Upclick careers and job opportunities

Upclick Informationen
zur Sicherheitspolitik

Letzte Aktualisierung: 17. Mai 2018

INFORMATIONEN ZUR SICHERHEITSPOLITIK

[Letzte Aktualisierung: 17. Mai 2018]

Upclick Malta Limited dba Upclick ("Upclick" "Unternehmen" oder "wir") verpflichtet sich, Transparenz über die Sicherheitsmaßnahmen zu schaffen, die sie zum Schutz und zur Sicherung personenbezogener Daten (im Sinne der allgemeinen EU-Datenschutzverordnung (Verordnung 2016/679 ("GDPR")), die von der Gesellschaft zum Zwecke der Erbringung ihrer Dienstleistungen verarbeitet werden, wie in der Datenschutzrichtlinie des Unternehmens, nachzulesen unter: https://upclick.com/privacy.html, getroffen hat.

Diese Richtlinie zur Informationssicherheit ("Sicherheitspolitik") beschreibt die aktuellen Sicherheitsmaßnahmen, die das Unternehmen zum oben angegebenen Datum der letzten Aktualisierung anwendet. Wir werden diese Sicherheitsrichtlinie von Zeit zu Zeit aktualisieren, wie es die geltenden Gesetze und unsere internen Richtlinien erfordern.

Als Teil unseres GDPR-Compliance-Prozesses (verfügbar unter: www. upclick.com/gdpr) und unserer PCI-Compliance (alle Systeme sind PCI Level 1 Service Provider zertifiziert. Unternehmen ist PCI-DSS Level 1 konform), haben wir technische organisatorische Überwachungsmaßnahmen implementiert und ein umfangreiches Informations- und Cybersicherheitsprogramm eingerichtet, alle in Bezug auf die von Unternehmen verarbeiteten personenbezogenen Daten. Das Unternehmen unternimmt alle Anstrengungen, um sicherzustellen, dass alle Mitarbeiter diese Sicherheitsrichtlinien einhalten.

System-Zugangskontrolle

Der Zugriff auf alle Datenverarbeitungssysteme erfolgt ausschließlich über die Benutzerauthentifizierungssysteme des Unternehmens. Alle Zugriffe auf das Systemadministrationsnetzwerk des Unternehmens sind ausschließlich vom Büro aus über eine private, dunkle Glasfaserverbindung zum Rechenzentrum möglich. Die Systeme sind nicht über das Internet zugänglich. Alle Zugriffe auf das Systemadministrationsnetzwerk des Unternehmens werden durch VPN und TLS 1. 2 verschlüsselt. Die Authentifizierung für jedes System erfolgt über ein Benutzer-Passwort, das für jeden Mitarbeiter oder Mitarbeiter eindeutig ist und von einem anderen Domänencontroller für diese Umgebung stammt. PCI-DSS Level 1 konforme Anforderungen, wie z. B. deaktivierte Standardbenutzer, Passwortkontrolle und manuelle und laufende Überwachung aller Systemzugriffe. UpClick hat extreme Maßnahmen ergriffen, um den Schutz der persönlichen Daten zu gewährleisten.

Datenzugriffskontrolle

Der Zugang zu den Persönlichen Daten ist auf die Mitarbeiter beschränkt, die den Zugang benötigen. Die Mitarbeiter werden in Bezug auf die Sicherheit der persönlichen Daten geschult und getestet. Die Datenbank ist ausschließlich für Datenbankadministratoren und Senior-Entwickler zugänglich. Alle Systeme des Unternehmens entsprechen den Anforderungen des PCI Level 1 Service Providers.

Physische Zugangskontrolle

Alle Systeme der Firma befinden sich in einem Käfig an einem anderen Standort. Für den Zutritt zu diesem Standort ist ein biometrischer (Fingerabdruck) und eine Zutrittskarte erforderlich. Einmal betreten, muss das Sicherheitspersonal rund um die Uhr die Identität der Person überprüfen und die Ein- und Ausfahrt protokollieren. Innerhalb des Unternehmens ist ein Schlüssel zum Öffnen des Käfigvorhängeschlosses erforderlich. Alle Türen und Flure werden videoüberwacht. Alle Videoaufnahmen werden von der Gesellschaft für einen Zeitraum von mindestens drei Monaten aufbewahrt.

Transferkontrolle

Ziel der Transferkontrolle ist es sicherzustellen, dass personenbezogene Daten nicht von Unbefugten bei der elektronischen Übermittlung von Daten oder bei der Übermittlung an das jeweilige Rechenzentrum gelesen, kopiert, verändert oder entfernt werden können. Kundendaten werden nirgendwo anders als in die Datenbank des Unternehmens übertragen. Das Backup wird extern über einen privaten Link verschickt. Der Offsite-Backup-Bereich ist durch eine Zugangskarte für den physischen Zugriff geschützt. Die Übertragung der Daten während des Backups erfolgt verschlüsselt. Verschlüsselte Dateien über SFTP. IPNs über TLS 1. 2 und tokenisierten API-Zugriff.

Verfügbarkeitskontrolle und Zweckkontrolle

Das Unternehmen verfügt über einen Disaster-Recovery-Standort an einem anderen geografischen Standort und ist bereit, den Betrieb im Falle eines Systemausfalls oder einer Sicherheitsverletzung fortzusetzen. Dieser Backup-Standort wird jedes Jahr von einem zertifizierten QSA besucht. Firmendatenbank-Backups, die extern versendet werden, werden ausschließlich über einen privaten Link übertragen. Der Offsite-Backup-Bereich ist durch eine Zugangskarte für den physischen Zugriff geschützt. Die Übertragung der Daten während der Datensicherung erfolgt verschlüsselt, wie in der Übertragungskontrollklausel angegeben. Alle Testumgebungen verarbeiten oder verwenden keine echten Daten.

Datenspeicherung

Personenbezogene Daten sowie Rohdaten werden so schnell wie möglich oder so schnell wie erlaubt gelöscht.

Arbeitnehmerkontrolle

Die Mitarbeiter und Datenverarbeiter sind alle verpflichtet Vereinbarungen zu unerzeichnen, die alle geltenden Datenschutzbestimmungen und Datensicherheitsverpflichtungen beinhalten. Darüber hinaus durchlaufen die Mitarbeiter im Rahmen des Beschäftigungsprozesses ein nach regionalem Recht anzuwendendes Auswahlverfahren. Die Mitarbeiter sind verpflichtet, die Richtlinien und Verfahren des Unternehmens einzuhalten, und Verstöße führen zu Disziplinarmaßnahmen bis hin zur Beendigung des Arbeitsverhältnisses. Ein Mitarbeiter erhält erst dann Zugang zu den persönlichen Daten, wenn das Unternehmen darauf vertraut, dass der Mitarbeiter gut ausgebildet und verantwortungsbewusst ist, mit den persönlichen Daten, falls erforderlich, sicher umzugehen. Darüber hinaus führt das Unternehmen jährliche Compliance-Schulungen durch, zu denen auch Schulungen zum Thema Datensicherheit gehören.

Das Unternehmen hat sichergestellt, dass alle Dokumente, einschließlich ohne Einschränkungen, Vereinbarungen, Datenschutzrichtlinien, Online-Bedingungen, etc. mit dem GDPR konform sind. Unser Rechtsteam ist damit beschäftigt, unsere Rechtsdokumentation auf den neuesten Stand zu bringen und die in Artikel 28 des GDPR vorgeschriebenen Bestimmungen für den Verarbeiter aufzunehmen.

DIE ABTEILUNGEN FÜR INFORMATIONSSICHERHEIT, RECHT, DATENSCHUTZ UND COMPLIANCE ARBEITEN DARAN, REGIONALE GESETZE UND VORSCHRIFTEN ZU IDENTIFIZIEREN, DIE FÜR DIE EINHALTUNG DER VORSCHRIFTEN DES UNTERNEHMENS GELTEN. DAHER KANN DIESE SICHERHEITSRICHTLINIE VON ZEIT ZU ZEIT ENTSPRECHEND DEN GELTENDEN RECHTSVORSCHRIFTEN ODER INTERNEN RICHTLINIEN AKTUALISIERT WERDEN.