene Qualitätsstandards für Daten einzuhalten.
  7. Rechte der Menschen: Wir respektieren das Recht der Menschen auf Privatsphäre.
  8. Datensicherheit: Wir halten angemessene Standards zum Schutz personenbezogener Daten ein und löschen diese gemäß den Datenschutzgesetzen, sobald sie nicht mehr benötigt werden.
  9. Datenübertragung: Wenn wir Kundendaten an Dritte weitergeben müssen, stellen wir sicher, dass diese Übertragung sicher und gesetzeskonform ist. Beispielsweise werden Papierdokumente nur von zuverlässigen Kurierdiensten versendet.
  10. Dritte: Wenn wir uns für einen Drittanbieter entscheiden, setzen wir Sorgfalts-, Überwachungs- und Sicherheitsmaßnahmen um, um sicherzustellen, dass die Informationen unserer Kunden angemessen geschützt sind und die gesetzlichen Anforderungen erfüllt werden.

Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten:

  • Das Online-Bewerbungsformular wird in einem sicheren, ISO 27001-zertifizierten Rechenzentrum gespeichert, vollständig verschlüsselt und verfügt über einen kontrollierten Zugriff.
  • Physische Medien werden zu Zwecken der Zugriffskontrolle sicher geschützt und alle elektronischen Daten werden verschlüsselt.
  • Daten werden nur in verschlüsselter Form und nur über verschlüsselte Übertragungswege sicher übertragen.
  • Alle Daten werden am Ende der Bestellabwicklung gelöscht. Wir löschen alle Daten nach den gesetzlichen Fristen.

Governance zum Schutz personenbezogener Daten

Der Schutz personenbezogener Daten wird von der obersten Leitung überwacht, die für die Einhaltung der in den Gesetzen und Vorschriften zum Datenschutz festgelegten Anforderungen verantwortlich ist. Darüber hinaus stellt die Unternehmensleitung sicher, dass unsere Politik in Bezug auf die Verarbeitung personenbezogener Daten mit unserer Geschäftsstrategie übereinstimmt und die nachhaltige Entwicklung des Unternehmens gewährleistet. Wir fühlen uns der Gewährleistung höchster Standards in Bezug auf Informationssicherheit und Datenschutz in allen unseren Geschäftsprozessen verpflichtet.

Im Rahmen der Speak Up! Policy werden Mitarbeiter ermutigt, Datenschutzvorfälle direkt an die Geschäftsleitung zu melden.

Businesskontinuität und Notfallwiederherstellung für die Sicherung der Unternehmensresilienz

Businesskontinuität und Notfallwiederherstellung für die Sicherung der Unternehmensresilienz

Ausfälle oder Geschäftsunterbrechungen aufgrund eines Cyberangriffs können verheerende Folgen für ein Unternehmen haben und die gesamte Lieferkette stören, was zu finanziellen und Reputationsschäden führt. In der heutigen digital abhängigen Welt zählt jede Sekunde. Je länger die Wiederherstellungszeit, desto größer ist der negative Einfluss auf das Geschäft.

Unsere Geschäftskontinuitätspolitik verfolgt drei Ziele:

  1. Das Engagement der Unternehmensleitung und ihre Führungsrolle bei der Sicherstellung der Geschäftskontinuität demonstrieren.
  2. Ein gemeinsames Verständnis innerhalb des Unternehmens und darüber hinaus über die Bedeutung der Geschäftskontinuität für die Resilienz bilden.
  3. Aktionen zur Sicherstellung von Geschäftskontinuität und Notfallwiederherstellung fördern.

Mit dem Aufkommen von Big Data, Cloud-Technologien und mobilen Geräten muss unser Unternehmen große Datenmengen verarbeiten und speichern. Notfallwiederherstellungspläne sind viel komplexer geworden, um viel größere Datenmengen von verschiedenen Geräten zu bewältigen. Um Resilienz zu gewährleisten, wird ein Notfallwiederherstellungsplan angewendet, der eine integrierte Strategie und fortschrittliche Technologien umfasst, einschließlich Backup und Datenwiederherstellungsorchestrierung.

Diese Notfallwiederherstellungslösungen helfen uns, Informationssysteme während und nach einem Cyberangriff schnell wiederherzustellen.

Die Planung der Geschäftskontinuität umfasst alle Aspekte des Geschäfts, einschließlich:

  • Geschäftsprozesse
  • Personalressourcen
  • Lieferketten

Unsere Geschäftskontinuitätsstrategie beantwortet die Fragen:

  • Welche Ausfallpunkte gibt es in der Organisation?
  • Welche kritischen Abhängigkeiten bestehen in Bezug auf Ausrüstung, Personal, Lieferanten oder andere Drittparteien?
  • Welche alternativen Lösungen gibt es für die Unterbrechung einer von ihnen?
  • Welche organisatorischen Prozesse, Personal, Fähigkeiten und Technologien sind erforderlich, um die Geschäftskontinuität sicherzustellen und eine vollständige Wiederherstellung nach einer Katastrophe zu gewährleisten?

Risikomanagement

Unser Ansatz nutzt fortschrittliche Technologien und bewährte Verfahren zur Risikobewertung, Priorisierung und zum Schutz von geschäftskritischen Anwendungen und Daten.

Für unser Unternehmen beinhaltet das Risikomanagement die Bewertung der Geschäftskontinuitätsstrategie und der Notfallwiederherstellungspläne. Bevor wir einen Notfallwiederherstellungsplan erstellt haben, führten wir eine Geschäftsfolgenanalyse (BIA) und Risikoanalyse (RA) durch und legten Wiederherstellungsziele fest. Durch das Analysieren, Testen und Verbessern dieser Pläne erhalten wir mehr Möglichkeiten, um die Geschäftsresilienz sicherzustellen.

Notfallwiederherstellungsplan

Das Hauptziel des Notfallwiederherstellungsplans besteht nicht nur darin, die Datenwiederherstellung sicherzustellen, sondern auch die Folgen einer Katastrophe für die Geschäftsprozesse zu minimieren und es dem Unternehmen zu ermöglichen, nach einer Naturkatastrophe schnell wieder zum normalen Betrieb zurückzukehren.

Der Notfallwiederherstellungsplan identifiziert, welche Anwendungen für den Geschäftsbetrieb am wichtigsten sind. Das Wiederherstellungszeitziel (RTO) beschreibt die Zielzeit, während der eine Geschäftsanwendung offline sein kann. Das Wiederherstellungspunktziel (RPO) beschreibt das Alter der Dateien, die aus der Backup-Speicherung wiederhergestellt werden müssen, bevor der normale Betrieb wieder aufgenommen werden kann.

Der Notfallwiederherstellungsplan, der gemäß der BSI 100-4 Norm erstellt wurde, beinhaltet:

  • Rollen und Verantwortlichkeiten für die Umsetzung des Notfallwiederherstellungsplans
  • Eine Liste potenzieller Risiken für kritische Systeme und vertrauliche Informationen
  • Verfahren zur Meldung von Naturkatastrophen, Ereignis-Eskalation, Wiederherstellung kritischer Abläufe und Wiederaufnahme des Normalbetriebs
  • Informationssicherheitsanforderungen während des gesamten Prozesses
  • Inventar von Backups und Remote-Speicherung
  • Notfallaktionspläne für verschiedene Arten von Katastrophensituationen
  • Verfügbarkeit der geplanten Dokumentation

Test des Notfallwiederherstellungsplans

Wir erhöhen die Resilienz des Unternehmens, indem wir BC- und DR-Pläne aktualisieren und regelmäßig testen.

Das Testen des Geschäftskontinuitäts- und Notfallwiederherstellungsplans stellt sicher, dass die festgelegten Wiederherstellungsverfahren ordnungsgemäß funktionieren, um den Geschäftsbetrieb aufrechtzuerhalten. Die Testphase identifiziert auch Verbesserungsmöglichkeiten, die in die nächste Version des Plans einfließen.

Um die Wirksamkeit des Notfallwiederherstellungsplans zu bewerten, führen wir regelmäßige interne Audits durch. Das Audit zielt darauf ab, Risiken im Detail zu erfassen und Kontrollmaßnahmen zu überprüfen, um festzustellen, ob diese Risiken für die Organisation akzeptabel sind.

Mitarbeiterschulung für maximale Resilienz

Der Erfolg von Geschäftskontinuitäts- und Notfallwiederherstellungsprogrammen hängt von einer angemessenen Mitarbeiterschulung ab, die die Bereitschaft der Mitarbeiter zur Bewältigung von Krisen sicherstellt.

Die Notfallwiederherstellungsschulung für Mitarbeiter umfasst sowohl das Unternehmensmanagement, das direkt für die Gewährleistung der Kontinuität verantwortlich ist, als auch alle anderen Mitarbeiter, was das Bewusstsein schärft, eine Unternehmenskultur des Aufbaus und der Aufrechterhaltung von Geschäftskontinuität fördert und eine breitere Beteiligung an den Wiederherstellungsmaßnahmen unterstützt.