Enterprise-Sicherheit, der Sie vertrauen können

Unser Softwarelebenszyklus stellt sicher, dass unsere Anwendungen und Programmierschnittstellen (APIs) in Übereinstimmung mitführenden Industriestandards – wie OWASP, ISO und SOC – entwickelt, bereitgestellt und getestet werden und den rechtlichen, gesetzlichen oderbehördlichen Anforderungen entsprechen.

Sie erhalten Zugang zu dem Dienst, sobald Sie alle Vereinbarungen und Richtlinien für die Nutzung des Dienstes akzeptiert haben. Sie sind dafür verantwortlich, dass Sie Caseware Cloud in Übereinstimmung mit den geltenden Gesetzen und Vorschriften verwenden.

Die rechtlichen Einzelheiten finden Sie in den Cloud Dienstleistungsvereinbarungen: https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

Unsere Richtlinien und Verfahren wurden zur Unterstützung der Datensicherheit eingeführt und werden aufrechterhalten, um die Vertraulichkeit, Integrität und Verfügbarkeit über mehrere Systemschnittstellen, Gerichtsbarkeiten und Geschäftsfunktionen hinweg zu gewährleisten und eine unzulässige Offenlegung, Veränderung oder Zerstörung von Daten zu verhindern.

Für unsere Cloud-Dienste werden unabhängige Prüfungen von registrierten Drittanbietern als Teil unseres Compliance-Programms für ISO 27001 und SOC 2 durchgeführt. Außerdem verfügen wir über ein internes Prüfungsprogramm und es werden externe Penetrationstestsund regelmäßige interne Schwachstellentests durchgeführt. Die Ergebnisse der Schwachstellentests werden mit Kunden wie in der Client Initiated Testing Policy (Richtlinie für vom Kunden initiierte Tests) beschrieben, geteilt. Die Ergebnisse dieser Verfahren werden im Rahmen unseres Verbesserungsprozesses nachverfolgt. Die Methoden und die Tools, die für die Durchführung von Penetrationstests verwendet werden, werden für jede Bewertung auf spezifische Ziele und Angreiferprofile zugeschnitten. SOC 2-Berichte werden Kunden unter Geheimhaltungspflicht zur Verfügung gestellt. Unseren SOC 3-Bericht im PDF-Format finden Sie hier.

‍

Produktionsdaten werden auf Amazon Web Services(AWS) gespeichert. Die Anwendung führt die logische Trennung von Kundendaten über Datenbankisolation durch. Daten, die zu und von unserem Dienst übertragen werden (einschließlich Backups), werden zu 100 % über eine SSL-Verbindungverschlüsselt (AES-256-Bit – dieselbe Stärke, die beim Online-Banking verwendet wird). Datenübertragungen finden zwischen Client und Server und Datenbankenstatt. Es sind Kontrollen zur sicheren und verschlüsselten Übermittlung von Massendatenvorhanden. Es gibt keine E-Mail-Übertragungen. Weitere Informationen zur Sicherheit, siehe https://www.casewarecloud.com/security.html. Unser Rechtsteamüberwacht unsere rechtlichen Verpflichtungen. Die gesetzliche Anforderungen finden Sie in unseren Cloud Dienstleistungsvereinbarungen:https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.

‍

Caseware verfügt über einen einheitlichen Rahmen für die Planung der Geschäftskontinuität und hat diesen festgelegt, dokumentiert und angenommen, um sicherzustellen, dass alle Geschäftskontinuitätspläne in Bezug auf die Prioritäten für Tests, Wartung und Informationssicherheitsanforderungen einheitlich sind.

Zu den Anforderungen an Pläne zur Aufrechterhaltung des Geschäftsbetriebs gehört Folgendes:

• Definierter Zweck und Umfang, abgestimmt auf relevante Abhängigkeiten
• Zugänglich und verständlich für diejenigen, die sie anwenden werden
• Eigentum (einer) namentlich genannten Person(en), die für ihre Überprüfung, Aktualisierung und Genehmigung verantwortlich ist/sind
• Festgelegte Kommunikationswege, Rollen undVerantwortlichkeiten
• Detaillierte Wiederherstellungsverfahren, manuelle Workarounds und Referenzinformationen
• Methode für die Einsetzung des Plans

Unsere Pläne zur Geschäftskontinuität und zur Reaktion auf Sicherheitsvorfälle werden in geplanten Abständen oder bei wesentlichen organisatorischen oder umweltbedingten Änderungen getestet. Pläne zur Reaktion auf Sicherheitsvorfälle umfassen betroffene Kunden (Mandanten) und andere Geschäftsbeziehungen, die kritische Geschäftsprozessabhängigkeiten innerhalb der Lieferkette darstellen.

Der Dienst wird auf Amazon Web Services (AWS) gehostet und Versorgungsdienste und Umweltbedingungen (z. B. Wasser, Strom, Temperatur- und Luftfeuchtigkeitskontrollen, Telekommunikation und Internetverbindung) werden gesichert, überwacht, gewartet und in geplanten Abständen auf ihre kontinuierliche Wirksamkeit getestet, um den Schutz vor unbefugtem Abfangen von Daten oder Beschädigung zu gewährleisten, und sind mit automatischer Ausfallsicherung oder anderen Redundanzen für den Fall geplanter oder ungeplanter Unterbrechungen entwickelt.

Unser Cloud-Dienst ist vollständig virtuell und wird auf Amazon Web Services (AWS) gehostet. Amazon ist auch ISO- undSOC2-konform und dafür verantwortlich, den Zugang zu den Einrichtungen, in denen die Produktionssysteme untergebracht sind, auf befugte Personen zu beschränken. AWS ist außerdem verantwortlich für den Schutz der Umgebung und für die vorbeugende Wartung der Produktivsysteme. AWS hat weitere Informationenhier veröffentlicht: https://aws.amazon.com/compliance/data-center/controls.Diese Zertifizierungen beziehen sich auf die physische Sicherheit, Systemverfügbarkeit, Netzwerk- und IP-Backbone-Zugang, Kundenbereitstellung und Problemmanagement. Physischer Zugang und Umgebungskontrollen werden durch AWS verwaltet und kontrolliert. Informationen zur physischen Schutzsicherung von AWS finden Sie unter: https://aws.amazon.com/compliance.

Caseware hat sein Sicherheitsprogramm an ISO27001 angepasst und Abläufe zur Sicherstellung der Geschäftskontinuität implementiert, um auf Störungen kritischer Dienste zu reagieren. Wir überwachen die Leistungsfähigkeit und Verfügbarkeit jeder Cloud-Instanz und berücksichtigen Folgendes:

• Identifikation kritischer Produkte und Dienste
• Identifikation aller Abhängigkeiten, einschließlich Abläufe, Anwendungen, Geschäftspartner und Drittdienstleister
• Verstehen der Bedrohungen für kritische Produkte und Dienste
• Ermitteln von Auswirkungen, die aus geplanten oder ungeplanten Unterbrechungen hervorgehen und wie diese im Laufe der Zeitvariieren können
• Bestimmung des tolerierbaren Höchstzeitraums bei Unterbrechungen
• Bestimmung von Prioritäten bei der Wiederherstellung
• Bestimmung von Zeitzielen für die Wiederaufnahme des Betriebs von kritischen Produkten und Diensten innerhalb ihres tolerierbaren Höchstzeitraums für Unterbrechungen
• Einschätzung der Ressourcen, die für die Wiederaufnahme benötigt werden
• Kunden können unseren Betriebsstatus in Echtzeit auf unserer Statusseite einsehen: https://caseware.statuspage.io/.

Wir pflegen ein zentrales System für die Dokumentation und schulen alle Mitarbeiter zu den Verfahren. Zu den Verfahren gehören das Änderungsmanagement, Sicherheitsprozesse, Rollen und Verantwortlichkeiten von internen Benutzern. Unsere Verfahren werden bei Bedarf aktualisiert und Änderungshistorien werden protokolliert. Außerdem umfassen Richtlinien und Verfahren definierte Rollen und Verantwortlichkeiten, die von regelmäßigen Mitarbeiterschulungen gestützt werden.

Caseware hält eine Richtlinie zu den Aufzeichnungen und der Aufbewahrung von Daten für Cloud-Dienste ein. Die Richtlinie zur Aufbewahrung von Daten ist nicht kundenspezifisch. Backup- und Wiederherstellungsabläufe werden dokumentiert und automatische Benachrichtigungen werden täglich an operative Mitarbeitergesendet. Backup- und Wiederherstellungsmaßnahmen wurden in die Geschäftskontinuitätsplanung eingebunden und entsprechend auf Effektivität getestet. Im Folgenden finden Sie die Aufbewahrungsrichtlinien für die einzelnen Kategorien von Daten

Systemtransaktionsprotokolle

Beschreibung: Datenbankjournale und andere Protokolle, die für die Wiederherstellung von Datenbanken verwendet werden.

Aufbewahrungszeit: 30 Tage.

Grund der Aufbewahrung: Aufgrund Backup- undWiederherstellungsstrategie.

Erlaubte Speichermedien: Elektronisch.

Auditprotokolle

Beschreibung: Sicherheitsprotokolle, z. B. Protokolle überAnmeldungen/Abmeldungen und Änderungen von Berechtigungen.

Aufbewahrungszeit: 30 Tage.

Grund der Aufbewahrung: Höchstdauer der Verzögerung vor einer forensischen Untersuchung.

Erlaubte Speichermedien: Elektronisch.

Betriebsabläufe

Beschreibung: Aufzeichnungen in Verbindung mit der Ausführung betrieblicher Abläufe.

Aufbewahrungszeit: 2 Jahre.

Grund der Aufbewahrung: Verstrichener Höchstzeitraum für die Beilegung von Streitigkeiten.

Erlaubte Speichermedien: Elektronisch.

Kunde

Beschreibung: Backups von Kundendaten.

Aufbewahrungszeit: 90 Tage.

Grund der Aufbewahrung: Datenschutzanforderung.

Erlaubte Speichermedien: Elektronisch.

Für alle neuen Entwicklungen und/oder den Erwerbneuer Daten, physischer oder virtueller Anwendungen, Netzwerk- und Systemkomponenten der Infrastruktur oder von Unternehmens-, Betriebs- und/oder Rechenzentrumseinrichtungen wurden Änderungskontrollen eingerichtet, die vonder Unternehmensführung oder einer Person mit einer anderen verantwortlichen Rolle oder Funktion im Unternehmen vorab genehmigt wurden. Unser Softwarelebenszyklus verfügt über einen definierten Änderungskontroll- und Testprozess mit festgelegten Baselines, Test- und Freigabestandards, die sich auf die Systemverfügbarkeit, Vertraulichkeit und Integrität von Systemen und Diensten konzentrieren.

‍

Es sind Richtlinien und Abläufe vorhanden und es wurden unterstützende Geschäftsprozesse und technische Maßnahmen implementiert, um die Installation von unautorisierter Software auf unternehmenseigenen oderverwalteten Benutzerendgeräten und IT-Infrastrukturnetz- und Systemkomponenteninnerhalb der Cloud-Produktionsumgebung zu beschränken. Unsere Richtlinien und Abläufe zum Änderungsmanagement umfassen die Verwaltung der Risiken, die mit der Anwendung von Änderungen an geschäftskritischen oder kundenrelevanten Anwendungen und Programmierschnittstellen (APIs) und Konfigurationen, verbunden sind. Es wurden ebenfalls technische Maßnahmen implementiert, um sicherzustellen, dass alle Änderungen direkt mit einer registrierten Änderungsanfrage (geschäftskritisch oder kundenrelevant) übereinstimmen, und/oder vom Kunden gemäß der Vereinbarung vor der Bereitstellung genehmigt wurden.

‍

Caseware hat Richtlinien und Abläufe und unterstützende Geschäftsabläufe und technische Maßnahmen eingerichtet, um Datenflüsse innerhalb des/der Software-as-a-Service-Netzwerks und -systeme für jeden geographischen Standort, zu erfassen und zu verwalten. Es wurden Kontrollen eingerichtet, um sicherzustellen, dass Daten der geographischen Region zugeordnet werden, die vom Kunden festgelegt wurde. Abonnentendateninnerhalb der Cloud-Produktionsumgebung liegen einer zweischichtigen Architektur und sind nicht direkt über das Internet zugänglich.

‍

In unserer Sicherheitsrichtlinie werden vier Stufen für die Einstufung von Daten festgelegt: vertraulich, eingeschränkt, operativ und öffentlich. Alle Daten, die in der Cloud-Produktionsinfrastruktur gespeichert werden, werden als vertraulich eingestuft. Dies ist die höchste Sicherheitsstufe und nur befugte Mitarbeiter haben Zugang zu dieser Cloud-Umgebung. Logischer Zugang zu der Cloud-Produktionsumgebung ist nur dem operativen Team gestattet.

‍

Alle Abonnentendaten werden in der Cloud-Produktionsumgebung gespeichert. Die Verwendung von Kundendaten in Nicht-Produktionsumgebungen wird durch sichere Datenverarbeitungsprozesse geregelt, welche ausdrücklich dokumentierte Zustimmung der Kunden erfordern, deren Daten betroffen sind, und muss die gesetzlichen und behördlichen Anforderungen an die Bereinigung sensibler Datenelemente erfüllen.

Es gibt ein designiertes operatives Team, das für alle operativen Tätigkeiten bezüglich der Infrastruktur und der Speicherung von Daten zuständig ist, mit zugewiesenen Verantwortlichkeiten, die festgelegt, dokumentiert und kommuniziert wurden.

Caseware Cloud wird auf Amazon Webservern auf der ganzen Welt gehostet. Wenn ein Abonnement für die Caseware Cloud Dienste abgeschlossen wird, informiert Caseware die Kunden über die Gerichtsbarkeit, in der sich der Server befindet, der zum Hosten ihrer Abonnentendaten und persönlichen Informationen zugewiesen wurde. Sie können einer solchen Zuweisung zustimmen oder einen so zugewiesenen Server ablehnen.

Aus Gründen der besseren Performance erfolgt die Serverzuweisung normalerweise wie folgt:

• Wenn Sie sich in den Vereinigten Staaten oder Südamerika befinden: Vereinigte Staaten (Norden von Virginia)
• Wenn Sie sich in Kanada befinden: Kanada (Montreal)
• Wenn Sie sich in der Region Asien-Pazifik befinden: Australien (New South Wales)
• Wenn Sie sich in einer anderen Region befinden: Irland(Leinster)

Die Produktionsinfrastruktur istkomplett auf Amazons AWS gehostet. AWS ist dafür verantwortlich, den Zugang zuden Einrichtungen, in denen die Produktionssysteme untergebracht sind, aufbefugte Personen zu beschränken. AWS ist außerdem verantwortlich für den Schutzder Umgebung und für die vorbeugende Wartung der Produktivsysteme. Derphysische Zugang wird von AWS im Umkreis der Einrichtung und an denGebäudeeingängen kontrolliert. Alle Details finden Sie hier:https://aws.amazon.com/whitepapers/#security. AWS hat weitere Informationenhier publiziert: https://aws.amazon.com/compliance/data-center/controls/.

Unsere Produktionsinfrastrukturwird komplett auf Amazons AWS gehostet. AWS verfügt über SOC 2-Berichte, diejährlich überprüft werden. Die AWS-Governance-Prozesse finden Sie hier:https://aws.amazon.com/compliance/.

‍

Unsere Richtlinien und Abläufe zur Kryptographie sind auf die Unterstützung von Geschäftsabläufen ausgelegt. Es wurden technische Maßnahmen auf der Grundlage der geschäftlichen Anforderungen an den Schutz von Data-at-Rest und Data-in-Transit gemäß den geltenden rechtlichen, gesetzlichen und behördlichen Verpflichtungen umgesetzt.

Unsere Kryptographierichtlinie schreibt vor, dass alle Kodierungsschlüssel einen identifizierbaren Besitzerinnerhalb der Organisation haben müssen. Die Verwaltung des Lebenszykluskryptographischer Schlüssel stellt sicher, dass Zugangskontrollen für die sichere Erzeugung, den Austausch und die Speicherung von Schlüsseln vorhandensind, einschließlich der Trennung von Schlüsseln, die für verschlüsselte Daten oder Sitzungen verwendet werden.

Auf Serverebene gespeicherte Daten (Data-at-Rest) werden unter Verwendung des Industriestandards AES-256Algorithmus verschlüsselt. Daten, die zu und aus unseren Diensten übermittelt werden (Data-in-Transit), werden mittels TLS mit ephemerem Schlüsselaustauschverschlüsselt und es werden branchenweit anerkannte starke Cipher Suites verwendet. Zertifikate verwenden eine Schlüsselstärke von mindestens 2048-Bitmit SHA-2 oder einen stärkeren Signaturalgorithmus. Private Schlüssel werden in unseren Geheimnisverwaltungssystemen generiert und gespeichert. Sie werden über unseren Änderungskontrollprozess in Produktionssystemen nach Bedarf bereitgestellt und verwendet. Die Zertifikate werden über einen seriösen Anbieter bezogen und folgen dem integrierten und branchenüblichen Erneuerungs-/Rotationsprozess, der je nach Bedarf auf dem Ablauf oder dem Widerruf basiert.

‍

Sicherheitsrisikobewertungen werden mindestens jährlich unter Berücksichtigung der folgenden Punkte durchgeführt:

• Kenntnis, wo sensible Daten gespeichert und über Anwendungen, Datenbanken, Server und Netzinfrastrukturen übertragen werden
• Einhaltung der festgelegten Aufbewahrungsfristen
• Datenklassifizierung und Schutz vor unbefugter Nutzung, Zugriff, Verlust, Zerstörung und Fälschung

Wir verfügen über ein Information Security Management System(ISMS), das auf ISO 27001 und SOC 2-Kontrollen basiert. Unser ISMS umfasst die folgenden Bereiche, soweit sie die Eigenschaften des Unternehmens betreffen:

• Informationssicherheitsrichtlinie
• Zugriffskontrollrichtlinie
• Verfügbarkeitsmanagement
• Clean-Desk-Policy
• Kryptographierichtlinie
• Richtlinie der Verwaltung der Informationssicherheitsanbieter
• Richtlinie zur Protokollierung und Kontrolle
• Richtlinie für mobile Geräte
• Netzwerksicherheitsrichtlinie
• Richtlinie zur Kennwortverwaltung
• Richtlinie zum Patch-Management
• Softwarerichtlinie
• Richtlinie zum technischen Schwachstellenmanagement
• Vorgehensweise bei der Risikobewertung
• Malware-, E-Mail- und ISMS-Richtlinie
• Richtlinie zur akzeptablen Internetnutzung
• Richtlinie zu Penetrationstests
• Richtlinie zur Telearbeit
• Aufbewahrung und Schutz von Unterlagen

Die Bereichsleiter sind dafür verantwortlich, dass die für ihren Zuständigkeitsbereich relevanten Sicherheitsrichtlinien, -verfahren und-standards bekannt sind und eingehalten werden.

 Im Rahmen der Vorgehensweise zum Risikomanagement wurden Risikoakzeptanzniveaus definiert, und alle Risiken werden auf ein akzeptables Niveau mit angemessenen Lösungszeiträumen und der Zustimmung der Anspruchsberechtigten reduziert.

Unsere Richtlinien und Verfahren zur Informationssicherheit sind veröffentlicht und stehen allen betroffenen Mitarbeitern und externen Geschäftspartnern zur Einsicht zur Verfügung. De rLenkungsausschuss für Informationssicherheit (Information Security SteeringCommittee) ist für die Entwicklung, Pflege und Durchsetzung der Informationssicherheitsrichtlinien unseres Dienstes verantwortlich. Die Informationssicherheitsrichtlinie wird jährlich überprüft und vom Lenkungsausschuss für Informationssicherheit genehmigt. Die Geschäftsführung und das Linienmanagement bieten Unterstützung bei der Informationssicherheit durch klar dokumentierte Anweisungen und Verpflichtungen und stellen sicher, dass Maßnahmen zugewiesen werden. Es gibt ein leitendes Mitglied der Geschäftsführung, das für die Information Security Governance und Betriebsabläufe bezüglich Informationssicherheit, einschließlich des Schutzes der Kundendaten, verantwortlich ist– diese Funktion untersteht dem Leiter der Finanzabteilung(Chief Financial Officer, CFO).

Überprüfungen der Richtlinien werden jährlich durch den Lenkungsausschuss zur Informationssicherheit durchgeführt oder als Folge von Änderungen in der Organisation, um die anhaltende Ausrichtung auf die Sicherheitsstrategie, die Wirksamkeit, die Genauigkeit, die Relevanz und die Anwendbarkeit auf rechtliche, gesetzliche oder behördliche Verpflichtungen zu gewährleisten.

‍

Formelle Risikobewertungen werden jährlich und bei jeder Änderung von Informationssystemen durchgeführt, um die Wahrscheinlichkeit und die Auswirkungen aller ermittelten Risiken festzustellen. Die Wahrscheinlichkeit und die Auswirkungen der inhärenten Risiken und der Restrisiken werden unabhängig voneinander bestimmt, wobei alle Risikokategorien auf der Grundlage von Prüfungsergebnissen, Bedrohungs- und Schwachstellenanalysen und der Einhaltung von Vorschriften berücksichtigt werden. Die Ergebnisse der Risikobewertung können Aktualisierungen der Sicherheitsrichtlinien, -verfahren, -standards und -kontrollen beinhalten, um sicherzustellen, dass diese weiterhin relevant und effektiv sind. Die Ergebnisse von Risikobewertungen werden:

• der Geschäftsführung berichtet, die sich dann an einem Risikobehandlungsverfahren beteiligt
• in einem Risikoverzeichnis aktualisiert
• basierend auf den möglichen Auswirkungen auf Produktionssysteme priorisiert

Unsere Personalabteilung hat ein Bewerber-Screening für alle Mitarbeiter festgelegt. Die Referenzen aller Mitarbeiter werden bei der Einstellung überprüft. Bei Mitarbeitern, die operative Aufgaben im Zusammenhang mit der Cloud-Umgebung ausführen, wird überprüft, b die Person vorbestraft ist und ihre Bonität wird geprüft. Alle Mitarbeitermüssen vor ihrer Einstellung eine Vertraulichkeitserklärung unterzeichnen, um den Schutz von Kundeninformationen und Daten zu gewährleisten. Die Mitarbeiterwerden bei der Einarbeitung zur Informationssicherheit geschult. Für Entwicklerwerden spezielle Schulungen zu sicheren Codierungsverfahren angeboten. Es werden formale Aufzeichnungen über die Absolvierung interner Mitarbeiterschulungen geführt. Kündigungen und Stellenwechsel von Mitarbeitern werden von den Abteilungsleitern veranlasst. Unsere Personalabteilung prüft diese Anträge und reicht sie über unser Ticketsystem ein, um die Anforderungen für die Deprovisionierung und die Provisionierung zu erfüllen. Unsere Personalabteilung verfügt über ein Verfahren zum Ausscheiden von Mitarbeitern, um sicherzustellen, dass alle Geräte zurückgegeben und Konten gekündigt werden, um den Zugang zu Produktionsumgebungen zu entziehen.

‍

Es wurde ein Schulungsprogramm zum Thema Sicherheitsbewusstsein für alle Auftragnehmer, Drittnutzer und Mitarbeiter eingerichtet, das obligatorisch ist. Alle Personen, die Zugang zu vertraulichen und eingeschränkten Daten haben, erhalten eine angemessene Schulung zur Sensibilisierung und regelmäßige Informationen zu Neuigkeiten beiden organisatorischen Verfahren, Prozessen und Richtlinien, die sich auf ihre Funktion in Bezug auf die Organisation beziehen. Rollen und Verantwortlichkeiten von Auftragnehmern, Mitarbeitern und Drittnutzern werden in Bezug auf Informationswerte und Sicherheit dokumentiert.

Benutzerverantwortlichkeiten werden in den Stellenbeschreibungen für alle Mitarbeiter festgelegt und die Mitarbeiterwerden über ihre Aufgaben und Verantwortlichkeiten aufgeklärt in Bezug auf:

• die Aufrechterhaltung des Bewusstseins für und der Einhaltung der festgelegten Richtlinien und Verfahren sowie der anwendbaren rechtlichen, gesetzlichen oder behördlichen Verpflichtungen
• die Aufrechterhaltung eines sicheren Arbeitsumfelds
• der Meldung von erkannten verdächtigen Aktivitäten

Es gilt eine Clear-Screen-Policy, d. h., in unbeaufsichtigten Arbeitsbereichen dürfen keine sensiblen Dokumente offensichtbar sein und die Computersitzungen der Benutzer werden nach einer bestimmten Zeit der Inaktivität gesperrt.

‍

Es besteht eine Zugangskontrollrichtlinie, die festlegt wie die Zugangskontrolle auf alle Systemkomponenten und sensible Informationen im Unternehmen verwaltet werden. Richtlinien zur zulässigen Nutzung oder zum Zugriff auf Teilnehmerdaten und Metadaten sind in den Caseware Datenschutzbestimmungen enthalten(https://www.caseware.com/privacy-statement/). Caseware sammelt, verwendet und veröffentlicht Informationen nur zu folgenden Zwecken:

• Um Ihre Identität zu bestätigen
• Um die Caseware Cloud Dienste für Sie bereitzustellen
• Um Sie bezüglich Produktinformationen, Updates derDienste, Mitteilungen zu Rechnungen oder zu den Caseware Cloud Diensten zukontaktieren.
• Um die Systemauslastung, Server- und Softwareleistungzu überwachen und/oder zu verbessern
• Zur Unterstützung im Rahmen von technischem Support
• Zur Einhaltung von Gesetzen, Vorschriften, Gerichtsbeschlüssen, Vorladungen oder anderen rechtlichen Ermittlungsverfahren und um Caseware, seine verbundenen Unternehmen und andere Personen vor Schaden zu bewahren.
• Um die Caseware Angebote zu verbessern und zu erweitern.

Richtlinien und Verfahren sind vorhanden, um Identitätsinformationen über jede Person, die auf die Cloud-Produktionsinfrastruktur zugreift, zu speichern und zu verwalten, und um ihre Zugangsstufe zu bestimmen. Es wurden Richtlinien und Verfahren zur Zugangskontrolle festgelegt und unterstützende Geschäftsprozesse und technische Maßnahmenimplementiert, um den Benutzerzugang gemäß der definierten Aufgabentrennung einzuschränken, um sich mit Geschäftsrisiken im Zusammenhang mit einem Interessenkonflikt zwischen Benutzer und Rolle zu befassen. Das Repository für die Zugangskontrolle wird durch den Anbieter verwaltet. Wir verwenden einen Privileged Identity Manager und ein Passwortverwaltungssystem.

‍

Der Zugriff auf und die Nutzung von Prüfungssoftware, die mit der Cloud-Produktionsumgebung interagiert, ist segmentiert und eingeschränkt, um eine Gefährdung und den Missbrauch von Protokolldaten zu verhindern. Der Benutzerzugang auf Diagnose- und Konfigurationsports ist auf befugte Personen und Anwendungen beschränkt.

‍

Es sind Kontrollen vorhanden, die sicherstellen, dass nur genehmigte Software innerhalb der Cloud-Produktionsinfrastruktur installiert ist.

‍

Der Zugriff auf die von der Organisation selbst entwickelten Anwendungen, Programme oder Objektquellcodes oder jede andere Form von geistigem Eigentum (intellectual property, IP) und die Verwendung von urheberrechtlich geschützter Software wird nach dem Prinzip der geringsten Privilegien auf der Grundlage des Tätigkeitsbereichs gemäß den festgelegten Richtlinien und Verfahren für den Benutzerzugriff kontrolliert.

‍

Um auf das Basissystem der Caseware Cloud Dienste zuzugreifen ist eine Authentifizierung durch ein Kennwort erforderlich. Sobald Benutzer Zugriff auf das System erlangt haben, müssen Ihnen Sicherheitsrollenzugewiesen werden, damit sie zusätzliche Aktionen ausführen und auf bestimmte Inhalte zugreifen können. Durch Sicherheitsrollen können Sie bestimmen, wer Zugriff auf welche Inhalte hat. Ihr Unternehmen ist für die Entwicklung angemessener Sicherheitsrichtlinien für Kennwörter und Sicherheitsrollen unter Verwendung der in Caseware Cloud bereitgestellten Sicherheitsfunktionen verantwortlich. Caseware stellt den Kunden den Zugang zur Verfügung, die dann für ihre eigenen Benutzer und administrativen Konten, einschließlich Provisionierung und Deprovisionierung, verantwortlich sind. Es wird eine Zwei-Faktor-Authentifizierung verwendet. Der Benutzerzugriff wird vierteljährlich autorisiert und verlängert, um das Prinzip der geringsten Privilegien auf der Grundlage des Tätigkeitsbereichs zu gewährleisten. Bei festgestellten Zugriffsverletzungen werden Abhilfemaßnahmen auf der Grundlage der festgelegten Richtlinien und Verfahren für den Benutzerzugriff ergriffen. Die rechtzeitige Deprovisionierung (Entzug oder Änderung) des Benutzerzugangs zu Daten oderverwalteten Anwendungen, Infrastruktursystemen und Netzwerkkomponenten wurde gemäß den festgelegten Richtlinien und Verfahren und auf der Grundlage von Statusänderungen des Benutzers, wie z. B. Beendigung des Beschäftigungsverhältnisses oder anderer Geschäftsbeziehungen, Arbeitsplatzwechsel oder Versetzung, umgesetzt. Der Anbieter verwaltet die Bereitstellung und den Entzug von Dienstkonten. Bei der Authentifizierung von Dienstkonten wird eine mehrstufige Authentifizierung verwendet.

Caseware Cloud setzt einen SaaS-basierten Endpoint Detection and Response Security Endpoint auf allen Hostrechnern innerhalb seiner Infrastruktur ein. Alle Benutzer-, Prozess- und Netzwerkaktivitäten werden an einem manipulationssicheren zentralen Ort gesammelt und gespeichert und nahezuin Echtzeit auf verdächtige Verhaltensweisen sowie für die manuelle Forensik analysiert. Schutz, Aufbewahrung und Lebenszyklusmanagement von Prüfprotokollen entsprechen den geltenden rechtlichen, gesetzlichen oder behördlichen Verpflichtungen und bieten eine eindeutige Nachvollziehbarkeit des Benutzerzugriffs zur Erkennung von potentiell verdächtigem Netzwerkverhalten und/oder Anomalien der Dateiintegrität, die zur Unterstützung der forensischen Ermittlungsmöglichkeiten im Falle einer Sicherheitsverletzung erforderlich sind. Unsere Tools sind in der Lage, unbefugtes oder ungewöhnliches Verhalten anhand des Netzwerkverkehrs oder der Hostaktivitäten zu erkennen und zu verhindern. Alle Authentifizierungsvorgänge — erfolgreiche sowie fehlgeschlagene — werden protokolliert.

‍

Unsere Produktions- und Nichtproduktionsumgebungen sind voneinander getrennt, um unbefugten Zugang oder Änderungen der Informationsbestände zu vermeiden. Die Trennung der Umgebungen umfasst die logische Trennung und Aufgabentrennung der Mitarbeiter, die auf diese Umgebungen im Rahmen ihrer beruflichen Tätigkeiten zugreifen.

‍

Unser Produktionssystem und unsere Netzwerkumgebung werden durch zentral verwaltete Firewalls geschützt, um die Trennung von Produktions-und Nichtproduktionsumgebungen sicherzustellen. Unsere Produktionsumgebung wird so konzipiert, entwickelt, bereitgestellt und konfiguriert, dass der Benutzerzugang unseres operativen Teams und unserer Benutzer auf der Grundlage der folgenden Überlegungen angemessen von dem Zugang anderer Benutzer getrennt ist:

• Festgelegte Richtlinien und Verfahren
• Isolierung von geschäftskritischen Anlagen und/odersensiblen Benutzerdaten und -sitzungen, die stärkere interne Kontrollen und ein hohes Maß an Sicherheit erfordern
• Einhaltung rechtlicher, gesetzlicher und behördlicher Verpflichtungen

Die Cloud-Produktionsinfrastruktur verfügt über eine verlässige und einvernehmlich festgelegte externe Zeitquelle, die zur Synchronisierung der Systemuhren aller relevanten Informationsverarbeitungssysteme verwendet wird, um die Rückverfolgung und Wiederherstellung von Aktivitätszeitachsen zu erleichtern.

Es wurden Richtlinien und Verfahren eingeführt, die eine konsistente Überprüfung der Dienstleistungsvereinbarungen zwischen Anbietern und Kunden in der entsprechenden Lieferkette gewährleisten. Mindestens einmal im Jahr werden Überprüfungen durchgeführt, um Nichtübereinstimmungen mit den festgelegten Vereinbarungen zu erkennen. Alle Nichtübereinstimmungen werden als Maßnahmen zur Behebung von Konflikten oder Unstimmigkeiten zwischen den Service-Levels identifiziert.

‍

Richtlinien und Verfahren wurden festgelegt und unterstützende Geschäftsprozesse und technische Maßnahmen wurden implementiert, um die Ausführung von Malware in der Cloud-Produktionsumgebung oder auf Endnutzergeräten und Netz- und Systemkomponenten der IT-Infrastruktur zu verhindern. Für die rechtzeitige Erkennung von Schwachstellen in organisationseigenen oder in durch die Organisation verwalteten Anwendungen, Infrastrukturnetzen und Systemkomponenten, wurden Richtlinien und Verfahren festgelegt sowie unterstützende Prozesse und technische Maßnahmen eingeführt. Darüber hinaus führen wir fortlaufend Bewertungen der Anfälligkeit von Anwendungen und des Codes unserer Produkte durch und unterziehen alle Codeänderungen einer doppelten Überprüfung, um die Effizienz der implementierten Sicherheitskontrollen zu gewährleisten. Unsere Methoden des Risikomanagements werden für die Priorisierung der Behebung festgestellter Schwachstellen verwendet. Änderungen werden über unser definiertes Verfahren zum Änderungsmanagement für alle vom Anbieter bereitgestellten Patches, Konfigurationsänderungen oder Änderungen an unseren Anwendungen verwaltet. Unsere Anti-Malware-Lösung wird zentral verwaltet und läuft auf allen Systemen.Die Anti-Malware-Lösung umfasst Mechanismen zur Erkennung und Verhinderung von Phishing. Malware-Signatur-Updates werden innerhalb eines Tages nach Veröffentlichung bereitgestellt.