Die Buildworks Group verpflichtet sich, ein robustes und umfassendes Sicherheitsprogramm für Innovation Services bereitzustellen, einschließlich der in diesen Ergänzenden Bedingungen dargelegten Sicherheitsmaßnahmen („Innovationssicherheitsmaßnahmen“). Während der Abonnementlaufzeit können sich diese Innovationssicherheitsmaßnahmen ohne Vorankündigung ändern, wenn sich Standards weiterentwickeln oder wenn zusätzliche Kontrollen implementiert oder bestehende Kontrollen geändert werden, wenn wir es für angemessen halten. 

​

Von uns eingesetzte Innovationssicherheitsmaßnahmen

Wir werden diese Innovationssicherheitsmaßnahmen einhalten, um Servicedaten zu schützen, soweit dies für die Bereitstellung der Innovationsdienste vernünftigerweise erforderlich ist:

1. Sicherheitsrichtlinien und Personal. Wir verfügen über ein verwaltetes Sicherheitsprogramm und werden es auch weiterhin beibehalten, um Risiken zu identifizieren und präventive Technologien sowie Technologien und Prozesse zur allgemeinen Angriffsabwehr zu implementieren. Wir verfügen über ein Vollzeit-Informationssicherheitsteam und werden es auch weiterhin behalten, das für den Schutz unserer Netzwerke, Systeme und Dienste, die Reaktion auf Sicherheitsvorfälle sowie die Entwicklung und Durchführung von Schulungen für unsere Mitarbeiter im Einklang mit unseren Sicherheitsrichtlinien verantwortlich ist.

 

2. Datenübertragung. Wir werden wirtschaftlich angemessene administrative, physische und technische Sicherheitsvorkehrungen treffen, um die Verfügbarkeit, Vertraulichkeit und Integrität der Servicedaten zu schützen.

 

3. Reaktion auf Vorfälle. Wir verfügen über einen Vorfallmanagementprozess für Sicherheitsereignisse, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigen können. Dazu gehört eine Reaktionszeit, innerhalb derer Buildworks seine Abonnenten kontaktiert, wenn ein Sicherheitsvorfall festgestellt wird, der Ihre Servicedaten betrifft. Dieser Prozess legt Vorgehensweisen, Verfahren zur Benachrichtigung, Eskalation, Schadensbegrenzung und Dokumentation fest. Sofern von Strafverfolgungs- oder Regierungsbehörden nichts anderes angeordnet wird, werden Sie innerhalb von zweiundsiebzig (72) Stunden nach einer Dienstdatenverletzung benachrichtigt. „Verletzung von Servicedaten“ bedeutet einen unbefugten Zugriff oder eine unzulässige Offenlegung, die sich nachweislich auf Ihre Servicedaten ausgewirkt hat.

 

4. Zugriffskontrolle und Berechtigungsverwaltung. Wir beschränken den administrativen Zugriff auf Produktionssysteme auf autorisiertes Personal.

 

5. Netzwerkmanagement und Sicherheit. Die von uns genutzten Rechenzentren verfügen über eine vollständig redundante und sichere Netzwerkarchitektur nach Industriestandard mit einigermaßen ausreichender Bandbreite. Unser Sicherheitsteam nutzt branchenübliche Tools und Methoden zur Abwehr bekannter häufiger unbefugter Netzwerkaktivitäten und führt regelmäßige externe Schwachstellenscans durch.

 

6. Rechenzentrumsumgebung und physische Sicherheit. Die Rechenzentrumsumgebungen, die wir im Zusammenhang mit unserer Bereitstellung der Innovationsdienste nutzen, nutzen die folgenden Sicherheitsmaßnahmen:

Eine Sicherheitsorganisation, die für physische Sicherheitsfunktionen verantwortlich ist.

Der Zugang zu Bereichen, in denen Systeme oder Systemkomponenten in Rechenzentren installiert oder gelagert werden, ist durch Sicherheitsmaßnahmen und -richtlinien im Einklang mit Industriestandards eingeschränkt.
Technische und organisatorische Innovationssicherheitsmaßnahmen für Drittdienstleister

Buildworks kann bei der Bereitstellung der Innovationsdienste Drittdienstleister einsetzen und diesen Dienstanbietern Zugriff auf Ihre Konto- und Servicedaten gewähren, soweit dies für die Bereitstellung der Innovationsdienste vernünftigerweise erforderlich ist. Buildworks unterhält ein Sicherheitsüberprüfungsprogramm für Anbieter, das alle potenziellen Risiken bewertet und verwaltet, die mit der Nutzung dieser Drittanbieter, die Zugriff auf Servicedaten haben, verbunden sind.

​

Drittanbieter von Diensten, die für das langfristige Hosting von Dienstdaten eingesetzt werden (hier als Infrastruktur-Unterauftragsverarbeiter bezeichnet), unterliegen neben den anderen Anforderungen im Rahmenabonnementvertrag der Umsetzung und Aufrechterhaltung der Einhaltung der folgenden entsprechenden technischen Anforderungen und organisatorische Sicherheitsmaßnahmen:

• Physische Zugangskontrollen. Drittanbieter von Dienstleistungen müssen angemessene Maßnahmen ergreifen, um zu verhindern, dass Unbefugte physischen Zugang zu Datenverarbeitungssystemen erhalten, in denen Servicedaten verarbeitet werden.

• Systemzugriffskontrollen. Drittdienstleister ergreifen angemessene Maßnahmen, um eine unbefugte Nutzung von Datenverarbeitungssystemen zu verhindern.

• Datenzugriffskontrollen. Drittanbieter müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Servicedaten nur für ordnungsgemäß autorisiertes Personal zugänglich und verwaltbar sind.

• Übertragungssteuerung. Drittdienstleister müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen die Übermittlung von Servicedaten mittels Datenübertragungseinrichtungen vorgesehen ist, sodass Servicedaten nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können bei elektronischer Übertragung oder Transport.

• Eingabesteuerung. Drittdienstleister ergreifen angemessene Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, ob und von wem Dienstdaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden; und jede Übertragung von Servicedaten an einen Drittanbieter erfolgt über eine sichere Übertragung.

• Logische Trennung. Drittanbieter von Diensten müssen Dienstdaten logisch von den Daten anderer Parteien auf ihren Systemen trennen, um sicherzustellen, dass Dienstdaten separat verarbeitet werden können.

 

Spezifische Unterauftragsverarbeiter für den Innovationsdienst
Drittdienstleister, die im Übrigen Zugriff auf Ihre Servicedaten in Innovation Services haben, aber zur Bereitstellung spezifischer Funktionen oder Komponenten des Produkts außerhalb des Kern-Hostings von Servicedaten eingesetzt werden („Innovation Service-spezifische Unterauftragsverarbeiter“), werden regelmäßig überprüft von Buildworks, um sicherzustellen, dass sie auf die Umsetzung aller für Infrastruktur-Unterauftragsverarbeiter anwendbaren Standards hinarbeiten. Eine Liste dieser Drittanbieter finden Sie hier. Dabei handelt es sich um die Anbieter, die als innovationsdienstspezifische Unterauftragsverarbeiter bezeichnet werden.

​

Diese Bedingungen wurden zuletzt am 8. November 2020 aktualisiert.