Technische und organisatorische Maßnahmen von Jedox

Dieses Dokument gibt einen Überblick über die technischen und organisatorischen Maßnahmen, durch welche Jedox den Schutz sowie die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sicherstellt.

Jedox Informationssicherheitsmaßnahmen werden in Übereinstimmung mit den Prinzipien der ISO/IEC 27001:2013, SOC 2 und der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) erstellt.

  • ISO/IEC 27001:2013 ist ein internationaler Standard, der Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Managementsystems für Informationssicherheit einschließlich der Bewertung und Behandlung von Informationssicherheitsrisiken spezifiziert.
  • SOC II Typ 2 ist ein Standard, gemäß welchem über einen bestimmten Zeitraum hinweg Berichte über die Einhaltung spezifischer interner Kontroll-Parameter durch ein Unternehmen erstellt wird.
  • Die EU-DSGVO ist eine Verordnung des EU-Rechts über Datenschutz und Privatsphäre, welche für alle Personen innerhalb der Europäischen Union gültig ist. Sie reguliert auch den Export personenbezogener Daten in Länder außerhalb der EU.

Jedox wird diese Maßnahmen regelmäßig überprüfen, bewerten, evaluieren und dementsprechend anpassen. Solche Anpassungen werden stets dem gleichen Zweck gelten, aber das Sicherheitsniveau nicht mindern.

1. Informationssicherheit:

Gegenstand:

Darstellung der Informationssicherheitsmaßnahmen innerhalb Jedox, sowie der Selbstverpflichtung zur stetigen Bewertung und Behandlung dieser Risiken, um die Informationssicherheit kontinuierlich zu verbessern.

Maßnahmen:

  1. Jedox verfügt über ein Managementsystem für Informationssicherheit auf der Grundlage von ISO/IEC 27001:2013-Maßnahmen eingeführt, in welches der Vorstand eingebunden ist. Dieses Managementsystem wurde und wird jährlich von einem unabhängigen, externen Auditor geprüft.
  2. Jedox beschäftigt Mitarbeiter für Informationssicherheit in Vollzeit, die hauptberuflich für die Informationssicherheit zuständig sind.
  3. Jedox verfügt über eine umfassende Reihe von Richtlinien und Prozessen zur Informationssicherheit, die nach Genehmigung durch die Geschäftsleitung an alle Mitarbeiter weitergegeben werden.
  4. Alle Mitarbeiter müssen eine Verpflichtungserklärung unterzeichnen, die bestätigt, dass sie die Richtlinien zur Informationssicherheit gelesen und verstanden haben und sich an die Maßnahmen halten.
  5. Schulungen zur Informationssicherheit werden jährlich für alle Mitarbeiter durchgeführt.
  6. Jedox stellt sicher, dass Lieferanten und Partner über geeignete Informationssicherheitsmaßnahmen verfügen und behält sich das Recht vor, ihre Informationssicherheitsmaßnahmen mindestens einmal jährlich zu überprüfen.
  7. Jedox verfügt über einen Änderungs-Management-Prozess, der Sicherheitsaspekte bei der Einführung von Änderungen an bestehenden Systemen oder bei der Implementierung neuer Systeme berücksichtigt.
  8. Der Jedox-Risikomanagementprozess umfasst das Lieferanten-Risikomanagement und das Risikomanagement von IT-Systemen.
  9. Die gesetzlichen Anforderungen von Jedox verpflichten Kunden und Lieferanten/Partner zum Abschluss von Vertraulichkeitsvereinbarungen und Datenverarbeitungsvereinbarungen (ADVs). Die ADV gewährleistet den Datenschutz, die Privatsphäre und die Vertraulichkeit der personenbezogenen Daten einer Person.
  10. Jedox führt regelmäßig interne und externe Audits seiner Sicherheitspraktiken durch.
  11. Jedox stellt sicher, dass alle Mitarbeiter, die in diesem Dokument beschriebenen technischen und organisatorischen Maßnahmen kennen und einhalten.

2. Zugangsbeschränkung

Gegenstand:

Es soll sichergestellt werden, dass Systeme, die Daten enthalten, nur von zugelassenen, authentifizierten Benutzern verwendet werden.
Physische Gegenstände, welche Daten enthalten, sollen geschützt werden.
Es soll sichergestellt werden, dass nur Personen, die zur Nutzung der Systeme berechtigt sind, Zugang zu den Daten erhalten, zu denen sie berechtigt sind.

Maßnahmen:

  1. Jedox-interne Benutzer erhalten ausschließlich auf Grundlage ihres Rollenprofils Zugang zu IT-Systemen.
  2. Alle Zugriffe auf das IT-System basieren auf den Prinzipien der geringsten Privilegien und auf “need to know”-Basis.
  3. Externe Benutzer, die Zugriff auf Jedox-Systeme benötigen, erhalten nur dann Zugriff, wenn sie vom zuständigen Senior Manager genehmigt wurden. External users will only be given access to Jedox IT systems when all contractual documents have been signed.
  4. Externe Benutzer erhalten nur auf Basis von externen Benutzerrollenprofilen Zugriff und sind in IT-Systemen eindeutig als extern identifizierbar.
  5. Der Zugriffs-Management-Prozess erlaubt nur Zugriffsanfragen von leitenden Managern.
  6. Alle Benutzer greifen auf Jedox-IT-Systeme mit einer eindeutigen Kennung (User-ID) zu.
  7. Die Jedox-Passwortkontrolle erfordert eine Passwort-Komplexität, die der alphanumerischen und Sonderzeichen-Methodik folgt.
  8. Jedox verfügt über ein geeignetes Verfahren, um Benutzer und deren Zugang zu deaktivieren, wenn ein Benutzer das Unternehmen oder eine Funktion verlässt.
  9. Jedox führt regelmäßige Überprüfungen der Benutzerzugriffsrechte und Rollenberechtigungen auf der Grundlage der Risikobewertung der einzelnen IT-Systeme durch.
  10. Nur autorisierte Personen erhalten Zutritt zu Jedox Räumlichkeiten, was durch Jedox Zutrittskontrollen sichergestellt wird.
  11. Der Jedox-Besucherprozess für alle Nicht-Jedox-Personen, die die Räumlichkeiten von Jedox betreten, schreibt vor, dass diese Personen jederzeit vom Gastgeber an- und abgemeldet und begleitet werden.
  12. Jedox klassifiziert alle Informationen, welche anschließend nur von autorisierten Personen auf Grundlage der Klassifizierung eingesehen werden können, um Vertraulichkeit und Integrität zu gewähren.

3. Systemkontrolle

Gegenstand:

Darstellung der Informationssicherheitsmaßnahmen innerhalb von Jedox, welche den Umgang mit Systemrisiken und die kontinuierliche Verbesserung der Informationssicherheit demonstrieren.

Maßnahmen:

  1. Jedox hat einen formalen Produktentwicklungsprozess, der einen Secure Development Lifecycle (SDLC) verwendet, der eine breite Palette von Sicherheitstests und Fehlerberichten umfasst. Alle Änderungen erfolgen nach Vornahme von Qualitätssicherung und der Durchführung von Tests vor der Implementierung.
  2. Jedox verfügt über einen zentralen, gesicherten Quellcode-Speicher, der nur autorisierten Mitarbeitern zugänglich ist.
  3. Die Aufgaben zwischen Test- und Produktionsumgebung sind getrennt.
  4. Eine Wiederherstellung der Backups auf allen IT-Systemen ist verfügbar.
  5. Jedox verfügt über ein Asset-Repository, in dem der Systembesitz und die Risikoeinstufung für jedes System aufgeführt sind.
  6. Jedox installiert Anti-Virus-Software auf allen Geräten.

4. Vertraulichkeit, Integrität und Verfügbarkeit

Gegenstand:

Es soll sichergestellt werden, dass die Daten während der gesamten Verarbeitung vertraulich behandelt werden und während der Verarbeitung intakt, vollständig und aktuell bleiben.

Es soll sichergestellt werden, dass die Daten vor versehentlicher Zerstörung oder Verlust geschützt sind und im Falle eines Servicezwischenfalles eine rechtzeitige Wiederherstellung oder Verfügbarkeit gewährleistet ist.

Maßnahmen:

  1. Alle Jedox-Mitarbeiter müssen Vertraulichkeitsvereinbarungen unterzeichnen, die in ihren vertraglichen Vereinbarungen enthalten sind.
  2. Alle Jedox Lieferanten und Partner sind verpflichtet, vertragliche Vereinbarungen zu unterzeichnen, die Vertraulichkeits- und Datenschutzanforderungen beinhalten.
  3. Jedox beschränkt den Zugriff auf Dateien und Programme auf einer “need-to-know”-Basis.
  4. Jedox verfügt über Protokollierung, Überwachung und Warnmechanismen, um unerwünschte Zugriffsversuche auf die Jedox-Umgebung zu erkennen. Wenn diese erkannt werden, werden sie untersucht und entsprechend behandelt.
  5. Lokale Rechenzentren verfügen über Geschäftskontinuitäts- und Notfallpläne für Katastrophenfälle.
  6. Eine Richtlinie zur Aufbewahrung von Dokumenten stellt sicher, dass die erforderlichen Daten gemäß der Klassifizierung der Informationen und den gesetzlichen Bestimmungen aufbewahrt oder vernichtet werden.
  7. Jedox-Datenschutzverfahren umfassen das “Recht, vergessen zu werden”, das “Recht auf Berichtigung”.

5. Customer Cloud

Gegenstand:

Es sollen Maßnahmen für das Management der Kunden-Cloud-Umgebung demonstrieren aufgezeigt werden.

Es soll sichergestellt werden, dass Kundendaten während der Übertragung/Speicherung nicht von Unbefugten gelesen, kopiert, verändert oder gelöscht werden.

Es soll sichergestellt werden, dass die Daten jedes Kunden separat verarbeitet werden.

Maßnahmen:

  1. Jedox verwendet eine logische Trennung innerhalb seiner Single-Tenant-Architektur, um die Datentrennung zwischen den Kunden zu herbeizuführen. Jeder Kunde erhält eine eigene spezifische URL, die als HTTPS angelegt wird. Jeder Kundenbenutzer erhält eine eindeutige Benutzerkennung.
  2. Jedox stellt pro Kunde separate virtuelle Maschinen (VM’s) zur Verfügung, so dass keine Datenbanken gemeinsam genutzt werden.
  3. Sämtliche Kundendaten werden während der Übertragung und im Ruhezustand verschlüsselt.
  4. Die den Kunden zugeordneten Daten werden gelöscht, sobald sie nicht mehr benötigt werden.
  5. Der Kunde kann den geografischen Standort für seine Datenspeicherung wählen.
  6. Jedox kann einheitliches Active Directory (AD) bereitstellen.
  7. Alle Kundendaten werden vertraulich behandelt, und nur autorisierte Personen können diese Informationen auf einer “Need-to-know-Basis” einsehen. Selbstverständlich greift Jedox nicht auf Kundendaten zu, und wenn der Zugang für den Betrieb des Dienstes oder die Unterstützung bei einem Kundenproblem erforderlich ist, muss der Antrag auf Zugang formell begründet und vom Kunden genehmigt werden. Der Kunde kann den Fortschritt über sein Support-Portal verfolgen.
  8. Die Aufgaben zwischen Test- und Produktionsumgebung sind getrennt.
  9. Backup und Wiederherstellung ist für Cloud-Umgebungen verfügbar.

6. Störfallmanagement

Gegenstand:

Im Falle eines Sicherheitsvorfalls oder einer Datenverletzung, soll sichergestellt werden, dass die Auswirkungen des Sicherheitsvorfalls oder der Datenverletzung minimiert und die betroffenen Parteien unverzüglich informiert werden.

Maßnahmen:

  1. Jedox unterhält einen aktuellen Vorfallmanagementprozess, der die Verantwortlichkeiten, die Bewertung, Klassifizierung und Behandlung von Informationssicherheitsereignissen umfasst.
  2. Die Jedox Data Breach Policy legt fest, wie solche Ereignisse bewertet, klassifiziert und behandelt werden sowie wie Verantwortlichkeiten zuzuordnen sind und wer extern benachrichtigt werden muss. Kunden und die zuständigen Behörden werden unverzüglich nach der Bestätigung einer Datenschutzverletzung informiert.