Zum Schutz der von uns gespeicherten Daten hat DigiCert (und alle verbundenen Konzerngesellschaften, nachfolgend unter „DigiCert“ zusammengefasst) bestimmte Kontrollmaßnahmen (darunter Richtlinien, Praktiken, Prozesse und Verfahren) eingerichtet, mit denen potenzielle Schwachstellen für Bedrohungen wie eine nicht genehmigte oder unbeabsichtigte Beobachtung, Offenlegung, Verwendung, Änderung, Gefährdung oder Vernichtung von Daten minimiert werden. Mit diesen Maßnahmen und deren Umsetzung wird sichergestellt, dass wir Sicherheits- und Datenschutzrisiken angemessen entgegenwirken.
Die technischen und organisatorischen Kontrollmaßnahmen von DigiCert entsprechen den Branchenstandards und den geschäftlichen Anforderungen von Unternehmen, um ein angemessenes Datenschutz- und Sicherheitsniveau zu bieten. Die folgende Liste mit Kontrollmaßnahmen stellt das Mindestmaß an von DigiCert durchgeführten Standardpraktiken für den Schutz von Daten dar.
- Richtlinien- und Dokumentmanagement: DigiCert unterhält, testet und überprüft mindestens jährlich eine Informationssicherheitsrichtlinie, einen Business-Continuity-Plan, einen Disaster-Recovery-Plan und Incident-Response-Prozesse. DigiCert pflegt und aktualisiert bei Bedarf eine gruppeninterne Vereinbarung zur gemeinsamen Datennutzung sowie erforderliche Datenverarbeitungsvereinbarungen mit Partnern und Distributoren. Zusätzlich zu öffentlich bereitgestellten Datenschutzhinweisen für DigiCert-Produkte und -Services pflegt und prüft/aktualisiert DigiCert jährlich eine interne übergeordnete Datenschutzrichtlinie, die die auf DigiCert zutreffenden Datenschutzstandards und -prozesse regelt.
- Netzwerksicherheitsmaßnahmen: Die Systemadministratoren von DigiCert stellen sicher, dass öffentlich zugängliche Komponenten der Informationssysteme (z. B. öffentliche Webserver) auf getrennten Unternetzwerken mit separaten physischen Netzwerkschnittstellen untergebracht sind. Die Systemadministratoren von DigiCert stellen ebenfalls sicher, dass gesteuerte Schnittstellen, die die Netzwerkumgebung schützen, bestimmte Datenpakettypen herausfiltern, um Geräte im internen DigiCert-Netzwerk zu schützen. Firewalls und Geräte zur Kontrolle der Netzwerkgrenzen sind so konfiguriert, dass sie den Zugriff nur für jene Komponenten erlauben, die für die Durchführung der DigiCert-Operationen notwendig sind.
- Datenbanksicherheitsmaßnahmen: Jeder Zugriff (über ein System oder direkt durch Mitarbeitende) auf DigiCert-Datenbanken wird protokolliert und im Hinblick auf unautorisierte Änderungen überwacht. Daten werden in den Datenbanken mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt und der direkte Zugriff wird über die Rollen beschränkt, die in DigiCerts Informationssicherheitsrichtlinie und der Zertifizierungspraxiserklärung festgelegt sind.
- Zugriffskontrollen und Authentifizierung: Alle Nutzerinteraktionen mit den Systemen von DigiCert können bis zu der Person zurückverfolgt werden, die die Aktion ausgeführt hat. Die Identität jedes Benutzers muss vor der Interaktion mit den DigiCert-Systemen bestätigt sein. Bevor Mitarbeitende von DigiCert an Komponenten des Systems arbeiten können, um die ihnen anvertrauten Aufgaben zu erfüllen, müssen sie sich zunächst für die Systeme von DigiCert authentifizieren. Die Rollen sind in der Zertifizierungspraxiserklärung und der Informationssicherheitsrichtlinie von DigiCert festgelegt. Nutzerkonten und sonstige Arten des Zugangs zu den Computersystemen von DigiCert müssen gemäß der Richtlinie für Benutzerzugriff genehmigt werden. Gemäß den anwendbaren Richtlinien definierte physische und logische Kontrollmaßnahmen für autorisierte Personen werden regelmäßig, und zwar mindestens einmal pro Jahr, geprüft.
- Personenkontrollen: Alle Mitarbeiter von DigiCert und andere Personen mit Zugang zu DigiCert-Daten und/oder -Systemen unterliegen Vertraulichkeitsvereinbarungen. Zudem müssen sie eine Hintergrundprüfung bestehen und bestimmte, für ihre Rolle relevante Schulungen absolvieren. DigiCert verpflichtet sich zur Festlegung und Durchsetzung von Richtlinien und Verfahren für sicherheitsrelevante Rollen, die Identifizierung und Authentifizierung der einzelnen Rollen, Sanktionen bei nicht autorisierten Handlungen, die Aufgabentrennung, Mitarbeiterausweise und den sofortigen Entzug des Systemzugriffs für ausscheidende Mitarbeiter.
- Physische Sicherheitsmaßnahmen: Der Zugang zu jedem Büro, Computerraum und Arbeitsbereich, in dem sich sensible Daten befinden, ist physisch eingeschränkt. Alle Bürotüren haben Schlösser und alle Eingangstüren zu den Einrichtungen und Gebäuden von DigiCert sind jederzeit verschlossen. Diese Türen können nur mit Zutrittskarten oder anderen Zugangskontrollgeräten geöffnet werden, die nach Bestätigung einer makellosen Hintergrundprüfung ausgegeben werden. Die DigiCert-Rechenzentren, -Sicherheitsräume und -Büros werden mit Video überwacht. Die Sicherheitsräume können nur mit biometrischer Kennung von zwei zuständigen Mitarbeitenden betreten werden. Jeder Zugang wird protokolliert.
- Schwachstellenmanagement/Patches: Alle DigiCert-Anlagen werden monatlich mit Hilfe von Tools zur Erkennung von Schwachstellen gescannt. Systeme, die eine Behebung erfordern, müssen innerhalb der von Global Security Operations festgelegten Fristen gepatcht werden. Die Zeitvorgaben basieren auf dem zugewiesenen CVSS-Score (Common Vulnerability Scoring System). Kritische und hochgradige Schwachstellen werden innerhalb von 72 Stunden gepatcht oder es wird ein Aktionsplan erstellt, mittelschwere Schwachstellen werden innerhalb von 30 Tagen gepatcht oder es wird ein Aktionsplan erstellt, und niedrige bzw. informationsbedingte Schwachstellen werden nach Ermessen von DigiCert gepatcht.
- Umfassende interne Bewertung: DigiCert führt jährlich eine umfassende Risikobewertung durch, mit der alle vernünftigerweise vorhersehbaren internen und externen Bedrohungen für die Sicherheit, den Datenschutz, die Vertraulichkeit und die Integrität identifiziert werden.
- Penetrationsbewertung/Externe Bewertung: Es wird mindestens eine Penetrationsbewertung pro Jahr durch Dritte durchgeführt. In der Regel führt DigiCert jedes Jahr mehrere Penetrationstests am Code, an der Infrastruktur und an Systemen sowie Red-Team-Assessments durch.
- Schulungen und Sensibilisierung: Alle Mitarbeiter und anderen Beschäftigten sind verpflichtet, jährliche Datenschutz-, Sicherheits- und Compliance-Schulungen zu absolvieren. Mitarbeiter und andere Beschäftigte, die persönlich identifizierbare und vertrauliche Informationen verarbeiten, erhalten zusätzliche Schulungen. Alle Personen mit Zugriff auf DigiCert-Systeme und/oder -Daten sind verpflichtet, die Richtlinien und Verfahren für den ordnungsgemäßen Umgang mit Daten anzuwenden, darunter die Informationssicherheitsrichtlinie, die Verhaltensrichtlinie und die Richtlinie zur zulässigen Nutzung.
- Zugriffskontrollen für Dritte: Die Verträge zwischen DigiCert und Dritten, die möglicherweise Zugang zu DigiCert-Systemen oder -Daten haben, tragen den Sicherheits- und Datenschutzanforderungen auf angemessene Weise Rechnung. Diese Dritten werden zudem einer Folgenabschätzung hinsichtlich Datenschutz und Sicherheit unterzogen und Risiken werden reduziert, bevor der Zugriff gewährt wird.
- Datensicherheit bei der Speicherung und Übertragung: Alle in DigiCert-Systemen gespeicherten Daten werden mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt. Ebenso werden alle innerhalb der DigiCert-Systeme weltweit übertragenen Daten mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt.
- Speicherung, Aufbewahrung und Löschung/Vernichtung: Physisch archivierte oder elektronisch gespeicherte Informationen werden durch angemessene technische, ihrer Klassifizierungsstufe entsprechende Maßnahmen geschützt. Informationen werden im Einklang mit unserer Zertifikatsrichtlinie/Zertifizierungspraxiserklärung und den anwendbaren Datenschutzhinweisen gelöscht bzw. vernichtet.