INFORMATIONEN ZUR SICHERHEITSPOLITIK
[Letzte Aktualisierung: 17. Mai 2018]
Upclick Malta Limited dba Upclick ("Upclick" "Unternehmen" oder "wir") verpflichtet sich, Transparenz über die Sicherheitsmaßnahmen zu schaffen, die sie zum Schutz und
zur Sicherung personenbezogener Daten (im Sinne der allgemeinen EU-Datenschutzverordnung (Verordnung 2016/679 ("GDPR")), die von der Gesellschaft zum Zwecke der Erbringung
ihrer Dienstleistungen verarbeitet werden, wie in der Datenschutzrichtlinie des Unternehmens, nachzulesen unter:
https://upclick.com/privacy.html, getroffen hat.
Diese Richtlinie zur Informationssicherheit ("Sicherheitspolitik") beschreibt die aktuellen Sicherheitsmaßnahmen, die das Unternehmen zum oben angegebenen Datum der letzten
Aktualisierung anwendet. Wir werden diese Sicherheitsrichtlinie von Zeit zu Zeit aktualisieren, wie es die geltenden Gesetze und unsere internen Richtlinien erfordern.
Als Teil unseres GDPR-Compliance-Prozesses (verfügbar unter: www. upclick.com/gdpr) und unserer PCI-Compliance (alle Systeme sind PCI Level 1 Service Provider zertifiziert.
Unternehmen ist PCI-DSS Level 1 konform), haben wir technische organisatorische Überwachungsmaßnahmen implementiert und ein umfangreiches Informations- und Cybersicherheitsprogramm
eingerichtet, alle in Bezug auf die von Unternehmen verarbeiteten personenbezogenen Daten. Das Unternehmen unternimmt alle Anstrengungen, um sicherzustellen, dass alle Mitarbeiter
diese Sicherheitsrichtlinien einhalten.
System-Zugangskontrolle
Der Zugriff auf alle Datenverarbeitungssysteme erfolgt ausschließlich über die Benutzerauthentifizierungssysteme des Unternehmens. Alle Zugriffe auf das
Systemadministrationsnetzwerk des Unternehmens sind ausschließlich vom Büro aus über eine private, dunkle Glasfaserverbindung zum Rechenzentrum möglich.
Die Systeme sind nicht über das Internet zugänglich. Alle Zugriffe auf das Systemadministrationsnetzwerk des Unternehmens werden durch VPN und TLS 1. 2 verschlüsselt.
Die Authentifizierung für jedes System erfolgt über ein Benutzer-Passwort, das für jeden Mitarbeiter oder Mitarbeiter eindeutig ist und von einem anderen Domänencontroller
für diese Umgebung stammt. PCI-DSS Level 1 konforme Anforderungen, wie z. B. deaktivierte Standardbenutzer, Passwortkontrolle und manuelle und laufende Überwachung aller
Systemzugriffe. UpClick hat extreme Maßnahmen ergriffen, um den Schutz der persönlichen Daten zu gewährleisten.
Datenzugriffskontrolle
Der Zugang zu den Persönlichen Daten ist auf die Mitarbeiter beschränkt, die den Zugang benötigen. Die Mitarbeiter werden in Bezug auf die Sicherheit der persönlichen
Daten geschult und getestet. Die Datenbank ist ausschließlich für Datenbankadministratoren und Senior-Entwickler zugänglich. Alle Systeme des Unternehmens entsprechen den
Anforderungen des PCI Level 1 Service Providers.
Physische Zugangskontrolle
Alle Systeme der Firma befinden sich in einem Käfig an einem anderen Standort. Für den Zutritt zu diesem Standort ist ein biometrischer (Fingerabdruck) und eine
Zutrittskarte erforderlich. Einmal betreten, muss das Sicherheitspersonal rund um die Uhr die Identität der Person überprüfen und die Ein- und Ausfahrt protokollieren.
Innerhalb des Unternehmens ist ein Schlüssel zum Öffnen des Käfigvorhängeschlosses erforderlich. Alle Türen und Flure werden videoüberwacht. Alle Videoaufnahmen werden von
der Gesellschaft für einen Zeitraum von mindestens drei Monaten aufbewahrt.
Transferkontrolle
Ziel der Transferkontrolle ist es sicherzustellen, dass personenbezogene Daten nicht von Unbefugten bei der elektronischen Übermittlung von Daten oder bei der Übermittlung
an das jeweilige Rechenzentrum gelesen, kopiert, verändert oder entfernt werden können. Kundendaten werden nirgendwo anders als in die Datenbank des Unternehmens übertragen.
Das Backup wird extern über einen privaten Link verschickt. Der Offsite-Backup-Bereich ist durch eine Zugangskarte für den physischen Zugriff geschützt. Die Übertragung der Daten
während des Backups erfolgt verschlüsselt. Verschlüsselte Dateien über SFTP. IPNs über TLS 1. 2 und tokenisierten API-Zugriff.
Verfügbarkeitskontrolle und Zweckkontrolle
Das Unternehmen verfügt über einen Disaster-Recovery-Standort an einem anderen geografischen Standort und ist bereit, den Betrieb im Falle eines Systemausfalls oder einer
Sicherheitsverletzung fortzusetzen. Dieser Backup-Standort wird jedes Jahr von einem zertifizierten QSA besucht. Firmendatenbank-Backups, die extern versendet werden, werden
ausschließlich über einen privaten Link übertragen. Der Offsite-Backup-Bereich ist durch eine Zugangskarte für den physischen Zugriff geschützt. Die Übertragung der Daten während
der Datensicherung erfolgt verschlüsselt, wie in der Übertragungskontrollklausel angegeben. Alle Testumgebungen verarbeiten oder verwenden keine echten Daten.
Datenspeicherung
Personenbezogene Daten sowie Rohdaten werden so schnell wie möglich oder so schnell wie erlaubt gelöscht.
Arbeitnehmerkontrolle
Die Mitarbeiter und Datenverarbeiter sind alle verpflichtet Vereinbarungen zu unerzeichnen, die alle geltenden Datenschutzbestimmungen und Datensicherheitsverpflichtungen
beinhalten. Darüber hinaus durchlaufen die Mitarbeiter im Rahmen des Beschäftigungsprozesses ein nach regionalem Recht anzuwendendes Auswahlverfahren. Die Mitarbeiter sind
verpflichtet, die Richtlinien und Verfahren des Unternehmens einzuhalten, und Verstöße führen zu Disziplinarmaßnahmen bis hin zur Beendigung des Arbeitsverhältnisses.
Ein Mitarbeiter erhält erst dann Zugang zu den persönlichen Daten, wenn das Unternehmen darauf vertraut, dass der Mitarbeiter gut ausgebildet und verantwortungsbewusst ist,
mit den persönlichen Daten, falls erforderlich, sicher umzugehen. Darüber hinaus führt das Unternehmen jährliche Compliance-Schulungen durch, zu denen auch Schulungen zum Thema
Datensicherheit gehören.
Das Unternehmen hat sichergestellt, dass alle Dokumente, einschließlich ohne Einschränkungen, Vereinbarungen, Datenschutzrichtlinien, Online-Bedingungen,
etc. mit dem GDPR konform sind. Unser Rechtsteam ist damit beschäftigt, unsere Rechtsdokumentation auf den neuesten Stand zu bringen und die in Artikel 28 des GDPR
vorgeschriebenen Bestimmungen für den Verarbeiter aufzunehmen.
DIE ABTEILUNGEN FÜR INFORMATIONSSICHERHEIT, RECHT, DATENSCHUTZ UND COMPLIANCE ARBEITEN DARAN, REGIONALE GESETZE UND VORSCHRIFTEN ZU IDENTIFIZIEREN, DIE FÜR DIE
EINHALTUNG DER VORSCHRIFTEN DES UNTERNEHMENS GELTEN. DAHER KANN DIESE SICHERHEITSRICHTLINIE VON ZEIT ZU ZEIT ENTSPRECHEND DEN GELTENDEN RECHTSVORSCHRIFTEN ODER INTERNEN
RICHTLINIEN AKTUALISIERT WERDEN.