Die CSA Group und ihre Tochtergesellschaften und verbundenen Unternehmen (zusammen „CSA Group“) verpflichten sich, Ihre persönlichen Daten zu schützen. Wir geben sie nicht weiter, verkaufen sie nicht und greifen nicht darauf zu, außer um Ihnen unsere vertraglich vereinbarten Dienstleistungen zu erbringen oder für Zwecke, für die Sie Ihre Zustimmung gegeben haben.

Dieses Dokument fasst die Datenschutzrichtlinien und -praktiken zusammen, die wir im Rahmen unseres Sicherheitsprogramms implementiert haben. Die Begriffe „Datenverantwortlicher“ und „Datenverarbeiter“ werden gemäß der Definition in der EU-Datenschutzgrundverordnung 2016/679 (DSGVO) verwendet.

Schutz unserer physischen Räumlichkeiten und Datenverarbeitungsanlagen

Personenbezogene Daten befinden sich auf Servern in Rechenzentren der Stufe 1 oder höher (von Datenprozessoren verwendet) oder in sicheren dedizierten Serverräumen innerhalb der physischen Räumlichkeiten der CSA Group. Alle Datenverarbeiter und physischen Räumlichkeiten der CSA Group haben Sicherheitskontrollen implementiert, um zu verhindern, dass unbefugte Personen physischen Zugriff auf Datenverarbeitungsgeräte erlangen, die personenbezogene Daten enthalten. Diese umfassen Folgendes:

  • Etablierte Sicherheitsbereiche
  • Kontrolle der Zugangsberechtigung für Mitarbeiter und Dritte
  • Sicherheitsalarmsysteme
  • Verwendung von berührungslosen ID-Karten und/oder biometrischer Authentifizierung für den Zugang
  • Videoüberwachung und/oder Zugangsprotokolle
  • Verfahren für Besucherzugang

Schutz unserer Systeme

Die CSA Group hat Maßnahmen zum Verhindern und Erkennen des Eindringens unbefugter Personen in seine Datensysteme eingerichtet. Systemkontrollen umfassen:

  • Zugangskontrollen, die von Stellenverantwortlichkeiten implementiert werden, und Verwendung von Autorisierungsverfahren
  • Privilegierte Zugangskontrollen für Administratoren, separat verwaltet
  • Zugangsprotokollierung
  • Nutzung von Firewalls und netzwerkbasierten Zugangsbeschränkungen der nächsten Generation
  • Erkennung und Abwehr von Malware an mehreren Punkten
  • Verwendung zentral verwalteter Identitäten, starker Kennwörter, Multi-Factor-Authentifizierung und digitaler Zertifikate
  • Eindringungsüberwachung und Reaktion auf erkannte Verstöße und andere sicherheitsrelevante oder betriebliche Ereignisse
  • Überwachung der Einhaltung von Sicherheitsregeln und Schwachstellenbewertung
  • Updates von System-Patches und Sicherheitssoftware
  • Bewertung durch Dritte und Penetrationstests

Schutz unserer Daten

Der Zugriff auf oder die Offenlegung von personenbezogenen Daten, die von der CSA Group kontrolliert oder verarbeitet werden, ist durch Zugriffsberechtigungsregeln und/oder Verschlüsselung geschützt. Autorisierte Personen, die Zugang zu Systemen haben, die personenbezogene Daten enthalten, dürfen auf die Daten nur im Umfang der Berechtigungen und des Umfangs zugreifen, die aufgrund ihrer beruflichen Verantwortung und zum Zweck der Erbringung von Dienstleistungen oder Pflichten, die den betroffenen Personen offengelegt werden, erteilt wurden. Wenn personenbezogene Daten, die von der CSA Group kontrolliert werden, von Dritten verarbeitet werden, muss der Zugriff auf personenbezogene Daten gleichwertig kontrolliert werden. Diese Kontrollen umfassen:

  • Kontrollierter Zugriff auf personenbezogene Daten über rollenbasierte Regeln, eindeutige Anmeldeberechtigungen und dem Prinzip der geringsten Privilegien
  • Verwendung der Verschlüsselung während der Übertragung und in Ruhe mithilfe starker Algorithmen
  • Systeme, die Zugangsprotokolle für zumutbare Zeit speichern
  • Mitarbeiterschulung und Richtlinien zur Nutzung und zum Zugriff auf personenbezogene Daten
  • Regelmäßige Überprüfung von Konten, Zugriffsberechtigungen und Administratoraktivität

Gewährleistung unserer Datenverfügbarkeit

Die CSA Group hat Maßnahmen implementiert, um sicherzustellen, dass personenbezogene Daten vor unbeabsichtigtem Verlust oder Zerstörung durch mögliche Katastrophen bei unseren Datenverarbeitern geschützt sind. Diese umfassen:

  • Anforderungen und Servicevereinbarungen für Systemleistung, Laufzeit, Redundanz, physisch getrennte Backup-Speicher und Notfallwiederherstellung, jeweils mit geeigneten Sicherheitssystemen und Prozesskontrollen
  • Backup-Richtlinien und -Verfahren, Notfallwiederherstellungspläne und damit zusammenhängende Tests
  • Überwachung der Verfügbarkeit von Anwendungssystemen und Netzwerken in Echtzeit

Verwaltung unserer unabhängigen Datenverarbeiter

Die CSA Group bleibt für alle personenbezogenen Daten verantwortlich, die von einem unabhängigen Datenverarbeiter verarbeitet werden, und hat Maßnahmen getroffen, um sicherzustellen, dass diese Daten mindestens so geschützt sind, als ob sie direkt verarbeitet würden. Die CSA Group verlangt nicht nur, dass der Datenverarbeiter die zuvor beschriebenen Elemente ausführt, sondern auch Folgendes:

  • Due-Diligence-Prüfungen der Sicherheits- und Verfügbarkeitskontrollen von Datenverarbeitern, der Leistungsfähigkeit, der Finanzaufzeichnungen und anderer Risiken
  • Überprüfung unabhängiger Audits oder Bewertungen des Datenverarbeiters
  • Sicherstellen, dass ein rechtlicher Mechanismus vorhanden ist, der es der CSA Group rechtlich erlaubt, personenbezogene Daten von EU-Bürgern an den Datenverarbeiter zu übertragen
  • Erfordernis des eindeutigen Wortlauts von Verträgen und Vereinbarungen, einschließlich spezifischer Klauseln in Bezug auf die Verwendung und Trennung von Daten, und die Bestätigung, dass das Eigentum/die Kontrolle über Daten ausschließlich bei der CSA Group verbleibt
  • Service Level Management und Einsatz von Relationship Managern bei kritischen Datenprozessoren

Technische und organisatorische Maßnahmen der CSA Group für Datensicherheit – English