Die Buildworks Group verpflichtet sich, ein robustes und umfassendes Sicherheitsprogramm für Unternehmensdienste bereitzustellen, einschließlich der in diesen Ergänzenden Bedingungen dargelegten Sicherheitsmaßnahmen („Unternehmenssicherheitsmaßnahmen“). Während der Abonnementlaufzeit können sich diese Unternehmenssicherheitsmaßnahmen ohne Vorankündigung ändern, wenn sich Standards weiterentwickeln oder wenn zusätzliche Kontrollen implementiert oder bestehende Kontrollen geändert werden, wenn wir dies für angemessen halten.

​

Von uns eingesetzte Unternehmenssicherheitsmaßnahmen
Wir werden diese Unternehmenssicherheitsmaßnahmen einhalten, um Servicedaten zu schützen, soweit dies für die Bereitstellung der Unternehmensdienste angemessen ist:

1. Sicherheitsrichtlinien und Personal. Wir verfügen über ein verwaltetes Sicherheitsprogramm und werden es auch weiterhin beibehalten, um Risiken zu identifizieren und präventive Technologien sowie Technologien und Prozesse zur allgemeinen Angriffsabwehr zu implementieren. Dieses Programm wird und wird regelmäßig überprüft, um eine kontinuierliche Wirksamkeit und Genauigkeit sicherzustellen. Wir verfügen über ein Vollzeit-Informationssicherheitsteam und werden es auch weiterhin behalten, das für die Überwachung und Überprüfung der Sicherheitsinfrastruktur unserer Netzwerke, Systeme und Dienste, die Reaktion auf Sicherheitsvorfälle sowie die Entwicklung und Durchführung von Schulungen für unsere Mitarbeiter im Einklang mit unseren Sicherheitsrichtlinien verantwortlich ist.

​

2. Datenübertragung. Wir werden wirtschaftlich angemessene administrative, physische und technische Sicherheitsvorkehrungen treffen, um die Sicherheit, Vertraulichkeit und Integrität der Servicedaten zu schützen. Zu diesen Schutzmaßnahmen gehört die Verschlüsselung von Servicedaten im Ruhezustand und bei der Übertragung mit unseren Benutzeroberflächen oder APIs (unter Verwendung von TLS oder ähnlichen Technologien) über das Internet, mit Ausnahme aller Nicht-Buildworks-Services, die keine Verschlüsselung unterstützen, zu denen Sie über das Unternehmen eine Verbindung herstellen können Dienstleistungen nach Ihrer Wahl.

 

3. Audits und Zertifizierungen. Auf Anfrage des Abonnenten und vorbehaltlich der in dieser Vereinbarung festgelegten Vertraulichkeitsverpflichtungen stellt Buildworks dem Abonnenten, der kein Wettbewerber von Buildworks ist (oder dem unabhängigen externen Prüfer des Abonnenten, der kein Wettbewerber von Buildworks ist), Informationen über die Compliance von Buildworks zur Verfügung mit den in dieser Vereinbarung festgelegten Verpflichtungen in Form der ISO 27001-Zertifizierung und/oder SOC 2 (unter angemessenen Geheimhaltungsschutzmaßnahmen) oder SOC 3-Berichten von Buildworks.

 

4. Reaktion auf Vorfälle. Wir verfügen über einen Vorfallmanagementprozess für Sicherheitsereignisse, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigen können. Dazu gehört eine Reaktionszeit, innerhalb derer Buildworks seine Abonnenten kontaktiert, wenn ein Sicherheitsvorfall festgestellt wird, der Ihre Servicedaten betrifft. Dieser Prozess legt Vorgehensweisen, Verfahren zur Benachrichtigung, Eskalation, Schadensbegrenzung und Dokumentation fest. Das Incident-Response-Programm umfasst zentralisierte Überwachungssysteme rund um die Uhr und Bereitschaftspersonal zur Reaktion auf Servicevorfälle. Sofern von Strafverfolgungs- oder Regierungsbehörden nichts anderes angeordnet wird, werden Sie innerhalb von zweiundsiebzig (72) Stunden nach einer Dienstdatenverletzung benachrichtigt. „Verletzung von Servicedaten“ bedeutet einen unbefugten Zugriff oder eine unzulässige Offenlegung, die sich nachweislich auf Ihre Servicedaten ausgewirkt hat.

 

5. Zugriffskontrolle und Berechtigungsverwaltung. Wir beschränken den administrativen Zugriff auf Produktionssysteme auf autorisiertes Personal. Wir verlangen, dass dieses Personal über eindeutige IDs und zugehörige kryptografische Schlüssel verfügt. Diese Schlüssel werden verwendet, um die Aktivitäten jeder Person auf unseren Systemen zu authentifizieren und zu identifizieren, einschließlich des Zugriffs auf Servicedaten. Bei der Einstellung werden unserem zugelassenen Personal eindeutige Schlüssel zugewiesen. Bei Ausscheiden aus dem Personal oder wenn der Verdacht einer Kompromittierung dieses Schlüssels besteht, werden diese Schlüssel widerrufen. Zugriffsrechte und -ebenen basieren auf der beruflichen Funktion und Rolle unserer Mitarbeiter. Dabei werden die Konzepte „Least Privilege“ und „Need-to-know“-Prinzip verwendet, um die Zugriffsrechte definierten Verantwortlichkeiten zuzuordnen.

 

6. Netzwerkmanagement und Sicherheit. Die von uns für Hosting-Dienste eingesetzten Unterauftragsverarbeiter verfügen über eine vollständig redundante und sichere Netzwerkarchitektur nach Industriestandard mit angemessen ausreichender Bandbreite sowie über eine redundante Netzwerkinfrastruktur, um die Auswirkungen des Ausfalls einzelner Komponenten abzumildern. Unser Sicherheitsteam nutzt branchenübliche Dienstprogramme zum Schutz vor bekannten, häufigen nicht autorisierten Netzwerkaktivitäten, überwacht Sicherheitshinweislisten auf Schwachstellen und führt regelmäßige externe Schwachstellenscans und -prüfungen durch.

 

7. Rechenzentrumsumgebung und physische Sicherheit. Die Umgebungen der Unterauftragsverarbeiter, die wir für Hosting-Dienste im Zusammenhang mit unserer Bereitstellung der Unternehmensdienste nutzen, wenden die folgenden Sicherheitsmaßnahmen an:

• Eine Sicherheitsorganisation, die rund um die Uhr für die physische Sicherheit verantwortlich ist.

• Der Zugang zu Bereichen, in denen Systeme oder Systemkomponenten in Rechenzentren installiert oder gelagert werden, ist durch Sicherheitsmaßnahmen und -richtlinien im Einklang mit Industriestandards eingeschränkt.

• N+1 unterbrechungsfreie Stromversorgung und HVAC-Systeme, Notstromgeneratorarchitektur und fortschrittliche Brandbekämpfung.

• Technische und organisatorische Maßnahmen zur Unternehmenssicherheit für Drittanbieter, die Servicedaten verarbeiten

Diese Bedingungen wurden zuletzt am 8. November 2020 aktualisiert.