Organisatorische Sicherheit
Informationssicherheitsprogramm
- Wir verfügen über ein Informationssicherheitsprogramm, das in der gesamten Organisation bekannt gemacht wird. Unser Informationssicherheitsprogramm folgt den Kriterien des SOC 2 Framework. SOC 2 ist ein weithin bekanntes Verfahren zur Prüfung der Informationssicherheit, das vom American Institute of Certified Public Accountants entwickelt wurde.
Prüfungen durch Dritte
- Unsere Organisation unterzieht sich unabhängigen Bewertungen durch Dritte, um unsere Sicherheits- und Compliance-Kontrollen zu testen.
Penetrationstests durch Dritte
- Wir führen mindestens einmal im Jahr einen Penetrationstest durch einen unabhängigen Dritten durch, um sicherzustellen, dass die Sicherheit unserer Dienste nicht gefährdet ist.
Rollen und Verantwortlichkeiten
- Die Rollen und Verantwortlichkeiten in Bezug auf unser Informationssicherheitsprogramm und den Schutz der Daten unserer Kunden sind klar definiert und dokumentiert. Unsere Teammitglieder sind verpflichtet, alle Sicherheitsrichtlinien zu überprüfen und zu akzeptieren.
Schulungen zumSicherheitsbewusstsein
- Unsere Teammitglieder müssen an Schulungen zum Sicherheitsbewusstsein der Mitarbeiter teilnehmen, die branchenübliche Praktiken und Themen der Informationssicherheit wie Phishing und Passwortverwaltung abdecken.
Vertraulichkeit
- Alle Teammitglieder müssen vor ihrem ersten Arbeitstag eine branchenübliche Vertraulichkeitsvereinbarung unterzeichnen und einhalten.
Background Checks
- Wir führen bei allen neuen Teammitgliedern Background Checks in Übereinstimmung mit den lokalen Gesetzen durch.
Cloud-Sicherheit
Sicherheit der Cloud-Infrastruktur
- Alle unsere Dienste werden bei Amazon Web Services (AWS) und Google Cloud Platform (GCP) gehostet. Sie verwenden ein robustes Sicherheitsprogramm mit mehreren Zertifizierungen. Weitere Informationen über die Sicherheitsprozesse unseres Providers finden Sie unter AWS-Sicherheit und GCP-Sicherheit.
Sicherheit beim Datenhosting
- Alle unsere Daten werden in Amazon Web Services (AWS) und Google Cloud Platform (GCP) Datenbanken gehostet. Diese Datenbanken befinden sich alle in den Vereinigten Staaten. Weitere Informationen finden Sie in der oben verlinkten anbieterspezifischen Dokumentation.
Verschlüsselung im Ruhezustand
- Alle Datenbanken werden im Ruhezustand verschlüsselt.
Verschlüsselung bei der Übertragung
- Unsere Anwendungen werden bei der Übertragung nur mit TLS/SSL verschlüsselt.
Schwachstellen-Scanning
- Wir führen Schwachstellen-Scans durch und überwachen aktiv Bedrohungen.
Protokollierung und Überwachung
- Wir überwachen und protokollieren aktiv verschiedene Cloud-Dienste.
Geschäftskontinuität und Notfallwiederherstellung
- Wir nutzen die Sicherungsdienste unseres Datenhosting-Anbieters, um das Risiko eines Datenverlusts im Falle eines Hardwareausfalls zu verringern. Wir nutzen Überwachungsdienste, um das Team zu alarmieren, wenn es zu Ausfällen kommt, die die Benutzer betreffen.
Reaktion auf Vorfälle
- Wir verfügen über ein Verfahren für den Umgang mit Informationssicherheitsvorfällen, das Eskalationsverfahren, rasche Abhilfe und Kommunikation umfasst.
Zugangssicherheit
Berechtigungen und Authentifizierung
- Der Zugang zur Cloud-Infrastruktur und anderen sensiblen Tools ist auf autorisierte Mitarbeiter beschränkt, die ihn für ihre Rolle benötigen. Wo verfügbar, haben wir Single Sign-on (SSO), 2-Faktor-Authentifizierung (2FA) und strenge Passwortrichtlinien, um sicherzustellen, dass der Zugang zu Cloud-Diensten geschützt ist.
Least Privilege Access Control
- Bei der Identitäts- und Zugriffsverwaltung folgen wir dem Prinzip der geringsten Privilegien.
Vierteljährliche Zugriffsüberprüfungen
- Wir führen vierteljährliche Zugriffsüberprüfungen aller Teammitglieder mit Zugriff auf sensible Systeme durch.
Passwortanforderungen
- Alle Teammitglieder sind verpflichtet, ein Minimum an Passwortanforderungen und -komplexität für den Zugang einzuhalten.
Passwort-Manager
- Alle vom Unternehmen ausgegebenen Laptops verwenden einen Passwort-Manager für Teammitglieder, um Passwörter zu verwalten und die Komplexität der Passwörter zu erhalten.
Anbieter- und Risikomanagement
Jährliche Risikobewertungen
- Wir unterziehen uns mindestens jährlichen Risikobewertungen, um potenzielle Bedrohungen zu ermitteln, einschließlich Überlegungen zu Betrug.
Risikomanagement für Lieferanten
- Das Risiko vonLieferanten wird ermittelt und vor der Zulassung eines neuen Lieferanten werden die entsprechenden Überprüfungen durchgeführt.
Kontakt
Wenn Sie Fragen, Kommentare oder Bedenken haben oder ein mögliches Sicherheitsproblem melden möchten, wenden Sie sich bitte an security@joor.com.
