ISO Compliance Center
von CodeTwo

Das Informationssicherheits-Managementsystem (ISMS) von CodeTwo, das gemäß den Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 zertifiziert ist, garantiert maximale Informationssicherheit und Schutz persönlicher Daten sowohl in der Cloud als auch in lokaler Umgebung.

Dieses ISO Compliance Center soll Sie über Folgendes informieren:

Was ist ISO/IEC 27001 und ISO/IEC 27018

ISO-Normen werden von der Internationalen Organisation für Normung (ISO) entwickelt, herausgegeben und aufrechterhalten. Die ISO/IEC 27000-Serie befasst sich mit Informationssicherheit, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Die folgende Tabelle gibt einen allgemeinen Überblick über ISO/IEC 27001 und ISO/IEC 27018 und enthält das Zertifikat, das unsere Konformität bestätigt.

ISO Compliance Center - BSI logo

IS 764207         PII 764209

Überblick

ISO/IEC 27001

Informationstechnologie – Sicherheitstechniken – Informationssicherheits-Managementsysteme – Anforderungen

Ein Informationssicherheitsstandard, der die Anforderungen in Bezug auf die Implementierung des Informationssicherheits-Managementsystems (ISMS) enthält. Das ISMS definiert eine Reihe von Prozessen, Verfahren, Richtlinien und anderen Mitteln (einschließlich Personen und IT-Systemen), mit denen das Unternehmen ein angemessenes Schutzniveau für seine vertraulichen Informationen sowie für die Informationen seiner Partner und Kunden sicherstellen kann. Der Standard schreibt außerdem vor, dass alle mit der Informationssicherheit verbundenen Risiken analysiert und behandelt werden und das ISMS selbst kontinuierlich verbessert wird.

ISO/IEC 27018

Informationstechnologie – Sicherheitstechniken – Verhaltenskodex zum Schutz personenbezogener Daten (PII-Daten) in öffentlichen Cloud-Umgebungen, die als PII-Prozessoren fungieren

Diese Norm legt detaillierte Anforderungen und Richtlinien für Datenverarbeiter fest. Sie regeln die Implementierung, Wartung und Validierung von Maßnahmen zum Schutz personenbezogener Daten, die in öffentlichen Cloud-Umgebungen verarbeitet werden. Sie enthält auch einen Verhaltenskodex für den Umgang mit personenbezogenen Daten und eine Auflistung der Benutzerrechte in Bezug auf deren Daten.

 

Unsere Zertifikate

Zert. Nr. IS 764207

CodeTwo's ISO certificate - thumbnail

Zert. Nr. PII 764209

CodeTwo's ISO certificate - thumbnail
Überblick

ISO/IEC 27001
Informationstechnologie – Sicherheitstechniken –
Informationssicherheits-Managementsysteme – Anforderungen

Ein Informationssicherheitsstandard, der die Anforderungen in Bezug auf die Implementierung des Informationssicherheits-Managementsystems (ISMS) enthält. Das ISMS definiert eine Reihe von Prozessen, Verfahren, Richtlinien und anderen Mitteln (einschließlich Personen und IT-Systemen), mit denen das Unternehmen ein angemessenes Schutzniveau für seine vertraulichen Informationen sowie für die Informationen seiner Partner und Kunden sicherstellen kann. Der Standard schreibt außerdem vor, dass alle mit der Informationssicherheit verbundenen Risiken analysiert und behandelt werden und das ISMS selbst kontinuierlich verbessert wird.


ISO/IEC 27018
Informationstechnologie – Sicherheitstechniken –
Verhaltenskodex zum Schutz personenbezogener Daten
(PII-Daten) in öffentlichen Cloud-Umgebungen,
die als PII-Prozessoren fungieren

Diese Norm legt detaillierte Anforderungen und Richtlinien für Datenverarbeiter fest. Sie regeln die Implementierung, Wartung und Validierung von Maßnahmen zum Schutz personenbezogener Daten, die in öffentlichen Cloud-Umgebungen verarbeitet werden. Sie enthält auch einen Verhaltenskodex für den Umgang mit personenbezogenen Daten und eine Auflistung der Benutzerrechte in Bezug auf deren Daten.

Unsere Zertifikate

Zert. Nr. IS 764207

CodeTwo's ISO certificate - thumbnail

Zert. Nr. PII 764209

CodeTwo's ISO certificate - thumbnail

Wie hat CodeTwo das mit ISO/IEC 27001 und ISO/IEC 27018 konforme ISMS implementiert

Wir betrachten den Schutz der Unternehmensdaten und der Daten, die uns von unseren Kunden und Partnern anvertraut werden, seit jeher als Priorität. Wir entwickeln und verbessern seit vielen Jahren relevante Richtlinien, Verfahren und Systeme, die unser Informationssicherheits-Managementsystem bilden. Dabei greifen wir auf bewährte Methoden und Industriestandards wie ISO/IEC 27001 und ISO/IEC 27018 zurück. Darüber hinaus hält CodeTwo auch die Vorgaben der DSGVO, des HIPAA, des CCPA und anderer Datenschutzgesetze der US-Bundesstaaten ein und erfüllt die PCI-Datensicherheitsanforderungen.

 

Die Erlangung des ISO-Zertifikats ist der Höhepunkt unserer langfristigen Bemühungen, den Informationen, die innerhalb unseres Unternehmens und über unsere Software sowohl lokal als auch in der Cloud verarbeitet werden, ein Höchstmaß an Sicherheit zu gewährleisten.

 

Hier lesen Sie die Informationssicherheits-Managementsystem-Richtlinie von CodeTwo

 

So halten wir ISO-Standards ein

 

1.	Hundertprozentige Einhaltung der Normen

1. Hundertprozentige Einhaltung der Normen

Das ISMS von CodeTwo erfüllt alle Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 – ohne Ausnahmen.

2.	Einhaltung der CIA-Triade-Prinzipien

2. Einhaltung der CIA-Triade-Prinzipien

Wir stellen sicher, dass die Vertraulichkeit, Integrität und Verfügbarkeit (eng. CIA – Confidentiality, Integrity and Availability) der von uns verarbeiteten Informationen jederzeit gewahrt bleibt.

3.	Umfassende Dokumentation

3. Umfassende Dokumentation

Wir dokumentieren alle Richtlinien, Prozesse und Verfahren, die in CodeTwo funktionieren. Darüber hinaus protokollieren wir jede Risikobewertung, Prüfung, Sicherheitsmaßnahme, Informationssicherheitsvorfall usw. Die gesamte Dokumentation wird von C-Level-Führungskräften geprüft.

4.	Änderungsmanagement

4. Änderungsmanagement

Wir führen jede organisatorische Änderung durch, indem wir den PDCA-Zyklus (d. h. Plan-Do-Check-Act) befolgen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen sicherzustellen. Diese Grundsätze gelten auch für die Softwareentwicklung selbst. Jede Änderung an unserer Software wird sorgfältig geplant, dokumentiert und braucht eine Einwilligung. Die alte Version der Software ist so gesichert, dass sie bei Bedarf wiederhergestellt werden kann. Sobald die Änderung erfolgreich implementiert wurde, geben wir die neue Version der Software erst nach dem erfolgreichen Abschluss aller Tests frei. Nach der Freigebe der neuen Version bemühen wir uns, das Produkt noch weiter zu verbessern.

5.	Risikobewertung und Risikobehandlungsplan

5. Risikobewertung und Risikobehandlungsplan

Wir erkennen und dokumentieren alle möglichen Bedrohungen und Schwachstellen, die die Informationssicherheit in unserem Unternehmen gefährden könnten. Wir bestimmen auch die Wahrscheinlichkeit und die Auswirkung dieser Risiken (unter Berücksichtigung verschiedener Szenarien) und entwickeln einen Korrekturplan, um den Informationsverlust und die Wahrscheinlichkeit des Auftretens solcher Risiken zu minimieren oder zu beseitigen. Dank der in unserem Unternehmen implementierten Sicherheitsmaßnahmen und Kontrollmechanismen können wir schnell feststellen, wer eine Änderung an einem bestimmten Quellcode, einer bestimmten Prozedur oder einem Dokument vorgenommen hat sowie wann die Änderung geschah und was geändert wurde.

6.	Gründlich geprüft

6. Gründlich geprüft

Wir unterziehen uns regelmäßigen internen und externen Sicherheitsprüfungen, welche in beiden unseren Büros durchgeführt werden. Bei externen Audits überprüft eine externe Zertifizierungsstelle, ob CodeTwo weiterhin den Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 erfüllt. Darüber hinaus führen wir zusätzliche interne Audits im Falle eines Informationssicherheitsvorfalls, nach jeder organisatorischen Änderung usw., durch. Diese Prüfungen werden gemäß unserem jährlichen Prüfungsplan von ausgewählten Mitarbeitern, die als Prüfer ernannt und geschult wurden, sowie von externen Prüfern durchgeführt.

7.	Betriebskontinuitätsmanagement

7. Betriebskontinuitätsmanagement

Wir sind auf alle Eventualitäten vorbereitet, die die geschäftskritischen Prozesse, die Software und die Dienstleistungen von CodeTwo beeinträchtigen könnten. Der in unserem Unternehmen implementierte Betriebskontinuitätsplan beschreibt alle organisatorischen und technischen Maßnahmen, die zur Reaktion auf potenzielle Krisensituationen eingesetzt werden, um unseren Kunden kontinuierlich Dienstleistungen zu erbringen.

8.	Engagement aller Mitarbeiter

8. Engagement aller Mitarbeiter

Jeder CodeTwo-Mitarbeiter muss seine Verantwortlichkeiten in Bezug auf die Informationssicherheit kennen, alle geltenden Verfahren befolgen und die in den Unternehmensrichtlinien festgelegten Richtlinien einhalten. Darüber hinaus sind alle Mitarbeiter an eine Vertraulichkeitsvereinbarung gebunden, wobei diejenigen, die personenbezogene Daten oder Kundendaten verarbeiten, auch eine entsprechende schriftliche Genehmigung benötigen. Um dies zu gewährleisten und das Bewusstsein der Mitarbeiter zu erweitern, organisieren wir bei jeder Einführung von Änderungen im ISMS interne oder externe Schulungen für alle Mitarbeiter. Alle Änderungen werden allen Mitarbeitern unverzüglich mitgeteilt, und die sämtliche Belegschaft liest mindestens einmal jährlich die dazugehörigen Unterlagen. Zusätzliche Schulungen werden bei Bedarf organisiert. Die C-Level-Führungskräfte unterstützen und tragen aktiv zu allen Sicherheits- und ISO-bezogenen Aktivitäten bei.

9.	Privacy by design / privacy by default

9. Privacy by design / privacy by default

Indem wir diesen beiden Konzepten folgen, bemühen wir uns, sicherzustellen, dass die Entwicklung und Bereitstellung unserer Lösungen, die personenbezogene Daten verarbeiten, unter Berücksichtigung der Sicherheit dieser Daten erfolgt. Darüber hinaus sind standardmäßig immer alle Sicherheitsfunktionen aktiviert. Benutzer müssen keine zusätzlichen Maßnahmen ergreifen, um ein Höchstmaß an Schutz zu gewährleisten.

10.	Einhaltung gesetzlicher Bestimmungen

10. Einhaltung gesetzlicher Bestimmungen

Neben der Erfüllung der Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 stellen wir auch immer sicher, dass wir alle relevanten Gesetze und Vorschriften zum Datenschutz einhalten, z. B. die EU-Datenschutz-Grundverordnung.

11.	Behandlung von Sicherheitsvorfällen

11. Behandlung von Sicherheitsvorfällen

Wir behandeln alle tatsächlichen und potenziellen Sicherheitsvorfälle unverzüglich und in Übereinstimmung mit dem ISMS. Sobald erkannt, wird ein solcher Vorfall dem zuständigen Personal gemeldet, wo er bewertet, dokumentiert und behoben wird. Darüber hinaus ziehen wir aus allen gemeldeten Vorfällen Schlussfolgerungen, um die Sicherheit und Reaktionszeit zu verbessern und ähnliche Vorfälle in Zukunft zu minimieren oder zu vermeiden.

12.	Lieferantenbeziehungen

12. Lieferantenbeziehungen

Wir überwachen und überprüfen alle Drittanbieter-Dienste und Lieferanten, die wir hinsichtlich der Informationssicherheit verwenden. Wir stellen außerdem sicher, dass der Zugriff von Dritten auf die von uns verarbeiteten Informationen auf ein Mindestmaß beschränkt ist und dass alle mit solchen Unternehmen geschlossenen Vereinbarungen Vertraulichkeitsklauseln enthalten.

13.	Kontinuierliche Verbesserung

13. Kontinuierliche Verbesserung

Die Konformität mit ISO/IEC 27001 und ISO/IEC 27018 beschränkt sich nicht auf die Besitzung bestimmter Zertifikate. Es ist ein kontinuierlicher Prozess, der über die Erfüllung aller in beiden Standards festgelegten Anforderungen hinausgeht – wir sind auch ständig bemüht, das ISMS zu verbessern. Aus diesem Grund führen wir bei CodeTwo interne und externe Audits durch, überprüfen alle unsere Richtlinien und Verfahren und bewerten die Risiken und Vorfälle, die mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind. All dies ermöglicht uns einen noch besseren Umgang mit der Informationssicherheit hinsichtlich des gesamten Betriebs.

Die Vorteile der Zertifizierung unserer Systeme für die Konformität mit ISO/IEC 27001 und ISO/IEC 27018

Durch die Einhaltung von ISO/IEC 27001 und ISO/IEC 27018 können Sie sicher sein, dass CodeTwo nur die bewährten Methoden in Bezug auf die Sicherheit von Informationen befolgt, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten zu gewährleisten. Wir bemühen uns auch, sicherzustellen, dass unsere Lösungen für Cloud- und lokale Plattformen die Grundsätzen von Privacy by Design und Privacy by Default beachten.

 

CodeTwo ISO Compliance Center - confidentialityISO-Vertraulichkeit

VERTRAULICHKEIT

Datenverschlüsselung und Zugriffskontrolle sind einige der Methoden, mit denen wir sicherstellen, dass alle Ihre persönlichen Daten jederzeit vertraulich behandelt werden – kein Unbefugter hat Zugriff darauf. Wir verarbeiten Ihre Daten zu diesem Zweck, zu welchem Sie sie uns zur Verfügung gestellt haben. Die einzigen Fälle, in denen wir Ihre Daten preisgeben können, sind in unseren Datenschutzerklärung.

CodeTwo ISO Compliance Center - integrityCodeTwo ISO Compliance Center - integrity mobile

INTEGRITÄT

Nur Sie können Ihre von uns gespeicherten persönlichen Daten ändern, korrigieren oder löschen. Sie können sogar unsere Verwendung Ihrer Daten einschränken. Durch die Implementierung der Versionskontrolle und der Backup-Strategie stellen wir sicher, dass die Integrität Ihrer Daten nicht gefährdet wird. Sie werden in keiner Weise geändert und bleiben jeder Zeit korrekt.

CodeTwo ISO Compliance Center - availabilityCodeTwo ISO Compliance Ctr - availability mobile

VERFÜGBARKEIT

Ihre Daten stehen Ihnen jederzeit zur Verfügung – Sie wissen, wo sie verarbeitet werden und können jederzeit den Zugriff darauf anfordern. Wir stellen sicher, dass alle unsere Systeme regelmäßig rund um die Uhr aktualisiert und aktiv überwacht werden, um maximale Verfügbarkeit und Leistung zu gewährleisten. Bei Hardwarefehlern sind wir immer bereit, auf sekundäre Spiegelservices umzusteigen.

Erfahren Sie auch, wie sicher und zuverlässig unsere Programme sind:

Lesen Sie auch: